フォーティネットウイルス対処状況レポート（2009年6月度)

下記のランキングは、2009年5月21日～6月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。

目次：
■　脅威と侵入防御
（1） 脅威トップ10
（2）新たな脆弱性の範囲
■　最新のマルウェア
（1） 変種トップ10
（2）マルウェア検知数は日本がトップ(地域と数量)
■　スパムの流通
（1） スパムの出現率
（2）実環境におけるスパムトップ3
■　Webからの脅威
Web脅威のトラフィック
■　活動の要約

●脅威と侵入防御
(1)脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「％」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。

順位脅威％深刻度
1MS.Windows.MSDTC.Heap.Overflow13.3警告
2MS.SQL.Server.Empty.Password10.0重要
3MS.DCERPC.NETAPI32.Buffer.Overflow6.9緊急
4SSLv3.SessionID.Overflow5.5重要
5HTTP.URI.Overflow4.7緊急
6MS.Windows.NAT.Helper.DNS.Query.DoS4.5重要
7MS.Exchange.Mail.Calender.Buffer.Overflow3.5重要
8MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow2.6重要
9MS.Windows.Messenger.Service.Buffer.Overflow1.4重要
10FTP_bounce_attack1.2重要

リンク
図1a：マルウェアが検知された地域トップ5

(2)新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに108件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、57.4％にあたる62件は積極的な攻撃を仕掛けたことが報告されています。下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。

リンク
図1b：深刻度で分類された、この項目における新たな脆弱性の範囲

詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
・不正侵入防止 – サービス更新履歴（※1）
※1：リンク

●最新のマルウェア
(1)変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。

順位マルウェア変種％トップ100シフト
1W32/OnlineGames.BBR!tr14.3new
2W32/Zbot.M!tr.pws11.4+55
3W32/Zbot.V!tr.pws7.5new
4W32/Virut.A7.5-2
5JS/PackRedir.A!tr.dldr4.2+36
6HTML/Iframe.DN!tr.dldr3.2-3
7Adware/AdClicker2.9-2
8W32/FraudLoad.EPB!tr2.8new
9W32/Dloadr.CMV!tr2.6new
10W32/Dropper.PTD!tr2.6-9

リンク
図2：トップ5のマルウェア変種の活動カーブ

(2)地域と数量　日本はマルウェア量が2位
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。6月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。

リンク
図3a：目立ったマルウェアの数量でみた地域トップ5

リンク
図3b：マルウェア総量の6カ月間のトレンド

リンク
図3c：固有のマルウェア数量の6カ月間のトレンド
地域ごとの日次活動の詳細は、当社のウイルス世界地図（※2）をご参照ください。
※2：リンク

●スパムの流通
(1)スパム出現率　日本はスパム量が3位
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。

リンク
図4a：全世界のEメール数量と比較したスパム出現率

リンク
図4b：受信したスパム数が多い地域トップ5

(2)実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。

リンク
図5a：スパムキャンペーンその1

リンク
図5b：スパムキャンペーンその2

リンク
図5c：スパムキャンペーンその3

●Webからの脅威
Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大（または減少）を前期比で示したものです。

FortiGuardのカテゴリー 　　％
ポルノ 　　　　51.3
マルウェア 38.6
スパイウェア 5.4
フィッシング 4.7

リンク
図6a：Web脅威のトラフィック内訳

リンク
図6b：Web脅威のトラフィックの月別成長率

●活動の要約
この時期の脅威に関する状況については少々興味深い展開が見られました。ウェブ上で脅威となるトラフィックは全般的に増加していますが、マルウェアとフィッシングには注目すべき差異が見られます。図6bの通り、フィッシングは最も高い増加を示しており、マルウェアがそれに続いています。これは、悪意あるサイトに向けられるトラフィックが増加しており、オンラインの利用と脅威が次世代に向かう傾向が継続していることを示しています。図3bでは、ウェブから発生するマルウェアの増加に伴って、検出量が着実に増加していることが示されています。2009年3月以降、マルウェアの検出は増加していますが、図3bに見られる通り、新種のマルウェアの検出量自体には比較的、変化がありません。インターネットを利用する犯罪者は、膨大な量の脆弱性を持ったサービスを利用している大規模なオンラインコミュニティに助けられ、彼らの作り出した脅威に大量のトラフィックを流し込むことに成功しているように思われます。

前回のレポート（※3）でも46.4%という高い悪用率が示されましたが、今回報告された108件の脆弱性のうち62件が悪用されました。新たに報告された脆弱性の過半数が攻撃をうけており、悪用率は57.4%となっています。図1aに見られる通り、この活動は主としてアメリカにおけるもので、次が急増して第2位となったシンガポール、そしてスペインが第5位となっています。
※3：リンク

最近では初めて、Netskyが当社のマルウェアのトップ10リストの圏外になりました。今年見られる脅威の主な傾向としては、オンラインゲームの情報を狙うトロイの木馬とVirutの2つが挙げられます。オンラインゲームの情報を狙うトロイの木馬は非常に活発な活動を維持しており第1位と第10位を占めています。Zbotの大規模な活動によってW32/Virut.Aは2ランク下がって第4位となりました。Zbotの変種W32/Zbot.MとW32/Zbot.Vが第2位と第3位を占めています。Zbotは大幅な広がりを見せているキーロギング/データサイフォニング機能を持ったトロイの木馬で、eCardを装う電子メールでペイロードを広げ、今月特に活動を活発化させています。図2に見られるように、W32/Zbot.MとW32/Zbot.Vによって、Zbotの活動は2日間で最大の急増を示しています。JS/PackRedir.A（※4）が順位を36位上げて、当社のマルウェアのトップ10リストの第5位にランクされたことも興味深いことです。これは難読化されたJavaスクリプトで、PDFファイルやSWFファイルを介して、悪意あるコンポーネントをホストする悪意あるサイトに訪問者をリダイレクトさせるものです。このことは、バイナリパッカーを介したものか、処理されたスクリプトを利用したものであるかにかかわらず、難読化されたツールによる攻撃の流行を示すものであり、上述したウェブから派生するマルウェアの攻撃の増加の一因にもなっています。
※4：リンク

スパム発信元疑惑のあった3FN/Pricewert（※5）の解体は、スパムレートに直接の影響を与えていないようです。昨年11月、今や有名になったMcColoの解体後、スパムレートは大幅に減少し、回復には2か月以上かかりました。6月初めの3FN/Pricewertの解体後、スパムレートはかなり一定していますが、多数のスパムキャンペーンが引き続き積極的かつ活発に行われています。地域的にはフランスが最も多くのスパムを受信しており（図4b）、カナダとスペインが第4位と第5位にランクされています。図5aと5bはこれを反映し、さまざまなソーシャルエンジニアリング/キャンペーンがZbotマルウェアへのリンクに利用されていることを示しています。図5cは、eカードを装ったカナダ薬局を名乗るグループの活発な活動が示しています。カナダ薬局を名乗るグループやその他のキャンペーン（図5bおよび5c参照）には、ユーザーを引き付ける単純なHTM添付ファイルが使用されています。このHTMファイルには通常「<meta httpequiv=' Refresh' content='0; url=リンク />」という内容が含まれています。
※5：リンク

ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate＜TM＞複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

免責条項：
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。