logo

フォーティネットウイルス対処状況レポート(2009年1月度)

下記のランキングは、2008年12月21日~2009年1月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。


目次:


■ 脅威と侵入防御
(1) 脅威トップ10
(2)新たな脆弱性の範囲
■ 最新のマルウェア
(1) 変種トップ10
(2)マルウェア検知数は日本がトップ(地域と数量)
■ スパムの流通
(1) スパムの出現率
(2)実環境におけるスパムトップ3
■ Webからの脅威
Web脅威のトラフィック
■ 活動の要約


●脅威と侵入防御


(1) 脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「%」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。


順位脅威%深刻度
1Trojan.Storm.Worm.Krackin.Detection44.1重要
2Danmec.Asprox.SQL.Injection5.3重要
3MS.SQL.Server.Insert.Statements.Privilege.Elevation3.8重要
4MS.Network.Share.Provider.Unchecked.Buffer.DoS3.6重要
5MS.IIS.Web.Application.SourceCode.Disclosu2.9警告
6TCP.PORT02.7注意
7SSLv3.SessionID.Overflow2.4重要
8HTTP.Server.Localhost.Request.Source.Code.Disclosure1.5重要
9MS.DCERPC.NETAPI32.Buffer.Overflow1.3緊急
10MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow1.0重要


(2) 新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに43件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、30.2%にあたる13件は積極的な攻撃を仕掛けたことが報告されています。下記の図1は、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。


リンク
図1:深刻度で分類された、この項目における新たな脆弱性の範囲

詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
・不正侵入防止 - サービス更新履歴(※1)
※1リンク


●最新のマルウェア
(1) 変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。

順位マルウェア変種%トップ100シフト
1Spy/OnLineGames8.8+2
2W32/Netsky!similar8.2-
3W32/Virut.A7.4+3
4HTML/Iframe.DN!tr.dldr7.1+1
5W32/Dropper.VEM!tr6.9-1
6W32/Dropper.VEM!tr5.4+94
7W32/MyTob.BH.fam@mm3.7+3
8W32/Small.AACQ!tr.dldr2.6-1
9W32/MyTob.AQ@mm2.1+6
10W32/Basine.C!tr.dldr1.9-2

リンク
図2:トップ5のマルウェア変種の活動カーブ


(2) 地域と数量
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。12月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。

リンク
図3a:目立ったマルウェアの数量でみた地域トップ5


リンク
図3b:マルウェア総量の6カ月間のトレンド


リンク
図3c:固有のマルウェア数量の6カ月間のトレンド


地域ごとの日次活動の詳細は、当社のウイルス世界地図(※2)をご参照ください。
※2:リンク


●スパムの流通


(1) スパム出現率
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。図4は、その統計を営業日ごとにグラフ化したものです。


リンク
図4:全世界のEメール数量と比較したスパム出現率


(2) 実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。


リンク
図5a:スパムキャンペーンその1


リンク
図5b:スパムキャンペーンその2


リンク
図5c:スパムキャンペーンその3


●Webからの脅威


下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6は別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6にあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。


FortiGuardのカテゴリー   %
ポルノ     68.3
マルウェア 19.3
スパイウェア 8.6
フィッシング 3.8


リンク
図6:Web脅威のトラフィック内訳


●活動の要約


先月はSpy/OnLineGamesによるオンラインゲームをターゲットにしたトロイの木馬が活動を大幅に拡大し、変種ごとに分類したマルウェア活動のトップ10で、一気にランクを75位も上げました。(※3)今月もSpy/OnLineGamesが探知されたマルウェア活動のうち、8.8%を占めて1位になっており、引き続き盛んな活動が観測されています。今月、このトロイの木馬は、単独ではなく、友達を引き連れてきました。その友達とはW32/Dropper.VEM!trです。オンラインゲームを狙う、もう一種類のトロイの木馬であるW32/Dropper.VEMは、Spy/OnLineGamesが先月成し遂げたのと同様の快挙を見せており、一気に94人抜いて6位にランク入りしています。これらのトロイの木馬は2008年初めから活動の波を生み出してきたものの、最近の活動の増加には目覚ましいものがあり、今年のこの分野での悪意ある活動の予測をさらに確固たるものにしています。2008年12月のマルウェアの総数量は2008年7月の水準にまで低下しており、この6カ月間の活動の波は、主に2008年9月に上昇した不正なスパイウェアの活動が突出した山を描く形となりました。
※3:リンク


しかし、だからといって安心してはいけません。たとえばWaledacのような比較的新しいボットネットもニュースをにぎわせています。図5aは、このマルウェアと連動して使われたEメールキャンペーンです。このキャンペーンにおけるソーシャルエンジニアリングは、バラク オバマ氏に注目しましたが、それはとてもシンプルなものです。このEメールは、あるURL(オバマの名前を含んでいる)へのリンクを提供しており、リンクをたどった先のサイトは、バラク オバマの選挙キャンペーンの公式ホームページのように見えます。言うまでもなく、それは間違いで、純粋なソーシャルエンジニアリングの「引っかけ」です。メールの本文(図5aを参照)には、様々な短いテキストのブロックが含まれており、その末尾には「Obama is not ready to be a president(オバマは大統領にはまだ早い)」や「Barack Obama has gone(バラク・オバマは去った)」といったリンクが張られています。またEメールの件名も変化に富んでおり、「What is going on with our Country?(我が国で何が起こっているのか?)」、「It is unbelievable!(信じられない!)」、あるいは「Have you heard these news?(このニュース、もう聞きましたか?)」などがあります。リンクされたサイトには実行ファイルが置かれており、それをダウンロードするとWaledacの変種が現れます(フォーティネットではこれをW32/MalPackKrypt.A!trとして探知しました)。再三、注意喚起していることですが、このキャンペーンとソーシャルエンジニアリングのひねりのきいた工夫は非常にダイナミックなものであるものの、防御方法はいつも同じです。こうした攻撃を阻止するには、適切なWebフィルタリング、アンチウイルス、侵入防御、アンチスパムが大いに役立つのです。


2008年11月にISPのMcColo が閉鎖され、それが一時的に全世界でのスパム率を引き下げましたが、スパムはMcColo閉鎖前の水準に戻ろうと必死にもがいています。今月のその他の注目すべきEメール(図5b/5c)には、経済危機と手を組んだ学位商法が含まれます(図5bの「New salary structure」(新しい給与体系)という件名をご参照)。オンラインで受講可能な、まっとうな学位/教育サービスも一部にはありますが、こうしたプランは多くの場合「何の信用証明にもならない学位」という結果に終わるのです。


MS08-067セキュリティ速報の悪用(フォーティネットのIPSが
「MS.DCERPC.NETAPI32.Buffer.Overflow」(※4)として探知)が2008年12月末に向かって急増し、その傾向が2009年1月中も継続した結果、これは今月の悪用トップ10リストの9位に入りました。詳しい情報は正式なFortiGuardアドバイザリー(※5)をご覧ください。この脆弱性に関する悪用活動が最も多く探知されたのは、2009年1月14日です。FortiGuardグローバルセキュリティリサーチチームは、この活動をつぶさに監視しています。この脆弱性に関する悪意ある活動はいまだ高いレベルにあるため、パッチ管理や有効なIPSソリューションの導入など、十分なセキュリティ対策をお勧めします。新たな脆弱性に対する悪用の数量は、先月の26.2%から今月は30.2%に跳ね上がっています。
※4:リンク
※5:リンク


ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate<TM>複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。


免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。

用語解説

フォーティネット会社概要 (リンク)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから7種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア、アンチスパム)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。