logo

フォーティネットウイルス対処状況レポート(2009年11月度)

下記のランキングは、2009年10月21日~11月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。

目次:
■脅威と侵入防御
(1)脅威トップ10
 (2)新たな脆弱性の範囲
■最新のマルウェア
(1)変種トップ10
 (2)地域と数量
■スパムの流通
(1)スパムの出現率
 (2)実環境におけるスパムトップ3
■Webからの脅威
Web脅威のトラフィック
■活動の要約

●脅威と侵入防御
脅威と侵入防御
1. 脅威トップ10 日本はマルウェア検知数が2位
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「%」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。
順位脅威%深刻度
1MS.DCERPC.NETAPI32.Buffer.Overflow55.6緊急
2Waledac.Botnet8.2緊急
3AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation6.1重要
4FTP.USER.Command.Overflow4.6重要
5MS.Windows.LSASS.Buffer.Overflow4.5重要
6MS.IE7.Deleted.DOM.Object.Access.Memory.Corruption3.7緊急
7SMTP.Auth.Buffer.Overflow3.1緊急
8Apache.Expect.Header.XSS2.5警告
9Apache.MyFaces.Tomahawk.JSF.Framework.XSS2.4警告
10FTP.Command.REST.Overflow2.3重要

リンク
図1a:トップ5の脅威の日ごとの攻撃状況

リンク
図1b:マルウェアが検知された地域トップ5

2. 新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに157件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、29.3%にあたる46件は積極的な攻撃を仕掛けたことが報告されています。下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。

リンク
図1c:深刻度で分類された、この項目における新たな脆弱性の範囲

詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。

不正侵入防止 – サービス更新履歴(※1)
※1:リンク

最新のマルウェア
1.変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の検知量を示しています。

順位マルウェア変種%トップ100シフト
1W32/PackBredolab.C!tr66.5new
2JS/PackRedir.A!tr.dldr6.8+17
3JS/Feebs.A@mm9.0+14
4HTML/Iframe.DN!tr.dldr8.3+16
5W32/Netsky!similar7.2+17
6W32/MyDoom.M@mm6.4+19
7HTML/Iframe_CID!exploit6.3+16
8W32/Virut.A3.3+13
9W32/OnlineGames.LYE!tr3.0+2
10W32/Mytob.C@mm2.6new

リンク
図2:トップ5のマルウェア変種の活動カーブ

2. 地域と数量 日本はマルウェア量が2位
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。12月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。

リンク
図3a:目立ったマルウェアの数量でみた地域トップ5

リンク
図3b:マルウェア総量の6カ月間のトレンド

リンク
図3c:固有のマルウェア数量の6カ月間のトレンド
地域ごとの日次活動の詳細は、当社のウイルス世界地図(※2)をご参照ください。
※2:リンク

スパムの流通
1.スパム出現率 日本はスパム量が2位
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。

リンク
図4a:全世界のEメール数量と比較したスパム出現率

リンク
図4b:受信したスパム数が多い地域トップ5

2.実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。

リンク
図5a:スパムキャンペーンその1

リンク
図5b:スパムキャンペーンその2

リンク
図5c:スパムキャンペーンその3

Webからの脅威
Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大(または減少)を前期比で示したものです。

FortiGuardのカテゴリー   %
ポルノ     63.2
マルウェア 29.3
スパイウェア 7.2
フィッシング 0.3

リンク
図6a:Web脅威のトラフィック内訳

リンク
図6b:Web脅威のトラフィックの月別成長率

活動の要約
ZBot、Bredolab、Pushdo/Cutwailが記録的な活動を繰り広げた10月と11月が過ぎ、今月のマルウェアの総量は10月以前の水準に戻りました。とはいうものの、Bredolabローダーはすさまじい勢いで今月の首位となり、検知されたマルウェア活動総量の66.5%という、とてつもない割合を占めました。図2では、その他に優勢だった脅威活動を際立たせるよう、目盛りを振りましたが、Bredolabの脅威カーブは数日間に渡り、他の脅威を完全に超えてしまっています。これまでにも何度も見られたように、こうした攻撃キャンペーンは通常、数日以上継続することはありませんが、大量の攻撃が急速に再発生することがあります。Bredolabの背後に控えている配布エンジン(主としてスパム配布のトロイの木馬であるCutwail)が大変な馬力を備えていることは、ここ数カ月の動向をみると確実で、単一のBredolab配布キャンペーンは、まるで操り人形を扱うかのように、莫大な量の脅威をコントロールしてしまいます。もちろんその量の多さが脅威のすべてではなく、活動が減ったからといって安心してしまうのは間違いです。実際に、図5cは目立ったマルウェア(いっそう独特な悪意あるコード)が出現していることを示しています。ZBot攻撃は、クリスマス休暇シーズンのオンラインショッピングやオンラインバンキングが最も盛んな時期にわたって継続しています。

図5cでわかるとおり、ZBotキャンペーンはこのチャンスを活用しています。これはユーザのVisaカードで不正な動きが発見されたというふれこみで、問題のある取引をチェックするためのリンクを提供しているEメールです。このリンクは合法的なものに見えますが(”statements.visa.com”)、Eメールのソースに目を通せば画像の一番下に赤でハイライト表示した本物のリンクが見えてきます。このリンクをクリックすると、最終的には自動ダウンロード攻撃の手法を使った、悪意あるZBotバイナリ配布のホストにたどり着きます。ショッピングのシーズンに銀行のフィッシングの種は尽きません。図5aはDiscover Bankを狙ったそのようなフィッシングの例です。資金を移動させる手段がなくては、盗みは完結しません。図5bで示したのは、カネの運び屋をスカウトするもうひとつのキャンペーンですが、ここでは「ミステリーショッパー」なる仕事を斡旋しており、最終的には郵便為替を受け取り、資金の移動を行うことになります。この仕事に応募しようと考えている人は、日常業務として犯罪行為をする必要があることを認識すべきです。

Conflickerワームによって悪名高くなったMS08-067の悪用は、相変わらず最も盛んな攻撃であり、Waledacボットネットのトラフィックは今月の攻撃トップ10リストで2位に入りました。12月はゼロデイ攻撃と脆弱性の動きも盛んでした。私たちは147件の新たな脆弱性を発見しましたが、そのうち約3分の1は盛んに攻撃されていることがわかりました(図1c)。FortiGuard Labは12月に10件のゼロデイ脆弱性を公表しましたが、これらはいずれも私たちが発見し、関係するベンダーであるマイクロソフト(Indeo Codec(※3) と MS Project(※4))、アドビ(※5)、シスコ(※6)の各社に通知したものです。それに加え、ハッカーたちは引き続き、ゼロデイ攻撃を悪用する方法を探り続けています。CVE-2009-4324(アドバイザリーはこちら(※7))は、攻撃の媒介物としてますます一般化しているAdobe Reader/AcrobatおよびJavascriptを通して発見されました。現在の回避方法(※8)としてはJavascript ブラックリストフレームワークの使用や、もっと単純にJavascript機能を無効にすることが挙げられます。もうひとつのゼロデイはマイクロソフト(インターネットエクスプローラ-アドバイザリーはこちら(※9))が12月8日にMS09-072(※10)で対応策を打ったものです。いつもながら、ユーザはパッチがリリースされた際にはソフトウェアを最新のものに更新しなくてはいけません。FortiGuard Labは引き続き、新たな脆弱性の発見につとめ、パートナープログラムと協力して先進的なゼロデイ保護を開発し、このような脅威を軽減していきます。
※3:リンク
※4:リンク
※5:リンク
※6:リンク
※7:リンク
※8:リンク
※9:リンク
※10:リンク

2010年 猛攻撃

2009年9月から11月にかけてあった活動の大規模な急上昇は、2008年にもみられたものです。2008年12月度ウイルスレポートの図3b(※11)をご覧になるとわかるように、スケアウェアがサイバー空間を襲った最初の大きな波があった2008年にも同様の傾向がみられました。2009年の今回の波で検知された中でも、スケアウェアは主要な構成要素でしたが、その総量は大幅に増加し、2008年をしのぐ記録的水準に達しています。さて、私たちは何を知っているでしょう?スケアウェアがこの期間を通して繁栄し、鎮静化の試みにはまったくびくともしないことを知っています。アフィリエイトプログラムは引き続きカネを稼ぎ、支払いをしました。2009年12月に米国のインターネット犯罪苦情センター(IC3)が発表したアラート(※12)によれば、FBI(連邦捜査局)は、スケアウェアの詐欺による被害推定額が1億5,000万ドルを超える(※13)ことを認識しているそうです。NeoNと名乗るハッカーは2008年に、1人当たり1カ月に15万ドル以上を稼ぎだしたトップアフィリエイトの収益を提示したアフィリエイトプログラムの詳細を投稿しました。注目のボットネットであるConficker、Waledac、Pushdo/Cutwail、Virut、Bredolabそしてもちろん複数のZeus/ZBotネットワークはいまだに健在です。そのうちのいくつかは生き残り、効力を保つために悪意あるコードと通信能力を強化しはじめており(Pushdoについての分析を参照(※14))、最近のあるZBot攻撃ではクラウド(Amazon RDS)のデータベースサービスを利用していることが確認されています。その最終形は、サイバー犯罪者たちが2010年に向けて利用できる、広範囲におよぶ堅牢で健全なインフラです。
※11:リンク
※12:リンク
※13:リンク BeAntivhind-irus-XP-2009-Bakasoftware.html
※14:リンク

2010年には間違いなく、デジタル化がいっそう進むことが予想されるなか(たとえば米国政府は医療情報のデジタル化を支援(※15)していますが、アジアでも電子政府(※16)の取り組みが進んでいます)、サイバー犯罪の機会はふんだんにあります。政府や企業から、エンドユーザや隆盛を誇るソーシャルネットワークにいたるまで、その標的も無限です。また攻撃の運搬役となるインフラも上記で述べたように尽きることがなく、悪用が可能な様々な合法的サービスに加えて、悪意あるネットワークはすぐにでも利用できるよう準備が整っています。最後に、攻撃を実行する媒介物も無限にあります。2009年にはドキュメント形式の悪用がさかんにみられ、多くのゼロデイ脆弱性が見つかり、現実世界が攻撃されました。犯罪サービスおよびクライムウェアは依然として進化し、状況に合わせた変化を遂げ、サイバー犯罪者や彼らが新たに雇った予備軍が利用できるツールと技法の幅が広がりました。たとえば、Koobfaceなどのボットネットが犯罪サービスを利用する(※17)ようになったところから、CAPTCHAの効力はどんどん落ちています。さらなる実例は、適応可能な犯罪サービス(※18)に関する私たちのブログ記事をご参照ください。PushdoやBredolabで観察されたような強力な散布エンジンにより、すでに隆盛を誇っていたスケアウェアは今や急速にランサムウェアに大量移行しており、損害を与える可能性のある足跡を残しています。これらすべてを要約すると、私たちが2010年に向けて荒っぽいドライブに乗り出そうとしていることは明らかです。あらゆる要素がサイバー空間に暴風雨をもたらそうとする動きに向けて準備万端となっているのですから。
※15:リンク
※16:リンク
※17:リンク
※18:リンク

ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuard Labが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真
のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。