フォーティネットウイルス対処状況レポート（2009年3月度）

下記のランキングは、2009年2月21日～3月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。


目次：


■　脅威と侵入防御
（1） 脅威トップ10
（2）新たな脆弱性の範囲
■　最新のマルウェア
（1） 変種トップ10
（2）マルウェア検知数は日本がトップ(地域と数量)
■　スパムの流通
（1） スパムの出現率
（2）実環境におけるスパムトップ3
■　Webからの脅威
Web脅威のトラフィック
■　活動の要約


●脅威と侵入防御
(1)脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「％」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。
順位脅威％深刻度
1Trojan.Storm.Worm.Krackin.Detection62.6重要
2SSLv3.SessionID.Overflow 3.1重要
3Oracle.sys.pbsde.init.Buffer.Overflow2.2警告
4MS.DCERPC.NETAPI32.Buffer.Overflow2.0緊急
5MS.IIS.Web.Application.SourceCode.Disclosure2.0警告
6MS.Exchange.Mail.Calender.Buffer.Overflow1.6重要
7MS.IE.HTML.Attribute.Buffer.Overflow1.3重要
8MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow1.3重要
9MS.Windows.NAT.Helper.DNS.Query.DoS 1.0重要
10MS.CMM.ICC.Profile.Buffer.Overflow0.8重要


リンク
図1a：マルウェアが検知された地域トップ5


（2） 新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに85件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、16.5％にあたる14件は積極的な攻撃を仕掛けたことが報告されています。下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。
リンク
図1b：深刻度で分類された、この項目における新たな脆弱性の範囲


詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
・不正侵入防止 – サービス更新履歴（※1）
※1：リンク


●最新のマルウェア
（1）変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。
順位マルウェア変種％トップ100シフト
1W32/Virut.A9.2+1
2W32/Netsky!similar8.3-1
3HTML/Iframe.DN!tr.dldr7.9+1
4HTML/Iframe_CID!exploit7.5-1
5Spy/OnLineGames 6.6-
6W32/MyTob.FR@mm3.1+7
7W32/MyTob.fam@mm2.6-1
8W32/Delf.AYO!tr2.5+8
9Adware/Bdsearch1.9+10
10W32/Basine.C!tr.dldr1.6-1


リンク
図2：トップ5のマルウェア変種の活動カーブ


（2） 地域と数量
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。2月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。


リンク
図3a：目立ったマルウェアの数量でみた地域トップ5
リンク
図3b：マルウェア総量の6カ月間のトレンド
リンク
図3c：固有のマルウェア数量の6カ月間のトレンド
地域ごとの日次活動の詳細は、当社のウイルス世界地図（※2）をご参照ください。
※2：リンク


●スパムの流通
（1） スパム出現率 日本はスパム量が2位
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。


リンク
図4a：全世界のEメール数量と比較したスパム出現率
リンク
図4b：受信したスパム数が多い地域トップ5


（2） 実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。


リンク
図5a：スパムキャンペーンその1
リンク
図5b：スパムキャンペーンその2
リンク
図5c：スパムキャンペーンその3


●Webからの脅威
Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大（または減少）を前期比で示したものです。
FortiGuardのカテゴリー 　　％
ポルノ 　　　　65.2
マルウェア 24.4
スパイウェア 8.7
フィッシング 1.7


リンク
図6a：Web脅威のトラフィック内訳
リンク
図6b：Web脅威のトラフィックの月別成長率


●活動の要約
新しいマルウェア変種は3カ月連続トップ10入りすることを断念しました。マルウェアの活動で最も増加が目立っていたのは、W32/MyTob.FR、W32/Delf.AYO、そしてAdware/Bdsearchでした。とはいえ最も有名な変種であるW32/Virut.A（※3）は有利な立場にあります。Virut.Aはここ1年、常にトップ10に座り続け、しばしばトップ5入りを果たしています。これが今月号ではNetskyを破ってとうとう首位につきました。フォーティネットのサイバーセキュリティと脅威に関する調査担当プロジェクトマネージャーのデレク マンキー（Derek Manky）によれば、Virutの変種が首位に入ったのはこれが初めてです。こうしたVirutの成果に貢献したと思われるのは、その混合型の性質です。詳細はこちらをご覧ください。（※4）W32/Basine.Cは4カ月（2008年11月（※5）には11位という恐るべき順位だったため、5カ月に近いといえます）連続してマルウェアのリストに登場しています。このトロイの木馬ダウンローダは、W32/Delf.AYOと非常に似ているようです。どちらもノートパッドで「Message」と呼ばれるランダムな不要データが入ったファイルを開きますが、これはMyDoomファミリーの顕著な特徴です。この2つの変種は異なったふるまいをすることがわかっていますが、最新のマルウェア／複合脅威が、いかに既存のインフラの上に成り立っているかを示すよい例です。MyDoomのソースコードはある期間、出回っていましたが、これが他の悪意あるコードに再コンパイルされたことは間違いありません。もちろん、その他にも多数の例があります。しばしば、ハッキングをしようとしている人たちに、悪用キットなどのリソースパックとしてツールが販売されていました。Basine.CとDelf.AYOは図5cの左側のウィンドウに示された通り、同じEメールキャンペーンで散布されたことがわかっています。これらは「postcard.zip」という名前の添付ファイルを使い、Eカードを装って送られてきます。
※3：リンク
※4：リンク
※5：リンク


図5cの右側のウィンドウに示されたメールは、インフラ利用のもう一つの例です。ご覧になると分かる通り、この2つのメールは合法的な名前（ホールマーク）を利用してソーシャルエンジニアリング攻撃を強化しているところが非常に似ています。最初にご紹介したメールには実際にBasine/Delfが添付されている一方、2番目のものは同様にEカードを装いながら、感染したサーバ内の実行ファイルに飛ぶハイパーリンクを使うという異なるアプローチを取っています。後者のメールキャンペーンはZapchastファミリーの変種を散布しました。これらのキャンペーンは同じボットネットによるものか、少なくともスパム作成時に、同じ基本テンプレートを使っています。Basine.C/Delf.AYOはノートパッドのメッセージを通して実行時に視覚的確認ができるのに対し、Zapchastを使ったこちらの絵葉書キャンペーンは、ポップアップするレーニア山の写真（図5cの右下に表示した、米国ワシントン州の名所）によって視覚化しています。今月の特筆すべきスパムキャンペーンにはこのほか、図5aに示したデルタ航空からのEチケットを装う添付ファイルのZBotトロイの木馬があります。図5bはロケーションベースサービスという、最近増えつつあるトレンドを示しています。これはモバイル市場で人気を集めつつあるサービスの一般名称ですが、特定の地域に的を絞った攻撃戦略が増えています。通常、これはgeoIPサービスなどを介して行われ、マルウェアは、拠点となる地域にあわせた活動をします。Confickerの変種がその例です。図5bは実はカナダ薬局のギャングにリンクしていますが、日本の閲覧者を標的に、大規模なドメイン／IPのプールを経由してカナダ薬局の事業体の一つに通じる通常のリンクを提供しています。このような地域限定攻撃の次の事例はWaledacからもたらされました。ここではスパムは受け手に向けてカスタマイズされています。WaledacによるEメールキャンペーンは、偽物のロイターの記事見出しを掲載したサイトへのリンクを使っており、その見出しにはある地域で起きた爆発事故のことが書かれています。その地域とはスパム受信者の近所です。もちろんこれらのサイトはWaledacの変種もダウンロード用にホスティングしています。この手法により、より高いレベルのソーシャルエンジニアリングが行えることは間違いありません。クリックするときには必ず、自分が飛ぼうとしているリンクがどのようなものであるか注意してください。とりわけ、このような未承諾メールの場合は注意が必要です。


Confickerの活動は引き続き盛んで、ConfickerがMS08-067の弱点を利用したことにより、今月の脅威トップ10の4位に入りました。またフォーティネットは、Confickerの新しい変種W32/Conficker.C!worm（※6）が浮上してきたことを検知しました。特筆すべき変化として、ドメイン発生アルゴリズムが挙げられます。これまでは、さほど高くない頻度で500件のドメインに対するクエリが実行されていた状態でしたが、今や5万件のドメインが生成される状況までに悪化しています。そして4月1日には、Confickerが一斉に活動を開始するという新しい時限爆弾もあります。この時限爆弾がひとたび命中すれば、Confickerは前述のドメインを盛んに、クエリを試みるようになるでしょう。このマルウェアはセキュリティプロセスを無視する試みに加え、フォーティネットを含む特定のドメインに向かうWebトラフィックをブロックします。またWindowsアップデートのようなセキュリティ更新もブロックし、パッチ管理の仕組みをむちゃくちゃにします。そのため、このようなマルウェアの影響を緩和するため、複数レイヤの有効なセキュリティソリューションに加えて積極的なパッチ管理戦略を導入するようご提案いたします。Fortineでは、この脅威を引き続き監視していきます。トップ10ランキングに浮上したもう一つの注目に値する脅威、Oracle buffer overflowは第3位に鎮座しています。この脅威はSQLインジェクション攻撃をほのめかしており、こうした攻撃が引き続き流行していることを示すもう一つの例となっています。
※6：リンク


中国は地域別の悪用活動で5位に移動した一方（図1a）、台湾は地域別のマルウェア活動で5位に入りました（図3a）。Web脅威のトラフィック内訳はマルウェアが増加し、先月の20.8％から24.4％に上昇しました。また全世界でのスパム出現率はついに少し減少しましたが、それでも一定のレベルにあるため、喜んでばかりはいられません。出現率はずば抜けたものではないものの、引き続き、スパムの巧妙さと危険性は増加しています。地域限定攻撃はその一例です。


ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。


免責条項：
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。