logo

フォーティネットウイルス対処状況レポート(2009年7月度)

下記のランキングは、2009年6月21日~7月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。

目次:
■ 脅威と侵入防御
(1) 脅威トップ10
(2)新たな脆弱性の範囲
■ 最新のマルウェア
(1) 変種トップ10
(2)マルウェア検知数は日本がトップ(地域と数量)
■ スパムの流通
(1) スパムの出現率
(2)実環境におけるスパムトップ3
■ Webからの脅威
Web脅威のトラフィック
■ 活動の要約

●脅威と侵入防御
(1)脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「%」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。
順位脅威%深刻度
1MS.DCERPC.NETAPI32.Buffer.Overflow10.8緊急
2HTTP.URI.Overflow10.1緊急
3MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow5.1重要
4MS.Windows.ASN.1.Bitstring.Overflow1.8重要
5Hidden.Iframe.Injection.Attack1.7警告
6MS.IE.HTML.Attribute.Buffer.Overflow1.6重要
7MS.Exchange.Mail.Calender.Buffer.Overflow1.4重要
8PNG.Image.Integer.Overflow1.3緊急
9FTP.Bounce.Attack1.2重要
10CRC32.SSH.NOOP1.0緊急

リンク
図1a:マルウェアが検知された地域トップ5

(2)新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに89件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、30.3%にあたる27件は積極的な攻撃を仕掛けたことが報告されています。下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。
リンク
図1b:深刻度で分類された、この項目における新たな脆弱性の範囲

詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
不正侵入防止:サービス更新履歴(※1)
※1:リンク

●最新のマルウェア
(1)変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。

順位マルウェア変種%トップ100シフト
1W32/OnlineGames.BBR!tr42.9-
2W32/Virut.A9.7+2
3JS/PackRedir.A!tr.dldr3.2+2
4W32/FakeAlert.EI!tr3.1new
5HTML/Iframe.DN!tr.dldr2.9+1
6W32/Netsky!similar2.3+5
7Adware/AdClicker2.3-
8HTML/Iframe_CID!exploit2.1+4
9W32/MyTob.fam@mm1.8+6
10Spy/OnLineGames1.3+10

リンク
図2:トップ5のマルウェア変種の活動カーブ

(2)地域と数量 日本はマルウェア量が3位
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。7月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。

リンク
図3a:目立ったマルウェアの数量でみた地域トップ5

リンク
図3b:マルウェア総量の6カ月間のトレンド

リンク
図3c:固有のマルウェア数量の6カ月間のトレンド

地域ごとの日次活動の詳細は、当社のウイルス世界地図(※2)をご参照ください。
※2:リンク

●スパムの流通
(1)スパム出現率 日本はスパム量が2位
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。

リンク
図4a:全世界のEメール数量と比較したスパム出現率

リンク
図4b:受信したスパム数が多い地域トップ5

(2)実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。

リンク
図5a:スパムキャンペーンその1

リンク
図5b:スパムキャンペーンその2

リンク
図5c:スパムキャンペーンその3

●Webからの脅威
Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大(または減少)を前期比で示したものです。

FortiGuardのカテゴリー   %
ポルノ     52.5
マルウェア 38.7
スパイウェア 4.6
フィッシング 4.2

リンク
図6a:Web脅威のトラフィック内訳

リンク
図6b:Web脅威のトラフィックの月別成長率

●活動の要約
6月末から7月にかけては、脅威勢力図に興味深い出来事が多数登場しました。マルウェアでは、オンラインゲームを標的にしたトロイの木馬が今期最も多く検知され、その中でもW32/OnlineGames.BBRが全マルウェア活動の43%を占めるという勢いで前号のレポート(※3)に続いて1位の座を守っています。この最新の攻撃は図2に示すとおり、7月5日から急増していて、その活動のピークは7月8日です。このキャンペーンは続いており、日次ベースで非常に盛んな活動を展開しています。その他には、常連のW32/Virut.AおよびJS/PackRedirが前回のレポートから勢力を伸ばしています。 実際、今月探知したW32/Virut.Aの活動は記録的な水準に達しており、この巨大な怪物が、とりわけアジアにおいて圧倒的な脅威となっている事実を浮き彫りにしています。今月のトップ10の新顔はW32/FakeAlert.EIで、これはまたしてもアンチウイルスの不法なトロイの木馬(スケアウェア)です。デジタルの地下世界でスケアウェアによる詐欺は引き続き大流行しており、1年近く前の2008年8月に当社が大量攻撃(※4)を初めて報告した頃に比べると、非常に多種多様なものになっています。7月にはSymbOS/Yxes.EとSymbOS/Yxes.F(※5)の発生がありましたが、これは私たちが2月に初めて報告したYxesの最新の変種です。このマルウェアに関する詳細は、このブログ記事(※6)(英語のみ)をご参照ください。とりわけJSPを介したYxesの動的コンテンツは、複数プラットフォームによって分裂した市場にサイバー犯罪者たちがどのように対応しているのか、その第一歩をよく示しています。これは重要なことです。というのも悪意あるバイナリコードは、たったひとつの標的(つまりWindows、OS/X)を狙って書かれていることが多いからです。従来型のデスクトップではこれらの標的は限られていました。しかし携帯市場となると標的の数は増加しており、その種類も多様化しています。そのため、Yxesが行ったように、マルウェアのパッケージが提供する動的アドレスは、この課題を軽減するのに役立つテクニックであり、近い将来、この分野でどのような脅威が登場するかを暗示するものでもあります。
※3:リンク
※4:リンク
※5:リンク
※6:リンク

新たな脆弱性による実際の悪用率(図1b)は、前回レポートの55%以上という年間記録から30%に沈静化したものの、まだまだ安心はできません。もっとも顕著なものでは、インザワイルドの2つのエクスプロイトが今月、波風を立てています。そのうちのひとつは、さかんに取り沙汰されたMS ActiveX Videoコントロール(CVE-2008-0015、こちらのFortiGuard Advisoryを参照(※7))で、マイクロソフトが7月14日にMS09-032で最初のパッチを発行しています。この脆弱性に対する悪用活動は今月を通してさかんに行われましたが、比較的低いレベルにとどまり、その活動のほとんどは韓国、中国、日本で探知されています。2番目の脆弱性であるMS Office Web Components(CVE-2009-1136、こちらのFortiGuard Advisoryを参照(※8))は、本稿執筆の時点ではパッチが発行されていないゼロデイで、その探知率は比較的低く、主な活動は中国、インド、日本で展開されています。しかしながら、どのようなエクスプロイトも大きな損害を引き起こす可能性があることを肝に銘じるべきです。後者(ゼロデイ)に対するエクスプロイトは、パッチが準備されていないだけに成功してしまうことが多いのです。上記の各アドバイザリで述べているとおり、FortiGuard IPSはこの2つの攻撃に対する悪意ある活動を探知および阻止しています。FortiGuardグローバルセキュリティリサーチチームは上の2番目の脆弱性(※9)に対するエクスプロイトコードを7月11日に初めて発見し、即座に所見を報告(※10)しました。
※7:リンク
※8:リンク
※9:リンク
※10:リンク

スパムの世界は引き続き進化しており、eカードがソーシャルエンジニアリングで好んで使われるフックとなっていますが、とりわけカナダ薬局のケースではそれが顕著です。今月は、先月から引き続いて様々な技法をこらしたeカードのスパム攻撃が目撃されました。その大半は、最終的に被害者をカナダ薬局のドメインに誘い込みます。2008年1月の記事(※11)で説明したように、辞書に記載された2つの単語を組み合わせることで自動的に登録されたこれらのドメインは、この活動が始まって以来、2年以上も登録されたままです。アフィリエイトスポンサーという、より勢いづいたカナダ薬局の成功により、多くのサイバー犯罪者たちが詐欺的な医薬品の広告を出し、カナダ薬局に成り代わって前述のドメインにトラフィックを送り込んでいます。その総決算は、カナダ薬局のギャングとアフィリエイトのポケットに大金をもたらすことになりました。これは、様々なスパムキャンペーンとテクニックを観察して(図5a/5bおよび先月の図5c(※12)で示すとおり)明らかになったことです。今月、このeカードスパムは主に直接リンク(図5a)、Googleグループ、写真共有サービスのTinypic(図5b)を利用しています。
※11:リンク
※12:リンク

Googleグループのキャンペーンが利用している自動リダイレクトは新しいものではないものの、Tinypicを使っているのは、スパムが新興プラットフォームにじわじわと手を伸ばしているもう一つの例として、大変に興味深いものです。Eメールを経由する従来型のスパムはいまだ健在であるものの、当社ではソーシャルネットワーキング・サイトなどの新しい「Web 2.0」プラットフォームを介したスパム攻撃を予言し、報告してきました。サイバー犯罪者たちは探知を逃れるため、過去にTinyurlなどのサービスを利用し、自らの悪意あるURLをぼかしてきました。Tinypicもそれと同様で、最近は正当なサービスプロバイダが図らずも悪意あるリソースを背負ってしまうのに利用されるという実例です。画像や、そのリンクがどのように見えるかにかかわらず、ハイパーリンクが実際にどこに飛んでいくのか常に留意し、細心の注意を払ってください。図5cは、増大するゾンビのP2Pネットワークを経由してWaledacが行った、7月4日の米国独立記念日のソーシャルエンジニアリング攻撃を示しています。活動全体でみると、スパム出現率は引き続き高水準にあり、今月のスパム分量で日本は米国を抜いて2位につけています(図4b)。

最後に、悪意あるWebのトラフィックは2カ月連続して増加しています(図6b)。サンプル化された4つの脅威カテゴリーの中で、マルウェアをホスティングしているWebサイトへのトラフィックは、これらカテゴリーの全活動の38.7%を占め、依然高い水準にあります。このトレンドにより、2009年5月(※13)からの増加率は10%となりました。2009年6月(※14)にWeb脅威のトラフィックは大幅に増加し、マルウェアをホスティングするWebサイトへのトラフィック量は5月のレポートに比べ400%以上も増えています。今月も、この成長は図6bで示すとおり継続しています。すべてのカテゴリーがまたもやプラス成長となっており、6月に観測された活動の爆発の余波が感じられます。
※13:リンク
※14:リンク

ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate<TM>複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。

用語解説

フォーティネット会社概要 (リンク)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから7種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア、アンチスパム)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]