フォーティネットウイルス対処状況レポート（2008年8月度）

●　8月の脅威の状況


（1） 脅威トップ10


下記のランキングは、フォーティネットのFortiGateセキュリティアプライアンスが2008年7月21日から8月20日までの間に発見したマルウェアの統計です。「Top 100 Shifts」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。

Rank Malware 　　 Percentage Top 100 Shift
1W32/Multidr.JD!tr 10.02 新
2HTML/Agent.HFZ!phish 8.15 新
3W32/Netsky!similar 5.95 -2
4JS/Agent.WMA!tr.dldr 　　　　　　 5.9 新
5W32/Virut.A 4.65 -3
6JS/Iframe.DR 4.19 +1
7W32/Agent.KG!tr 3.36 新
8HTML/Iframe.DN!tr.dldr 2.59 -3
9HTML/Iframe_CID!exploit 2.12 +17
10W32/Agent.HKR!tr 1.98 新


今月は新しい変種が爆発的な勢いで登場しましたが、主流となったのは次のようなダウンロード系トロイの木馬でした。


・不正なセキュリティアプリケーションのトロイの木馬であるW32/Multidr.JDおよびHTML/Agent.HFZが急上昇し、4カ月に渡って1位を独占していたW32/Netskyを追い出して1位と2位の座を獲得しました。


・Virut.Aは撤退を拒んでおり、7カ月連続してトップ5に居座っています。


・大量メールワームのMytobおよびPushdoはトップ10から脱落したものの、引き続き幅をきかせています。


・Iframeトラフィック リダイレクタは先月のレポートと同様、引き続き勢力を保っています。


2.マルウェアファミリートップ5
今回のレポートでは、マルウェア変種の活動をファミリーごとにグループ化し、下記のように分類しました。今回のレポートで報告されているすべての脅威のうち、ファミリーごとに累積した活動の割合を示しています。「Top 10 shift」は前回レポートのトップ10ランキングと比較した順位の増減を表しています。

RankMalware　　　Percentage　　　　Top 10 Shift
1Netsky　　　　　　　　　　9.5　　　　　　　　　　　+1
2OnlineGames　　　　　7.7 　　　　　　　　　　　-1
3MyTob 5.8 　　　　　　　　　　　 -
4Virut 5.4 -
5Pushdo 3.0 -


今回のレポートでは順位の点ではあまり動きがなく、わずかにNetskyとOnlineGamesの順位が入れ替わっただけです。OnlineGamesの個別の変種はトップ10に入っていないものの、オンラインゲームを標的にしたトロイの木馬ファミリーは、集団として捉えるといまだに勢力があります。


●活動の要約
今月は全体的に活動が盛んで、新興勢力の動きも活発でした。先月（※1）のレポートではトラフィックを増やすことを目的とするマルウェア（トラフィックジェネレータ）を取り上げ、JS/Redirector.CAの考察を行いました。この分野の活動はHTML/Iframe.DNおよびJS/Iframe.DRによって継続しており、後者は今月、順位をひとつ上げています。現在の脅威勢力図ではWebから誕生した攻撃が頻繁に発生し、そうしたIframeによってハイジャックやトラフィックのリダイレクトが行われることも多いところから、この傾向はこれからも続くものと思われます。トラフィックは、既製のキット（MPack、GPack等）を利用してセキュリティの弱点を突く攻撃サイトに頻繁にリダイレクトされます。こうしたジェネレータとセキュリティ脆弱性攻撃キットの組み合わせは攻撃の効率性が高いため、あらゆるソフトウェア（とりわけWebブラウザ）には最新のパッチを当て、いつも最新の状態にしておくことが大切です。
※1：リンク


2007年10月に私たちはHTML/Iframe_CIDの攻撃について論じ（※2）、年間を通じてこのマルウェアが優勢だったことに触れました。これは主に、この攻撃を利用したNetsky.Pの成功に負うところが大きいです。それから約１年経った現在、HTML/Iframe_CIDはいまだに盛んな活動をみせており、今回のレポートでも9位につけています。先月に比べると再び上昇傾向に転じたとはいえ、この攻撃の数量（これまたNetsky.Pと連動している）は2007年10月のウイルス対処状況レポートで予測した通り、時間とともに徐々に減っています。現在の活動量は2007年10月に報告された時に比べ、およそ4分の1となっています。W32/Virut.Aは7カ月連続で一貫した活動を展開しており、変種トップ5に入っています。ファイル感染マルウェアはいまだにこのトレンドを死守していますが、W32/Multidr.JDおよびHTML/Agent.HFZのめざましい活動によりランクを2、3位落しています。とうとう公式トップ10からは消えたSpy/OnLineGamesですが、オンラインゲーム界を標的にした悪意ある活動は継続しているため、11位にしぶとく居座っています。このマルウェアの活動が盛んだったのは上位からトルコ、米国、中国の順です。下記の図1は今月ご紹介したいくつかの変種の活動カーブを示しています。
※2：リンク


図1： Iframeおよびトロイの木馬ダウンローダ 対　W32/Virut.A
リンク


今月最も優勢だった活動は1位のW32/Multidr.JD!trと2位のHTML/Agent.HFZ!phishですが、フォーティネットのセキュリティリサーチエンジニア、デレク マンキーの考察では両方とも不正なセキュリティアプリケーションに関係しています。W32/Multidr.JDは、たった1日の活動によって月間1位の座を獲得してしまいました。悪名高いStormボットネット（Tibs）が登場した2007年2月以来、このように強烈な攻撃キャンペーンが観測されたことはありませんでした。トップ10に入った2つの不正なセキュリティアプリケーションXP Security CenterおよびAntiVirus XP 2008は、W32/Multidr.JD、W32/Agent.HKR、HTML/Agent.HFZ、W32/Agent.HFZとの関連性があります。同類のXP Security Center（W32/Agent.HKRおよびAgent.HFZ）が主に米国、日本、カナダで猛威をふるった一方、AntiVirus XP 2008は米国、リトアニア、メキシコでの活動が目立ちました。興味深いことに、ワード文書を装うプログラムを使った2つの非常に似通ったソーシャル・エンジニアリング攻撃（XP Security Centerを利用）が、同じ地域で発生しています。新興勢力のW32/Agent.KGを配布する攻撃キャンペーンは日本、カナダ、米国での活動が最も目立ちました。HTML/Agent.HFZ（XP Security Center）は、2008年6月末に出回ったUPSを騙ったフィッシングメールを利用しています。下記の図2はこれらの変種の活動を示しています。


図2：不正なセキュリティアプリケーションの活動と新興勢力のW32/Agent.KG
リンク


●ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate＜TM＞複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。


免責条項：
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。