フォーティネットウイルス対処状況レポート（2009年10月度)

下記のランキングは、2009年9月21日～10月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。
目次：
■　脅威と侵入防御
（1） 脅威トップ10（2）新たな脆弱性の範囲
■　最新のマルウェア
（1） 変種トップ10（2）マルウェア検知数は日本がトップ(地域と数量)
■　スパムの流通
（1） スパムの出現率（2）実環境におけるスパムトップ3
■　Webからの脅威
Web脅威のトラフィック
■　活動の要約

●脅威と侵入防御
(1)脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「％」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。
順位脅威％深刻度
1MS.DCERPC.NETAPI32.Buffer.Overflow29.0緊急
2FTP.USER.Command.Overflow24.4重要
3MS.IE7.Deleted.DOM.Object.Access.Memory.Corruption21.3緊急
4Adobe.Products.SWF.Remote.Code.Execution8.4緊急
5Apache.Expect.Header.XSS8.1警告
6AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation7.6重要
7MS.Content.Management.Server.Code.Execution6.7緊急
8RoundCube.Webmail.Pregreplace.Code.Execution5.3重要
9MS.DirectX.MsVidCtl.ActiveX.Control.Access3.2緊急
10Apache.MyFaces.Tomahawk.JSF.Framework.XSS3.0警告
リンク
図1a：マルウェアが検知された地域トップ5

(2)新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに104件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、27.9％にあたる29件は積極的な攻撃を仕掛けたことが報告されています。下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。
リンク
図1b：深刻度で分類された、この項目における新たな脆弱性の範囲

詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
不正侵入防止 -　サービス更新履歴（※1）
※1：リンク

●最新のマルウェア
(1)変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の検知量を示しています。
順位マルウェア変種％トップ100シフト
1W32/PackSpam.A!worm20.1new
2W32/Agent.LGE!tr16.9new
3W32/Bredolab.X!tr11.4new
4W32/Bredo.G!tr8.2-2
5W32/FakeAlert.SYY!tr.dldr7.9new
6W32/Krap.AD!tr6.6new
7W32/OnlineGames.BBR!tr3.8-6
8W32/FraudLoad.WSUT!tr.dldr1.7new
9W32/Agent.FM!tr1.6new
10W32/OnlineGames.BWA!tr.pws1.2New
リンク
図2：トップ5のマルウェア変種の活動カーブ

(2)地域と数量　日本はマルウェア量が2位
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。10月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。
リンク
図3a：目立ったマルウェアの数量でみた地域トップ5
リンク
図3b：マルウェア総量の6カ月間のトレンド
リンク
図3c：固有のマルウェア数量の6カ月間のトレンド
地域ごとの日次活動の詳細は、当社のウイルス世界地図（※2）をご参照ください。
※2：リンク

●スパムの流通
(1)スパム出現率　日本はスパム量が2位
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。
リンク
図4a：全世界のEメール数量と比較したスパム出現率
リンク
図4b：受信したスパム数が多い地域トップ5

(2)実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。
リンク
図5a：スパムキャンペーンその1
リンク
図5b：スパムキャンペーンその2
リンク
図5c：スパムキャンペーンその3

●Webからの脅威
Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大（または減少）を前期比で示したものです。
FortiGuardのカテゴリー 　　％
ポルノ 　　 　60.2
マルウェア 30.5
スパイウェア 5.3
フィッシング 4.1
リンク
図6a：Web脅威のトラフィック内訳
リンク
図6b：Web脅威のトラフィックの月別成長率

●活動の要約
今月はいくつかの画期的な出来事があり、検知したマルウェアの総量は、ここ1年以上の間で最大となりました。この数量は全般的にみて過去6カ月にわたって増加し続けていましたが、9月末から10月にかけてきわめて急激な増加をみました。実際に、今月検知された数量は先月の4倍以上となっています。図2およびマルウェアのトップ10の図にあるとおり、その主な要因となっているのは不正なセキュリティダウンローダです。HTML/Agent.E（ZBotのeカードキャンペーン）の2009年8月（※3）の実績を破り、マルウェア変種であるW32/Agent.LGEおよびW32/Bredo.Gが1日における検知量の最高記録を達成しました。
※3：リンク

スケアウェアの氾濫
こうした画期的な出来事が起こったのは、ひとえに不正なセキュリティソフトウェアの猛攻撃のおかげです。先月の「活動の要約」では、このような偽のセキュリティツール（「スケアウェア」）が最初に大流行した2008年9月から、ちょうど1年が経ったことをお伝えしました。この記念日からたった1カ月で、いまだかつてない最悪のスケアウェア攻撃を目撃することとなってしまいました。こうした攻撃のピークがハロウィーンの直前におとずれたことはおそらく偶然でしょうが、その危険性は無視できません。このような攻撃が起こるのは突然で、しかも激しく、頻度も高いものです。これはパンデミック（世界的流行）であるとさえいえます。なぜならあらゆる検知データは、この攻撃が全世界的に蔓延していることを示しているからです。それに加え、ボットネットによる様々な攻撃キャンペーンがあり、SEO攻撃の広告をしのぐ勢いでした。さてマルウェアのトップ10に話を戻すと、リストにある10の検知マルウェアのうち7つは、すべてスケアウェア関連です。オンラインゲームのトロイの木馬は唯一、トップ10に居座る変種となりましたが、NetskyとVirutはともにスケアウェアの洪水に負けました。頑固であくどいファイル感染ワームのVirutがトップ10から脱落したのは1年半ぶりのことです。Virutはいまだに現役の脅威でいるものの、その流行度は今月の不正なセキュリティソフトウェアの足許にもおよばないものでした。とはいえ油断は禁物で、Virutには、他の感染を介して広がることができるというハイブリッドな機能（※4）があり、これからも目立ったスケアウェアのキャンペーンに便乗して広がるかもしれません。

※4：リンク
これを書いている時点では、すべてのスケアウェア変種が「AntiVirus Pro 2010」という偽物のセキュリティ製品を積極的にダウンロードする動きが見られます。これは偽物のスキャンエンジンを使い、問題が発見されたと偽ってユーザの不安をあおり偽物のソリューションを買わせるものです。2008年9月の目立ったスケアウェア攻撃（※5）で使われた主な製品は「AntiVirus XP 2008」でした。2008年12月、米国の連邦裁判所はウクライナのキエフを本拠に活動している企業の資産を凍結（※6）し、FTC（連邦取引委員会）からの申し立てを受けて、この企業がこうした偽のセキュリティ製品を販売していることを非難しました。しかし、これだけではスケアウェアがサイバー空間に害毒をまきちらすのを防止するのに不十分だったことは、今日の活動レベルが記録的なものになっていることからもわかります。その主な理由は、こうした仕組みに参加すると手に入る金銭の大きさであり、アフィリエイトプログラムによる手数料収入の魅力は参加者をその気にさせるものです。
※5：リンク
※6：リンク

Bredolab
今月検知したすべてのスケアウェア関連変種は同一の不正製品（およびアフィリエイトプログラム）につながるものである一方、攻撃は「スケアウェアのダウンローダ」と「トロイの木馬のダウンローダであるBredolab（※7）」という2つのフレームワークに区分けできます。今月検知した主なBredolabはW32/Bredolab.X（3位）およびW32/Bredo.G（4位）の2つです。Bredolabはさかんにスケアウェアと関わりをもってきました。Bredolabのフレームワークは、自身のネットワークに接続し、ダウンロードすべき最新のコンポーネントを探すというものです。今月はBredolabがAntiVirus Pro 2010のインストーラをダウンロードするのが確認されました。これらのインストーラは実際、後述のスケアウェアのダウンローダと同じフレームワーク（「セキュリティフレームワーク」）を使っています。これに加え、悪名高いキーロガー／情報窃盗犯のZBotがBredolab/AntiVirus Pro 2010の連鎖を経由してダウンロードされるのも見つかりました。ZeusおよびZBotの詳細は、こちらの分析（※8）をご参照ください。BredolabはZBotと関連を持つプレイヤーの一つに過ぎず、この2つの検知率は大変に高いものでした。したがって、Bredolabは感染すると危険な脅威となってきましたが、これには情報を吸い上げるトロイの木馬と、あくどいスケアウェア製品があり、この2つはそれぞれ別の遠隔操作されているサイトにリンクしています。これは、多くのコンポーネントが最新式の脅威と関連を持っていること、そして脅威を阻止するには複数の階層を持つセキュリティが最善の方法であることを示す絶好の事例です。
※7：リンク
※8：リンク

スケアウェアのフレームワーク
今月検知されたマルウェアのトップ10に登場したスケアウェアダウンローダは、次のとおりです。W32/PackSpam.A（1位）、W32/Agent.LGE（2位）、W32/FakeAlert.SYY（5位）、W32/Krap.AD（6位）、W32/FraudLoad.WSUT（8位）。これらはすべて同一のフレームワークを用いて、新たに登録されたドメインに接続しAntiVirus 2010インストーラをダウンロードします。今月、攻撃に使われたいくつかの実行ファイルはこのフレームワークを含んでおり、そのサイズは14～290キロバイトとまちまちです。290キロバイトのバージョンは実際にAntiVirus 2010製品を含んでおり、アクセスがブロックされたときに備え、遠隔サーバまでダウンロードしにいく必要がないようになっています（フォールバック機構）。ドメインは実行ファイルによって異なりますが、こうしたファイルは変更不可能なコーディング（ハードコード化）がなされており、頻繁に新しいものに更新されます。これはWaledac（※9）と非常に似ています。したがって、新しいキャンペーンでは新たに登録されたドメインに向かう新しい実行ファイルが使われます。ドメインはすべて19文字から21文字の英数字が使われ、トップレベルのドメインに「.com」を持つものであるところから、これは自動化プロセスの一部であるように思われます。アフィリエイトの識別子（これもハードコード化されている）はHTTP要求によってこれらのドメインにパススルーされ、アフィリエイト用に最新版のスケアウェアを送付するサーバに帰着します。
※9：リンク

スパムへのリンク
最初のキャンペーンは実のところ、Bredolabに属するものです。今月観測されたBredolabの変種は、サイズでいうと20～60キロバイトの幅をもっており、そのどれもがリソースのセクションにMS Excelアイコン（典型的な緑色のX印がユーザに提示される）を置いています。それ以外の2つのキャンペーンはこれとは異なる戦術を使っていますが、非常に似た実行ファイルを含んでおり、そのサイズはどちらも約44キロバイトです。これらのメールのリソースのセクションには携帯電話のアイコンがあります。図5aにはW32/Bredolab.X（3位）が、また図5bにはW32/FakeAlert.SYY（5位）が添付されています。Bredolabがソーシャルエンジニアリングの釣り針としてDHLの送り状を使う一方、スケアウェアのアフィリエイトは偽物のConficker.B感染およびUPSの送り状を使っています。

被害者が偽物のソフトウェアを購入すると分配者（アフィリエイター）に現金を支払うアフィリエイトプログラムは姿を消しませんが、それがこのような活動を増加させるツールとなっていることは疑いようがありません。アフィリエイターにとってみると、これは手っとり早く簡単に現金収入を得ることができるものです。偽物のアンチウイルスソフトの製作者は通常、フルバージョン製品の料金として40～50ドルを請求します。ある事例では、11カ月間に450万件の注文（金額にして約1億8,000万ドル）が確認されています（※10）。もうすぐやってくるクリスマスシーズンを前に、情報窃盗犯やZBotなどのオンラインバンキングのトロイの木馬は、疑うことを知らない被害者から金をかすめ取るのに絶好の位置につけています。このようなたくらみの餌食にならないよう、複数レベルの攻撃をブロックする多層化されたセキュリティソリューションの導入をお勧めします。さらに、Eメール、ブログ、SNSサイトなどにあるリンクや添付ファイルをクリックする前に送信元を確かめる等の単純なステップを守ってください。またPDFおよび文書ファイルであっても感染することを忘れないでください。
※10：リンク

ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

免責条項：
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。