logo

フォーティネットウイルス対処状況レポート(2008年11月度)

下記のランキングは、2008年10月21日~11月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。


目次:


■ 脅威と侵入防御
(1) 脅威トップ10
(2)新たな脆弱性の範囲
■ 最新のマルウェア
(1) 変種トップ10
(2)マルウェア検知数は日本がトップ(地域と数量)
■ スパムの流通
(1) スパムの出現率
(2)実環境におけるスパムトップ3
■ Webからの脅威
Web脅威のトラフィック
■ 活動の要約


●脅威と侵入防御


(1) 脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「%」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。


順位脅威%深刻度
1Trojan.Storm.Worm.Krackin.Detection36.9重要
2Worm.Slammer23.2重要
3IE.IFRAME.BufferOverflow.I0.5重要
4MS.IIS.Web.Application.SourceCode.Disclosure0.4警告
5MS.Exchange.Mail.Calender.Buffer.Overflow0.4重要
6TCP.PORT00.3注意
7MS.IE.HTML.Attribute.Buffer.Overflow0.3重要
8MS.GDIPlus.JPEG.Buffer.Overflow0.3緊急
9SSH.Client.Buffer.Overflow0.3重要
10Mambo.Function.Path.Validation0.3警告


(2) 新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに81件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、25件は積極的な攻撃を仕掛けたことが報告されています。
下記の図1は、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。


リンク
図1:深刻度で分類された、この項目における新たな脆弱性の範囲



詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
・不正侵入防止 - サービス更新履歴(※1)
※1:リンク


●最新のマルウェア


(1) 変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。


順位マルウェア変種%トップ100シフト
1W32/FakeAlert.D!tr.dldr16.8+1
2W32/Goldun.RV!tr.spy8.8新
3HTML/Goldun.AXT6.9+34
4W32/Goldun.RW!tr.spy6.1新
5W32/Zbot.FQL!tr.spy5.6新
6W32/ZBot.MG!tr.spy4.1新
7W32/Netsky!similar3.7+2
8HTML/Iframe_CID!exploit3.2+3
9W32/Virut.A3.1-3
10HTML/Iframe.DN!tr.dldr2.9+3


リンク
図2:トップ5のマルウェア変種の活動カーブ


(2) 地域と数量
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。10月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。


リンク
図3a:目立ったマルウェアの数量でみた地域トップ5


リンク
図3b:マルウェア総量の6カ月間のトレンド


リンク
図3c:固有のマルウェア数量の6カ月間のトレンド
地域ごとの日次活動の詳細は、当社のウイルス世界地図(※2)をご参照ください。
※2:リンク


●スパムの流通


(1) スパム出現率
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。図4は、その統計を営業日ごとにグラフ化したものです。


リンク
図4:全世界のEメール数量と比較したスパム出現率



(2) 実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。


リンク
図5a:スパムキャンペーンその1


リンク
図5b:スパムキャンペーンその2


リンク
図5c:スパムキャンペーンその3


●Webからの脅威


Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6は別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6にあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。


FortiGuardのカテゴリー %
ポルノ     64.5
マルウェア 21.0
スパイウェア 11.9
フィッシング 2.6


リンク
図6:Web脅威のトラフィック内訳


●活動の要約


今月は脅威勢力図に注目すべき様々な変化が起こりました。前回のレポート(※3)ではマルウェアの数量が2008年7月以来、どのように増加(その原因の主なものは、攻撃的なペースで配布された不正なセキュリティソフトウェア)してきたのか考察しました。この「スケアウェア」(不正なセキュリティソフトウエア)(偽のセキュリティツール)の減少に伴い、マルウェアの総量は10月に減少しました(図3b)。マルウェアの配布に関する統計を見ると、不正なセキュリティのトロイの木馬は2008年9月に報告されたマルウェア総量の約65%を占めています。この数字は10月に入ると30%にまで落ち、さらに11月末までには相当なペースで減少しました。その結果、このスケアウェアが脅威勢力図にもたらした影響がはっきり分かります(図3b)。11月に関していえば、マルウェアの総量は10月に比べて縮小しており、最高潮にあった9月から2カ月かけて減少の兆しがあります。不正なセキュリティのトロイの木馬であるW32/FakeAlert.D!tr.dldrはトップ10の首位に楽々と入ったものの(活動全体の16.8%を占める)、活動の命は短く、10月25日までにはレーダー網から消え去りました(図 2)。この数字を見ると、トップ5のうち3つの席を占めたGoldunファミリーが急成長したのに続き、スケアウェアが没落したのがよくわかります。Goldunというキーロガーのファミリーは2008年9月以来、トップ10入りを虎視眈々と狙っていましたが、クリスマス休暇シーズンに突入しようとしている今、トップ10に居座るものとみられます。ここで述べた2つのファミリーは、活動を隠ぺいするために異なるルートキットを使っており、動作を阻止するプロセス(アンチウイルスソフトウェアなど)を無効にします。
※3:リンク


脅威勢力図における最も劇的な変化はスパムの統計に表れています(図4)。11月12日には活動の急激な減少が見られ、スパム率はグローバルなEメールのおよそ3分の1にまで落ち込んでいます。この急落は主に、あるISP(McColo)が最近、業務停止したことによるものです。McColoはこれまで、スパムをまき散らすボットネットのコマンドおよびコントロールセンターをホスティングしていました。ボットネットが復活しているため、スパム率はすでに上昇傾向にあるものの、今回の措置は脅威勢力図に打撃を与えるもので、サイバー犯罪との戦いでは歓迎されています。図5a-5cで分かる通り、スパムはサイバー犯罪者たちの汚れた商品を運ぶ媒体としていまだに利用されています。悪意ある添付ファイルを含むこれら3つのEメールは、それぞれ異なるソーシャルエンジニアリングの戦術を利用しています(最も説得力があるのは図5cです)。これら3つのキャンペーンは全て、Goldunファミリー(つまりW32/Goldunの変種)を配布するために使われています。これら3つのEメールの添付物として、RW(トップ10の第3位)が検出されています。ここで興味深いことは、首位に入った不正なセキュリティアプリケーションのトロイの木馬であるW32/FakeAlert.Dが、添付ファイルとして図5bのEメールの1つからも見つかっていることです。同一の単純なソーシャルエンジニアリングの罠(しかしアンジェリーナ ジョリーを「彼」と呼んでいるところから、あまり信憑性はありません)、そして同一の表題が、異なるマルウェアファミリーから見つかっています。この、2つのキャンペーンで相乗りされたスパム媒体(つまりボットネット)は、間違いなく、今月のマルウェア トップ5に変種がランク入りするのを後押ししました。これは、様々なキャンペーン/組織が現在のアングラなインフラをエンジンとして使っていることを示す、何よりの実例です。スパムをまき散らすボットネットなどのサービスも利用されています。McColoの業務停止以来、マルウェアの水準は減少しましたが、それが顕著に現れたのは、偽のセキュリティアプリケーションおよびスケアウェアです(図2)。


スケア戦術は図5cに見る通り、スケアウェアという形式でも、スパム警告形式でも、大きな成果を上げてきました。このEメールはユーザに、彼らが監視されており、不正な活動を行ったためにサービスを停止されそうになっていると警告するものです。当然ながらエンドユーザは好奇心をそそられて、クレームの詳細が書かれているという触れ込みの添付ファイルを開きますが、結局はそれによってウイルスに感染するのだと、デレク マンキーは警告します。添付ファイルには常に用心して、操作を進める前にメッセージの完全性を検証してください。Webにおいては、マルウェアによる脅威が最も増加しており、分類された脅威活動の21%を占めています(前回のレポートでは14.5%でした)。Webに由来する感染が増加しそうなことから、今後数カ月は、より一層の活動が予測されます。最後に、今月観測された新しい脆弱性への攻撃(図1)も上昇傾向にあり、前回のレポートの27%から31%(81件の脆弱性のうち25件)に上昇していることをお伝えします。今月は、前月に比べて緊急度の高い脆弱性が増えています。ソフトウェアおよびブラウザは、全て最新のパッチを適用して最新の状態にしておくよう、あらためて注意喚起いたします。


ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。


免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。

用語解説

フォーティネット会社概要 (リンク)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから7種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア、アンチスパム)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

今日の主要記事