logo

フォーティネットウイルス対処状況レポート(2009年9月度)

下記のランキングは、2009年8月21日~9月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。

目次:
■ 脅威と侵入防御
(1) 脅威トップ10
(2)新たな脆弱性の範囲
■ 最新のマルウェア
(1) 変種トップ10
(2)マルウェア検知数は日本がトップ(地域と数量)
■ スパムの流通
(1) スパムの出現率
(2)実環境におけるスパムトップ3
■ Webからの脅威
Web脅威のトラフィック
■ 活動の要約

●脅威と侵入防御
(1)脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「%」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。
順位脅威%深刻度
1MS.DCERPC.NETAPI32.Buffer.Overflow13.1緊急
2HTTP.URI.Overflow11.8緊急
3MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow5.3重要
4MS.Windows.ASN.1.Bitstring.Overflow4.2重要
5FTP.Bounce.Attack1.7重要
6PNG.Image.Integer.Overflow1.6緊急
7Trojan.Storm.Worm.HTTP.DoS1.6注意
8IKE.Exchange.DoS.Version1.4注意
9NaviCOPA.URI.Buffer.Overflow1.1警告
10Danmec.Asprox.SQL.Injection1.1重要

リンク
図1a:マルウェアが検知された地域トップ5

(2)新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに108件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、42.6%にあたる46件は積極的な攻撃を仕掛けたことが報告されています。下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。

リンク
図1b:深刻度で分類された、この項目における新たな脆弱性の範囲

詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
不正侵入防止 - サービス更新履歴(※1)
※1:リンク

●最新のマルウェア
(1)変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の検知量を示しています。

順位マルウェア変種%トップ100シフト
1W32/OnlineGames.BBR!tr29.4-
2W32/Bredo.G!tr12.8new
3JS/PackRedir.A!tr.dldr3.7+2
4HTML/Iframe.DN!tr.dldr3.6+2
5Adware/AdClicker3.1+2
6W32/Virut.A2.9-2
7W32/Netsky!similar2.7+1
8HTML/Iframe_CID!exploit2.3+1
9W32/OnlineGames.DRP!tr.pws2.0+3
10W32/OnlineGames.EEX!tr1.7+12

リンク
図2:トップ5のマルウェア変種の活動カーブ

(2)地域と数量 日本はマルウェア量が2位
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。9月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。

リンク
図3a:目立ったマルウェアの数量でみた地域トップ5

リンク
図3b:マルウェア総量の6カ月間のトレンド

リンク
図3c:固有のマルウェア数量の6カ月間のトレンド

地域ごとの日次活動の詳細は、当社のウイルス世界地図(※2)をご参照ください。
※2:リンク

●スパムの流通
(1)スパム出現率 日本はスパム量が2位
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。

リンク
図4a:全世界のEメール数量と比較したスパム出現率

リンク
図4b:受信したスパム数が多い地域トップ5

(2)実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。

リンク
図5a:スパムキャンペーンその1

リンク
図5b:スパムキャンペーンその2

リンク
図5c:スパムキャンペーンその3

●Webからの脅威
Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大(または減少)を前期比で示したものです。

FortiGuardのカテゴリー   %
ポルノ     57.0
マルウェア 33.3
スパイウェア 5.3
フィッシング 4.4

リンク
図6a:Web脅威のトラフィック内訳

リンク
図6b:Web脅威のトラフィックの月別成長率

●活動の要約
今月のマルウェア変種トップ10の中で最も注目に値するのは、9月17日に始まり9月20日を過ぎても継続中(本稿執筆時点)のW32/Bredo.Gの増加です。この変種は、トロイの木馬ダウンローダーであり不正なセキュリティソフトウェアとの関わりが取りざたされるBredolabファミリーに属しています。このような詐欺的なソフトウェアは様々に名を変え、色々な方法で多くの人の手によって広がり、どこにでも存在するようになりました。スケアウェア散布の最近の例には、コマンドのダウンロードを推奨するIRCボット(こちらのブログ記事をご覧ください(※3))、様々なブラックハットキャンペーン(こちらのブログ記事をご覧ください(※4))、自動化されたTwitterアカウント(※5)、悪意のある広告(NYTimesの告知はこちら(※6))などがあります。もうひとつの例は図5cに示すBredolabの変種で、これは「返品可能なお試し」戦術を使ったマスメールキャンペーンです。ここではDHLを装った偽の送り状になっています。こうした攻撃の波は直近では8月31日に始まりました。添付ファイルのどれかひとつを開けると、皆さんのマシンはBredolab/Gumblarボットネット中のゾンビネットワークに取り込まれてしまいます。このボットネットは2009年初頭に初めてお目見えし、セキュリティを脅かされたWebサイトにあるPDFおよびSWF(Adobe Reader/Flash)を通して攻撃を散布していることが知られています。FortiGuardはこれらの攻撃をJS/PackRedir.A!tr(※7)およびJS/Redir.MR!tr(※8)として検知しました。JS/PackRedir.Aは2009年6月(※9)以来、当社の検知ウイルストップ5に入っており、こうした攻撃が蔓延していることがわかります。
※3:リンク
※4:リンク
※5:リンク
※6:リンク
※7:リンク
※8:リンク
※9:リンク

当時の最高記録(※10)を出したサイバー空間を襲うスケアウェアの氾濫があってから、この9月でちょうど1年になりました。じっさい、1年後の現在もサイバー犯罪者たちによる様々な方法でのスケアウェアの散布は続いています。これは明らかに利益を生むモデルであり、エンドユーザを食い物にする革新的な方法を現在はもちろんのこと、これからも探していくことでしょう。これらの攻撃は、スケアウェアがあまりにも注目を集めるようになって初めて減退し、被害者が偽のソフトウェアを購入する率が低下すると思われます(「スパム」など、大半のエンドユーザーに知られる普及した名詞を思い浮かべてください)。しかしながらサイバー犯罪者がエンドユーザーの財布を攻撃する方法を開発すると、さらなる攻撃につながります。そしておそらくランサムウェアのような力づくの方法がとられるようになっていきます。ランサムウェア攻撃は文書、その他の個人情報を暗号化し、暗号解読はサービスとして提供されますが、もちろんその料金は適正価格といえるものではありません。
※10:リンク

革新的な詐欺の手口にさらに光を当てると、図5aは「グローバル シッピング エージェンシー」を名乗る、もうひとつのカネの運び屋(マネーミュール)スカウトのスキームです。リンク先のWebサイトは非常にプロフェッショナルなものにみえますが、合法的なサイトからテンプレートを無断借用しています。赤字でハイライトした部分(図5a)が「カスタマーサービス ファイナンシャルアシスタント」という職位です。Webサイトに記された職務内容には「自分の銀行口座(または当社のニーズに合わせ特別に開設した銀行口座)を使って顧客の支払いを職務として処理する」とあります。エンドユーザーはこうした一攫千金を狙った計画には、くれぐれも注意しなければなりません。とりわけ、銀行口座を使って支払いの入金や出金を行うものは要注意です。こうした詐欺は手を変え、品を変えて登場します。先月のレポート(※11)では「ハネウェルインターナショナル社」の事例をご紹介しました。今月発見したもうひとつの特筆すべきマスメール攻撃は、IRS(図5b)による税金に関する脅しで、ZBot trojan/keyloggerの変種を散布します。ZBotはZeusというクライムウェアのキットが出回っているせいで、広く知られた問題となっています。2009年8月(※12)に当社は記録的な水準のZBot変種の活動を検知しました。これは2009年6月(※13)の急激な活動の増加に続く水準です。もちろん、これらのEメールはIRS(アメリカ国税庁)から来たものではありません(それは図5bで赤くハイライトしたリンクを見れば一目瞭然です)。リンクのテキストは識別子として受信者の名前を含んでいます。リンクには「irs.gov」を、新たに登録された悪意あるサーバーに誘導するドメインのサブドメインとして使用するという、昔ながらのトリックが使われています。これらの攻撃は9月9日に始まり、このウイルスレポートを執筆している時点でも続いています。もっと興味深いのは、攻撃で観測されたすべてのドメインがEU(欧州連合)というccTLDのもとに登録されていることで、Namebay SAMやAscio Technologies Incを含む様々な登録機関を利用しています。しかし、多くのドメインが取り下げられているところをみると、登録機関は迅速な対応を行っているようです。これはEURid(※14)のクイックサーチで確認されています。取り下げ処理にもかかわらず、ドメインは自動化されたとおぼしき方法で盛んに登録されています。すべてのドメインには、ランダムな6文字の英数字が含まれています。例えば、「www.irs.gov.xxxxxx.eu」のような形式で、xの部分が頻繁に変更されて登録されています。
他の多くの事例と同様に、まずはこのようなリンクに目をやることが、エンドユーザーの信用情報を盗むために作られた、いまいましいトロイの木馬の感染から身を守ることにつながります。
※11:リンク
※12:リンク
※13:リンク
※14:リンク

この期間中に、私たちはパッチが適用になっていないマイクロソフトのリモートコード実行の脆弱性の開示情報を見つけました。IIS FTPサービス(※15)(CVE-2009-3023)、そしてサーバーメッセージブロック(※16)(SMB2, CVE-2009-3103)の2つです。これを書いている時点では、エクスプロイト攻撃は少ないと考えていましたが、後半から、着実に増えてきていることが分かりました。私たちはさらに、Adobe ReaderとFlash(※17) (CVE-2009-1862)を狙ったエクスプロイト攻撃のこの期間中の増加について調査を続けました。FortiGuardチームは、これらのような緊急の脆弱性を含む、突然現れた脅威の全てを注意深く監視しています。マイクロソフトが(※18)提供しているSMB2の欠陥に対する暫定的な修正があります。FortiGuard IPSは、特に、パッチが準備されていないゼロデイのような重大なエクスプロイト攻撃を事前に阻止しています。
※15:リンク
※16:リンク
※17:リンク
※18:リンク

Virutおよびオンラインゲームを狙うトロイの木馬は相も変わらず、蔓延しています。今月は検知されたマルウェア数量の総数こそ減少したものの(図3b)、変種の数(悪意あるコードの固有数―図3c)は先月から高いレベルを維持しています。全世界で検知されたスパム出現率は今月末に最高となっていますが(図4a)、これは上記で述べたキャンペーンによるものです。図4bに登場した新顔はオランダで、受信したスパム総量で5位に入っています。

Conficker/MS08-067としてよく知られているMS.DCERPC.NETAPI32.Buffer.Overflow(※19)が検知された悪用のリストでトップを守った一方、新たな脆弱性に対する悪用は引き続き高いレベル(42.6%)を維持しました。新たな脆弱性を標的とする悪用の量は2009年5月以来、じわじわと上昇していますが、これは新しい脆弱性に向けてますます多くの攻撃と実証コード(proof of concept code)が開発されていることを示すものです。
※19:リンク rflow.
html

ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。