logo

フォーティネットウイルス対処状況レポート(2008年12月度)

下記のランキングは、2008年11月21日~12月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。


目次:


■ 脅威と侵入防御
(1) 脅威トップ10
(2)新たな脆弱性の範囲
■ 最新のマルウェア
(1) 変種トップ10
(2)マルウェア検知数は日本がトップ(地域と数量)
■ スパムの流通
(1) スパムの出現率
(2)実環境におけるスパムトップ3
■ Webからの脅威
Web脅威のトラフィック
■ 活動の要約


●脅威と侵入防御


(1) 脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「%」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。


順位脅威%深刻度
1Trojan.Storm.Worm.Krackin.Detection59.5重要
2MS.IIS.Web.Application.SourceCode.Disclosure2.5警告
3Danmec.Asprox.SQL.Injection2.0重要
4TCP.PORT01.8注意
5SSLv3.SessionID.Overflow1.6重要
6MS.Exchange.Mail.Calender.Buffer.Overflow 0.8重要
7MS.Network.Share.Provider.Unchecked.Buffer.DoS0.8重要
8MS.IE.HTML.Attribute.Buffer.Overflow0.8重要
9MS.SQL.Server.Insert.Statements.Privilege.Elevation0.7重要
10MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow0.6重要


(2) 新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに65件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、17件は積極的な攻撃を仕掛けたことが報告されています。
下記の図1は、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。
リンク
図1:深刻度で分類された、この項目における新たな脆弱性の範囲

詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
・不正侵入防止 - サービス更新履歴(※1)
※1:リンク


●最新のマルウェア
(1) 変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。


順位マルウェア変種%トップ100シフト
1W32/Zbot.GXN!tr.spy7.1新
2W32/Netsky!similar6.6+5
3Spy/OnLineGames6.0+75
4HTML/Iframe_CID!exploit5.9+4
5HTML/Iframe.DN!tr.dldr5.8+5
6W32/Virut.A5.2+3
7W32/Small.AACQ!tr.dldr3.7+12
8W32/Basine.C!tr.dldr3.4+3
9W32/AutoRun.SEH!worm2.4新
10W32/MyTob.BH.fam@mm2.2+4


リンク
図2:トップ5のマルウェア変種の活動カーブ


(2) 地域と数量
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。11月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。


リンク
図3a:目立ったマルウェアの数量でみた地域トップ5


リンク
図3b:マルウェア総量の6カ月間のトレンド


リンク
図3c:固有のマルウェア数量の6カ月間のトレンド
地域ごとの日次活動の詳細は、当社のウイルス世界地図(※2)をご参照ください。
※2:リンク


●スパムの流通


(1) スパム出現率
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。図4は、その統計を営業日ごとにグラフ化したものです。
リンク
図4:全世界のEメール数量と比較したスパム出現率


(2) 実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。


リンク
図5a:スパムキャンペーンその1


リンク
図5b:スパムキャンペーンその2


リンク
図5c:スパムキャンペーンその3


●Webからの脅威


Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6は別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6にあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。


FortiGuardのカテゴリー %
ポルノ     68.5
マルウェア 19.8
スパイウェア 8.6
フィッシング 3.2


リンク
図6:Web脅威のトラフィック内訳


●活動の要約


今月は脅威勢力図にいくつかの変化が起こりました。注目すべき変化の1つはマルウェア動向における推移で、トップ10には順位/活動が先月のレポートから大幅に増加している変種が並んでいます。今月、首位を占めたのはキーロガー/銀行取引用トロイの木馬であるW32/Zbot.GXNです。また、オンラインゲームにおけるトロイの木馬の動向も相変わらずで、Spy/OnlineGamesは、その盛んな活動で第3位に躍り出ました。オンラインゲームを標的にしたトロイの木馬は2008年4月以来、じわじわと増加しており(※3)、当社では、2009年に入ってもこの勢いが続くだろうと予測しています。これは、基本的にはオンラインゲームの人気が高まり種類も増えていることによるものですが、それに加えて、ゲームで取り扱われる仮想の資産が現実世界でも価値を持つようになったためでもあります。こうした仮想世界の市場は、世界中でショップを開くようになりました。注意しなければいけないのは、こうしたオンラインゲームのトロイの木馬は、ゲーム愛好家だけでなく、企業を含むあらゆるインターネットユーザへの脅威と受け取らなければいけないことです。PC上に取りついたトロイの木馬は巧みにセキュリティを危険にさらそうとしているため、脅威として捉える必要があります。
※3:リンク


2008年9月(※4)にサイバー空間に大打撃を与えた不正なセキュリティソフトウェア(「スケアウェア」)の活動は、このとき以来、急速に減りました。このキャンペーンは、短期間に前例のない数量で出現しました。その影響は脅威勢力図を席巻し、マルウェアの数量を膨れ上がらせました。その半面、これは大変に目立つもので、大きな注目を集め、いくつかの法廷闘争を引き起こしました。この問題は完全に消え去ったわけではありませんが、当座のところは9月にみられた絶頂期からの急激な活動の落ち込みが見られ、法的処罰ともあいまってセキュリティ空間における1つの勝利となっています。
※4:リンク


マルウェアの数量に関しては、利用時払いのスケアウェアの詐欺から、キーロギングと情報の横取り(サイフォニング)に推移していることが見て取れます。不正なセキュリティソフトウェアが暴れまくった後を追うように、W32/Goldunというキーロガーのファミリーが2008年9月に登場し、2008年10月(※5)および11月(※6)にトップ10を突き進みましたが、今月は勢力を失いつつあります。このキーロガーファミリーはルートキットを利用していますが、ルートキットは入手しやすいことと、人目を盗んで使えるところから、より広く使われるようになってきました。とりわけ情報を横取りする「データサイフォニング」の場合には、よく使われています。過去半年間のキーロガーとスケアウェアの活動の嵐の中で、W32/Virut.Aはなんとかトップ10に居座り続けました。
※5:リンク
※6:リンク


マルウェア、スパイウェア、フィッシング関連のWebサイトのトラフィックも、前回のレポートからあまり変化していません。全世界でのスパム出現率は顕著に増加しており(図4)、11月の40%台前半というレベルから10%以上アップしています。スパムをまきちらすボットネットが新年に向けて復帰したため、スパムのレベルも2009年に向けて引き続き増加しました。これは予測されていたことであり(McColo社の刷新は、一時しのぎの解決策と受け止められました)、当社では、2009年にはこうした法の執行がより活発になることを期待しています。サンノゼに本社を置くISPがオンライン活動を停止してからスパムの出現率が元通りになるまで、およそ1カ月を要しました。2009年に、このようなホスティング会社を閉鎖する動きが盛んになれば、こうしたスパムの出入り口を封じこめることになるでしょう。2008年はWeb 2.0プラットフォーム(つまり、ソーシャルネットワーキング)にスパムが仕込まれる事件が複数、発生しました。この傾向はすでに2009年に向けて続いており(※7)、さらに弾みがつくことは確実です。
※7:リンク


今月のスパムの配布については、2008年8月/9月にみられたのと同様のUPSスパムのキャンペーン(フォーティネットのレポート「War of the Rogues analysis(無法者の戦争を分析) (※8)」の図2を参照)が健在だったのが興味深い現象です。この期間に配布された、UPSからという触れ込みのEメール(図5bでは「United Postal Service」という名前になっている)には悪意あるペイロードが仕込まれており、少々手を加えたソーシャルエンジニアリングのキャンペーンになっていました。受け手の好奇心(小包の受け取り/送り状の閲覧)をくすぐることに加え、このEメールには素早く処理しないと料金が発生すると書かれていました。ここでも脅しの戦術が使われています。図5cは 「カナダ薬局」ギャングのご厚意により提供されたものですが、急降下している住宅市場(おもに米国)と金融危機という世情を逆手に取った興味深いスパムテンプレートを使っています。このスパムは低評価の住宅に高額の支払いをしている人々に対し、良い解決策があること約束します。こうしたご時世には非常に効果のあるソーシャルエンジニアリングの技法です。そしてリンクはお決まりのカナダ薬局のサイトにつながっており、偽物の薬品を押し売りします。カナダ薬局のギャングは最近、スパムに時事問題や新聞で大々的に取り上げられた出来事を利用し、実に効果的に被害者をだましているのです。
※8:リンク


ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。

用語解説

フォーティネット会社概要 (リンク)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから7種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア、アンチスパム)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

今日の主要記事