フォーティネットウイルス対処状況レポート（2010年1月度)

下記のランキングは、2009年12月21日～1月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。

目次：
■脅威と侵入防御
(1)脅威トップ10
　(2)新たな脆弱性の範囲
■最新のマルウェア
(1)変種トップ10
　(2)地域と数量
■スパムの流通
(1)スパムの出現率
　(2)実環境におけるスパムトップ3
■Webからの脅威
Web脅威のトラフィック
■活動の要約

●脅威と侵入防御
(1)脅威トップ10　日本はマルウェア検知数が2位
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「％」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。

順位脅威％深刻度
1Gumblar.Botnet31.3緊急new
2MS.DCERPC.NETAPI32.Buffer.Overflow24.3緊急-1
3Waledac.Botnet7.6緊急-1
4MS.IE.Event.Invalid.Pointer.Memory.Corruption7.4緊急new
5Adobe.Products.SWF.Remote.Code.Execution6.9緊急+6
6MS.IE7.Deleted.DOM.Object.Access.Memory.Corruption6.5緊急-
7FTP.USER.Command.Overflow6.1重要-3
8Apache.Expect.Header.XSS6.0警告-
9Adobe.Reader.Printf.Buffer.Overflow5.8緊急+10
10AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation5.8重要-7

リンク
図1a：トップ5の脅威の日ごとの攻撃状況

リンク
図1b：マルウェアが検知された地域トップ5

(2)新たな脆弱性の範囲
今月、FortiGuard IPSが新たに追加した脆弱性の合計は150件です。新たに見つかったこれらの脆弱性のうち、22.7％にあたる34件は積極的な攻撃を仕掛けたことが報告されています。下記の図1cは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。

リンク
図1c：深刻度で分類された、この項目における新たな脆弱性の範囲

詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
不正侵入防止：サービス更新履歴（※1）
※1：リンク

●最新のマルウェア
(1)変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の検知量を示しています。

順位マルウェア変種％トップ100シフト
1W32/PackBredolab.C!tr25.8-
2W32/PackBredolab.D!tr14.7new
3W32/AutoRun.BBC!worm12.7new
4JS/PackRedir.A!tr.dldr3.4-2
5HTML/Iframe.DN!tr.dldr3.3-1
6W32/Buzus.CVCZ!tr2.1new
7W32/Netsky!similar1.6-1
8HTML/Iframe_CID!exploit1.5-1
9W32/Bredo.A1.2+21
10W32/Mydoom.N@mm1.1-1

リンク
図2：トップ5のマルウェア変種の活動カーブ

(2)地域と数量　日本はマルウェア量が2位
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。1月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。

リンク
図3a：目立ったマルウェアの数量でみた地域トップ5

リンク
図3b：マルウェア総量の6カ月間のトレンド

リンク
図3c：固有のマルウェア数量の6カ月間のトレンド

地域ごとの日次活動の詳細は、当社のウイルス世界地図（※2）をご参照ください。
※2：リンク

●スパムの流通
(1)スパム出現率　日本はスパム量が2位
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。

リンク
図4a：全世界のEメール数量と比較したスパム出現率

リンク
図4b：受信したスパム数が多い地域トップ5

(2)実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。

リンク
図5a：スパムキャンペーンその1

リンク
図5b：スパムキャンペーンその2

リンク
図5c：スパムキャンペーンその3

●Webからの脅威
Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大（または減少）を前期比で示したものです。

FortiGuardのカテゴリー 　　％
ポルノ 　　 　63.2
マルウェア 29.3
スパイウェア 7.2
フィッシング 0.3

リンク
図6a：Web脅威のトラフィック内訳

リンク
図6b：Web脅威のトラフィックの月別成長率

●活動の要約
今月は脅威に関するニュースが尽きませんでしたが、なかでも一番目立ったのはコードネーム「Aurora」がグーグルを含む何社かを標的にした攻撃で、これはマスコミでも大々的に取り上げられました。この攻撃の正式なCVE（共通脆弱性）識別番号は「CVE-2010-0249」といい、フォーティネットの検知では「MS.IE.Event.Invalid.Pointer.Memory.Corruption」となっています。詳しくは当社のアドバイザリー（※3）とブログ記事（※4）をご参照ください。IEのゼロデイ欠陥を突いた、こうした攻撃の詳細情報は1月の中旬から下旬に明るみに出ました。この攻撃の検知はわずか2、3日で1カ月を通した攻撃トップ10リストの4位に躍り出て、WaledacとGumblar/Bredolab C&Cに迫る勢いとなりました。Bredolabローダを投下することで知られるGumblarは通常、難読化Javaスクリプトコードをホスティングする悪意あるWebサイトを通じて感染を開始します。MS08-067エクスプロイトトラフィック（Confickerを使用）は2位に居座っており、今月の攻撃検知トップ3がボットネットによる増殖とC&Cトラフィックに関連したものであることを示しています。トップ6までの攻撃はどれも深刻度が「緊急」とランク付けされており、主に遠隔コード実行に関連したものです。これに加え、もうひとつのAdobe Reader PDFエクスプロイト（Adobe.Reader.Printf.Buffer.Overflow）もトップ10リストに入り込んできました。インザワイルドでは多数のPDFエクスプロイトが活動中ですが、その多くは悪意あるJavaスクリプトコードを利用しています。アドビのソフトウェアはマイクロソフトと同様、攻撃者に人気の標的であるだけに、最新のセキュリティ情報（2010年1月19日付けのフォーティネットのアドバイザリー（※5）をご覧ください）より、いつも最新の状態に更新しておくことが大切です。悪意あるネットワークトラフィックがあることは確実なので、最新のパッチを当てるとともに、有効なIPSソリューションにより、悪意あるトラフィックの監視と防御を行うよう、いま一度注意喚起をしておきます。
※3：リンク
※4：リンク
※5：リンク

今月検知されたマルウェアの数量は、スケアウェアの急増がサイバー空間を襲った2009年10月以前の水準に戻りましたが、Bredolabなどの目立った脅威によって火がついたことは明らかです。活動の水準は下がったものの、Bredolabは今月も引き続き支配的で、その変種はトップ10の1位と2位に君臨しています。この2つを合わせると、検知されたマルウェア総量の40％以上を占める勢いです。図2に示すように、この活動はBredolabが散布されると発生し、ほんの1日に大規模な急増をみせます。さらに悪いことに、BredolabはHotmailやGMailのアカウントを通じてスパムをまき散らす、新しいWebメールエンジンを装備（※6）するようになってきました。これにより、すでに出回っていた脅威が、いっそう効率的に散布されてしまいます（自分自身をばら撒く場合と、別の悪意あるコードをばら撒く場合があります）。目立ったマルウェアの数量は、昨年1年間をかけてゆっくりと上昇傾向にありましたが、先月から今月にかけては倍増しています（図3c）。今月は、今までになく非常に独特な悪意コードが検知されており、とくに米国ではそれが支配的でした（図3a）。米国での攻撃は独特さにおいて突出していますが、検知された数量（とりわけBredolab）では日本が1位でした。Zeusなどの脅威はキットとして配布され、簡単に新しいコード／攻撃に再生されました。これが独特な悪意コードや、サイバー空間の攻撃の増加の元凶となっています。この傾向は1年以上前を振り返っても当てはまるため、これからも増加していくものとみられます。
※6：リンク

今月のマルウェア・トップ10の新顔はBuzusで、Bredolabとよい勝負をしています。Buzusの変種は、その2つが変種リストの6位および3位に入っています（W32/AutoRun.BBC!worm（※7）として検知されました）。キャンペーン時に要求ベースで散布されるBredolabと違い、Buzusは自身のSMTPエンジンを介して大量メール形式で広がります（図2に示すように、継続的な活動の波があります）。Buzusは123greetings.comからのクリスマスグリーティングという触れ込みで、大抵、300KBを超えるzip形式の添付ファイルとしてばら撒かれました（図5a）。Buzusは目新しいものではなく、2008年から存在していました。2009年には、IRCコマンドによりボット経由でダウンロードされたことが確認されています（※8）。とはいえ、トップ10リストにコンスタントに登場しているのは、このマルウェアが数年にわたって成功を収めてきたことを意味します。
※7：リンク
※8：リンク

Buzusスパムのほかにも、2つの興味深いキャンペーンが繰り広げられました。そのひとつはリンクを含んだシンプルなメッセージの形で登場しましたが、件名はいつも「あなたですか？」です（図5b）。このスパムの走行は12月1日に始まり、本稿執筆の時点でも続いています。リンクは頻繁に変更されており、そのどれもがブラウザを2つめのドメインにリダイレクトするサイトにつながっています。この2つめのドメインの多くは、トップレベルドメインが「.cn」となっていました。また最初のドメインの中にも、難読化したJavaスクリプトコードを含むトップ10リストの常連、例えば、JS/PackRedir.A!tr.dldr. （※9）がよく使う手がいくつかありました。スパムEメールに示されていた最初のドメインは、たいていが無料Webホスティングサービスプロバイダーのものでした。使用されたドメインは下記リストの通りです。
※9：リンク

●by.ru
●zelnet.ru
●unl.pl
●evonet.ro
●h12.ru
●com.ru
●50webs.com

これとは別のスパムでは、また違ったソーシャルエンジニアリングの戦術が使われました（図5c）。ギャンブルのテクニックについて論じる一連のやり取りのEメールが、突然ユーザーの受信箱に飛び込んできたのです。そこではアルゴリズムを使ってオンライン・ギャンブルに勝ち、手っ取り早く金を稼ぐという話が繰り広げられていました。ここでのソーシャルエンジニアリングの戦術は、「秘密」のEメールを偶然にも入手したとユーザーに思わせて、金儲けができるギャンブルを開始するためにリンクをクリックするよう仕向けるというものです。リンク先のWebサイトには私たちが「Misc/CasOnline」として検知した
実行ファイルが仕込まれています。

ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuard Labが、同社のインテリジェンスシステムと世界中で販売されているFortiGate＜TM＞複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真
のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

免責条項：
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。