フォーティネットウイルス対処状況レポート（2009年2月度）

下記のランキングは、2009年1月21日～2月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。


目次：


■　脅威と侵入防御
（1） 脅威トップ10
（2）新たな脆弱性の範囲
■　最新のマルウェア
（1） 変種トップ10
（2）マルウェア検知数は日本がトップ(地域と数量)
■　スパムの流通
（1） スパムの出現率
（2）実環境におけるスパムトップ3
■　Webからの脅威
Web脅威のトラフィック
■　活動の要約


●脅威と侵入防御
1. 脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「％」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。
順位脅威％深刻度
1Trojan.Storm.Worm.Krackin.Detection62.7重要
2MS.IIS.Web.Application.SourceCode.Disclosure3.0警告
3SSLv3.SessionID.Overflow2.2重要
4MS.DCERPC.NETAPI32.Buffer.Overflow2.0緊急
5MS.Exchange.Mail.Calender.Buffer.Overflow1.5重要
6SSH.Client.Buffer.Overflow1.2重要
7MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow1.2重要
8MS.IE.HTML.Attribute.Buffer.Overflow1.1重要
9MS.Windows.NAT.Helper.DNS.Query.DoS0.9重要
10Squid.NTLM.Authentication.Buffer.Overflow0.5緊急


リンク
図1a：マルウェアが検知された地域トップ5


（2） 新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに117件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、25.6％にあたる30件は積極的な攻撃を仕掛けたことが報告されています。下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。


リンク
図1b：深刻度で分類された、この項目における新たな脆弱性の範囲


詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
●不正侵入防止 - サービス更新履歴（※1）
※1:リンク


●最新のマルウェア
（1） 変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。
順位マルウェア変種％トップ100シフト
1W32/Netsky!similar9.3+1
2W32/Virut.A7.8+1
3HTML/Iframe_CID!exploit7.8+2
4HTML/Iframe.DN!tr.dldr6.3-
5Spy/OnLineGames6.0-4
6W32/MyTob.fam@mm3.5+5
7W32/MyTob.BH.fam@mm2.5-
8W32/PWS.Y!tr2.2+29
9W32/Basine.C!tr.dldr2.1+1
10W32/MyTob.AQ@mm2.0-1


リンク
図2：トップ5のマルウェア変種の活動カーブ


（2） 地域と数量
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。1月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。


リンク
図3a：目立ったマルウェアの数量でみた地域トップ5
リンク
図3b：マルウェア総量の6カ月間のトレンド
リンク
図3c：固有のマルウェア数量の6カ月間のトレンド
地域ごとの日次活動の詳細は、当社のウイルス世界地図（※2）をご参照ください。
※2：リンク


●スパムの流通


（1） スパム出現率
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。


リンク
図4a：全世界のEメール数量と比較したスパム出現率


リンク
図4b：受信したスパム数が多い地域トップ5


（2） 実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。


リンク
図5a：スパムキャンペーンその1


リンク
図5b：スパムキャンペーンその2


リンク
図5c：スパムキャンペーンその3


●Webからの脅威


Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大（または減少）を前期比で示したものです。
FortiGuardのカテゴリー 　　％
ポルノ 　　　　68.5
マルウェア 20.8
スパイウェア 8.6
フィッシング 2.2

リンク
図6a：Web脅威のトラフィック内訳

リンク
図6b：Web脅威のトラフィック内訳


●活動の要約
今月号のフォーティネットウイルス対処状況レポートには、新しい項目が追加されました。6カ月間のマルウェア数量トレンド（図3b/3c）は、今回から月単位でなく対象期間ごとにグループ化しています。また、地域ごとの活動は、今回からアンチスパムおよびIPSについて表示します（図1a/4b）。カテゴリーごとのWebトラフィックにおける個々の伸び率は図6bに示しています。マルウェアが探知された地域トップ5をみると、今月号ではインドが群を抜いて多いことが分かり（図1a）、全世界における探知の4分の1以上を占めています。新たな脆弱性については、実効性のある悪用は先月号（※3）の30.2％から25.6％に減少しました。しかし新たに報告された脆弱性の数に目を移すと、今回は117件で、前回の43件に比べて3倍近くに増えています。よく知られたMS08-067（※4）の脆弱性につけ入るConfickerは依然として実環境で暴れまくっています。現在までのところ一番活動が盛んだったのは2009年2月14日で、パッチが適用になってからも約4カ月にわたり活動していることになります。2月には古い脆弱性（MS08-067の例など）を悪用して今後の活動増大が懸念される新たなゼロデイ攻撃が引き続き広い範囲で検知された一方で、新たに報告された脆弱性も増えつつありました。経済が先細りする中でも、サイバー犯罪者たちにとっての悪事のタネは尽きないようです。このことをしっかりと心に刻み、厳格なパッチ管理のガイドラインと有効なIPSソリューションを導入し、暴れまくっている脅威の媒介物をブロックする必要があります。
※3：リンク
※4：リンク


マルウェアの活動状況は前回のレポートとほぼ同様で、トップ10には2カ月連続で新しい変種が登場しませんでした。今月号で2位の座を死守したW32/Virut.Aは2008年初頭以来、トップ10に執拗に居すわり続けています。Spy/OnLineGamesによるオンラインゲームの脅威は、前回の第1位から転落しましたが、依然として活発な活動を続けています。そして最もめざましく飛躍したのはトロイの木馬ZapchastのファミリーであるW32/PWS.Yという変種で、8位に滑り込んでいます。また、今月号で最も興味をそそるであろうマルウェアキャンペーンはWaledacで、バレンタインデーのテーマを使ったありとあらゆる変種を使って広がりました。1月に初めて探知されたWaledacのキャンペーンは、主に大量メールエンジンを使って2月中、活発な活動を繰り広げました。図5aに示したメールは単純なもので、ユーザーをバレンタインデーのEカードに通じるリンクに誘い込みます。そのサイトを訪問すると、一見したところカードをダウンロードするように見えるリンクが表示されますが、これはもちろん悪意ある実行ファイル（Waledac）です。1カ月以上にわたって活動停止を免れてきたこのキャンペーンは本稿執筆の時点でも現役で、Fast Flux手法や様々なドメインおよびサブドメインを利用しています。悪意あるサイトの管理者は、ダウンロードされた実行ファイルのファイル名を頻繁に「love.exe」「lovekit.exe」などの名前に変更しています。バレンタインデー以来、彼らはサイトのテーマを変更し、「Couponizer」と銘打ったオンラインクーポンを提供しています。そしてモバイルというもう一つの世界でも、興味深いマルウェアが出現しました。フォーティネットは2月に「SymbOS/Yxes.A」の登場を報告しましたが、これはSMSメッセージや悪意あるHTTPリンクを通して広がる新しい携帯電話ワームです。詳細はこちらのアドバイザリー（※5）をお読みください。
※5：リンク


スパム出現率のピークは約55％で前回より少々落ちましたが、2008年末のような低いレベルには程遠いものです。スパム出現率が安定した分量に落ち着いている期間は今回が2度目ですが、私たちがスパムを撒き散らす最新のボットネットと闘っている中で、これはもちろん歓迎すべき事実とはいえません。図4bで分かる通り、地域別では米国で最も多くのスパムが見つかり、カナダは世界のスパム活動の5.3％を占めています。WaledacによるEカード詐欺キャンペーンの他にも、経済危機に便乗した詐欺Eメールが引き続き殺到しています。図5bにあるEメールはクレジットカードの負債を軽減するという触れ込みで、疑わしいフィッシングサイト（現在は休止中）へのリンクを提供しています。これは疑うことなく、全世界に広がっている戦術です。図5cに示されたドイツ語のメールのタイトルを訳すと「仕事をお探しですか？」となります。これまたドイツ語で書かれたEメールの本文では「財務マネージャー」なる役職を提示していますが、その仕事内容とは得意先の取引を処理することで、主に資金の移転を行います。このEメールでは、雇用主がこうした資金移転の詳細を送付するとしており、この役職の月収は2,000ドル、それに資金移転ごとに移転金額の5％のコミッションが付くということです。これは古典的な現金運び屋という闇の仕事であり、人々は、不景気の環境下においてはこのような罠に引っ掛かる危険があります。フォーティネットのサイバーセキュリティと脅威に関する調査担当プロジェクトマネージャーのデレク マンキー（Derek Manky）は、合法的な仕事が減っている中で、非合法な仕事が作りだされていると指摘します。


カテゴリーごとのWeb脅威活動の状況は前回のレポートとほとんど同じですが、2009年2月を期末とする今回のレポートではすべてのカテゴリーがマイナス成長となっています（図 6b）。こうした減少がみられたのは、2008年11月／12月を通してこれらのカテゴリーが大成長したクリスマスシーズン以来、今回が2度目のことです。驚くべきことではありませんが、クレジットカード番号が大量に飛び交った2008年12月は、前月比でフィッシングがずば抜けて多くなっています。図6a／6bに示された脅威はさておき、有効なWebフィルタリングソリューションは、Waledacなどのキャンペーンが操る悪意あるサイト（図5a）へのアクセスをブロックするのにも役立つことを肝に銘じましょう。


ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。


免責条項：
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。