logo

【フォーティネットレポート】ウイルス対処状況レポート8月号

本プレスリリースのURL(フォーティネットWebサイト)
リンク

下記のランキングは、2010年6月21日~7月20日までのフォーティネットのFortiGateネットワーク セキュリティ アプライアンス とインテリジェンス システムが検知した情報をもとに作成されています。

目次:
・脅威と侵入防御
-脅威トップ10
-新たな脆弱性の追加
・マルウェアの現況
-変種トップ10
-地域と数量
・スパムの流通
-スパムの出現率と上位地域
-実環境でのトップ3
・Webからの脅威
脅威トラフィックおよび拡大
活動の要約

脅威と侵入防御

脅威トップ10

下記のランキングは、今月検知された攻撃のトップ10を、有効な攻撃の活動量で順位付けしたものです。有効な攻撃は、フォーティネットのFortiGuard Centerに掲載されるThreat Outbreak (最新脅威) の脅威一覧に基づいて定義されています(RSSフィードはこちらをご覧ください)。「%」は、その攻撃活動が、今月報告された日ごとの攻撃の累積総数に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」に相当する攻撃は、太字で示されています。トップ100シフトは、前号レポートのトップ100と比較した順位の変動を示し、「new」はトップ100に初登場したマルウェアです。図1aは、今回レポートのトップ5にランクされる攻撃の、日ごとの攻撃状況を示しています。図1bは、今回レポートされたすべての攻撃活動との対比で、最も攻撃が検知された上位5地域を示しています。


順位脅威%深刻度トップ100シフト
1Java.Deployment.Toolkit.Launch.Method.Access28.9緊急-
2MS.IE.Userdata.Behavior.Code.Execution14.9緊急-
3MS.DCERPC.NETAPI32.Buffer.Overflow10.9緊急-
4MS.Windows.Help.Center.Protocol.Malformed.Escape.Sequence8.7緊急new
5SMTP.Auth.Buffer.Overflow4.6緊急+4
6Apache.Expect.Header.XSS3.5警告-
7MS.IE.Deleted.DOM.Object.Access.Memory.Corruption3.2緊急+3
8FTP.USER.Command.Overflow3.2重要-1
9AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation3.1重要-1
10MS.IE.Event.Invalid.Pointer.Memory.Corruption2.7緊急-4

図1a: 攻撃トップ5の日ごとの活動状況

図1b: 攻撃が最も検知された上位5地域
新たな脆弱性の追加

今月、FortiGuard IPSが新たに追加した脆弱性の合計は91件です。
追加されたこれらの脆弱性のうち、34.1%に相当する31件については、活発な攻撃を受けたことが報告されています。

下記の図1cは、新たに追加された脆弱性について、実環境での深刻度ごとに脆弱性の数、攻撃活動量を示しています。

詳しくは、下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
不正侵入防御 - サービス更新履歴(英語)

図1c: 深刻度で分類した今月度の新しい脅威を

マルウェアの現況

変種トップ10

下記のランキングは、変種ごとに分類したマルウェア活動トップ10を示しています。パーセンテージは、そのマルウェア変種の活動が、今月報告されたすべてのマルウェア脅威に占める割合を示しています。トップ100シフトは、前号レポートのトップ100と比較した順位の変動を示し、「new」はトップ100に初登場したマルウェアです。図2は、トップ5以内のマルウェア変種の検知量を示しています。

順位マルウェア変種%トップ100シフト
1W32/Sasfis.BLP!tr.dldr15.4new
2W32/Sasfis.BML!tr.dldr10.6+1
3JS/ObRedirect.A!tr10.2new
4W32/Sasfis.BLN!tr.dldr9.6new
5W32/Sasfis.BLQ!tr.dldr7.4new
6W32/Sasfis.BLR!tr.dldr6.2new
7W32/Sasfis.FFE2!tr4.0new
8JS/Feebs.A@mm2.1+1
9W32/Sasfis.BLS!tr.dldr1.7new
10W32/Sasfis.PDK!tr.dldr1.4new

図2: マルウェア変種トップ5の活動カーブ

地域と数量

以下は、個別マルウェアの報告数量でランク付けした、今月の上位5地域です。個別マルウェア数量は、特定地域で検知された個別ウイルス名 (変種) 数の、マルウェア総数 (報告された全マルウェアの累積数量) に対する割合を示しています。過去6カ月間のマルウェア総数量および個別マルウェア数のトレンドが、図3a~3cに示されています。

図3a: 個別マルウェア数量による上位5地域

図3b: マルウェア総数量の6カ月間のトレンド

図3c: 明確に識別できるマルウェア数量の6カ月間のトレンド

地域別の日ごとの活動状況については、当社のウイルス世界地図をご覧ください。

スパムの流通

スパムの出現率と上位地域

以下に、今号レポート期間での全世界のスパム出現率が、日次単位で示されています。スパム出現率は、スパムと認識されたEメール累計数の、Eメール総トラフィック量に対する割合です。スパム流通の上位5地域は、地域内で受信されたスパム数の、全世界のスパム総数に対する割合からランク付けされています。統計を営業日ごとにグラフ化し、以下の図4aおよび図4bに示しています。

図4a: 全世界のEメール総数に対するスパム出現率

図4b: スパム受信数最多の上位5地域


実環境でのトップ3

以下に、今号レポート期間に検知されたEメール脅威のトップ3を示します。ランク付けされるEメールは、類似のメールおよび未承諾広告を除外し、異なるキャンペーンの特徴に応じて分類されています。これにより、スパムメールにどのような詐欺的または悪意的な意図があるかがわかります。以下の図5aから図5cの代表的なスパムメールには、最近のスパムキャンペーンで多用されているメッセージ手法が示されています。

図5a: スパムキャンペーンその1

図5b: スパムキャンペーンその2

図5c: スパムキャンペーンその3

Webからの脅威

脅威トラフィックおよび拡大

以下の表は、今号レポート期間にブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。活動量のパーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングに限り各脅威トラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bは、Web脅威カテゴリーごとの活動の増減を、前月比で示しています。

Web脅威カテゴリー%
ポルノ67.5
マルウェア28.4
スパイウェア3.6
フィッシング0.6

図6a: カテゴリーごとの脅威トラフィック量

図6b: 各期間の脅威トラフィックの増減率

活動の要約

世界各国で検出されたマルウェア量は、前回レポートから増加し続けており、今年はじめに検出されたマルウェア量のレベルに近づきつつあります (図3b)。検出量が増加している要因の1つは、依然として活動が衰えないSasfisボットネットにあります。今回レポートのマルウェア変種トップ10には、8種類ものSasfis変種が名を連ねています。実際、このレポート期間中に検出されたマルウェアトップ10のうち9種類が、類似するマルウェアファミリーの新しい変種です。これは、マルウェアの開発者が、それぞれ独自に開発したコード自体のアップデート版コピーを展開し続けていることを示す、典型的な状況です。今年初旬、Sasfisボットネットの活動は、感染したシステム上でソフトウェア (主にFakeAV) をダウンロードし実行する行動が中心的でした。今号レポートの期間中に見られたSasfisの活動は、アップデートされたスパム実行モジュールをダウンロードし、大量のスパムを送信するという行動です。Sasfisによるスパムの代表例として、偽のUPS請求明細書やFacebookのフォトリンクなどがあります。

Cutwailなどのスパムボットは多様化し続けており、様々な文面のスパムを頻繁に送信しています。Pushdoによるスパム電子メールの1つに (図5c) Amazon.comのフィッシングがありました。これは古典的なフィッシングで、リンクをよく確かめて、接続先がどこか (図で赤く示されている部分) を観察することにより、容易に検出できます。今号レポートで流行しているスパムキャンペーンは、フィッシングから、ユーザーを悪意的なサイトに転送するHTMLが添付された電子メール、さらに添付ファイル自体が悪意的なメールまで、変化に富んでいます。これらのスパムキャンペーンおよびその標的の多様性から、ボットネットが地下組織的な顧客のニーズを満たすために、いかに利用され続けているかがわかります。図5aおよび5bに示される電子メールは、送金に関する通知をソーシャルエンジニアリングの手法として利用しています。いずれのメールにも、HTMLファイルが添付されており、悪意を持つ難読化されたjavaスクリプトが含まれています。エンドユーザーがこれらを実行すると、悪意的なサイトに転送されます。

フォーティネットが新たに追加した脆弱性の30%以上が悪用され続けており、これは当社が1年以上に渡り確認し続けている傾向でもあります。今号レポートの期間中に、総計91の新しい脆弱性が追加されており、ハッカーが数多くの既知のセキュリティホールを悪用し続けていることがわかります。図1cは、これらの脆弱性を深刻度別に表しており、'重要'の深刻度に最も多くの脆弱性が該当しています。この図から、影響の範囲、深刻度、実環境での攻撃活動に対して、どのように対応すべきかを読み取ることができます。この図が示唆するのは、IPS(侵入防止システム)の導入に加えて、修正プログラムの提供直後にセキュリティホールにパッチを当てることの重要性です。パッチ管理を適切に行っていても、1つのゼロデイ脆弱性が悪用されるだけで (わずかな量でも) 甚大な被害が引き起こされる可能性があります。7月の場合、たとえばStuxnet攻撃を見るだけでも、それがわかります (当社のFAQをお読みください〔英語〕)。攻撃については現在調査中ですが、悪用に関連するトロイの木馬は産業用制御システムを標的に開発されたと見られており、この事実からも僅かな悪用をきっかに著しい影響が生じる可能性は明らかです。さらにStuxnetは、エンドユーザーによる操作がほとんど必要なく感染させるケースの、代表的な例でもあります。このStuxnetは、Windows Shellの脆弱性 (CVE識別番号「CVE-2010-2568」) を悪用し、単に (表示されるアイコンの) フォルダを開くことで攻撃を開始します。2009年を思い返すと、PDFを使用したJBIG2イメージストリームによる攻撃、および複数のWindows shell拡張子による攻撃といった、類似の攻撃手法がありました (CVE識別番号「CVE-2009-0658」)。単にフォルダを閲覧するだけで、感染を引き起こします。フォーティネットは、Stuxnet攻撃と関連する脆弱性を、'MS.Windows.Shell.LNK.Code.Execution' として検出し、さらに悪用された ".LNK" ペイロードを、アンチウイルスにより 'W32/ShellLink.a!exploit.CVE20102568'' として検出します。今号レポート編集の時点では、回避策はあるものの、Microsoftから正式なパッチはリリースされていません。

'MS.Windows.Help.Center.Protocol.Malformed.Escape.Sequence' の脆弱性は、7月13日にWindowsヘルプセンター (CVE識別番号「CVE-2010-1855」) 用のパッチをMicrosoftが提供する(英語)前に、ゼロデイ攻撃されました。この脆弱性は6月5日に開示され、フォーティネットは6月11日の時点で攻撃の発生を確認しました。今号レポート期間中に攻撃は頻繁に続けられており、脅威トップ10リストの中で第4位にランク付けされています。攻撃は複数のWebサイトから発生していますが、攻撃が1種類のWebブラウザに限定されない (あらゆるブラウザが使用するHCPプロトコルハンドラにより攻撃開始される) ことから、強い攻撃力を持つと考えられます。多くの場合、攻撃に悪用されるWebサイトはブラウザの指紋を採取し、そのブラウザに特化したコードで攻撃しようとします。Stuxnetのように、この攻撃も、パッチの提供前にゼロデイ脆弱性の攻撃に成功した一例といえます。

ソリューション

フォーティネットのFortiGuardサブスクリプション サービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuard Labが、同社のインテリジェンスシステムと世界中で販売されているFortiGate複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的な セキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

フォーティネットについて (www.fortinet.com)
フォーティネットは (NASDAQ: FTNT) ネットワーク セキュリティ アプライアンスのワールドワイド プロバイダであり、統合脅威管理 (UTM) のマーケット リーダーでもあります。フォーティネットの製品とサブスクリプション サービスは、ダイナミックなセキュリティ脅威に対抗する広範で高性能な統合プロテクション機能を提供しつつ、ITセキュリティ インフラの簡易化も実現します。フォーティネットの顧客には、米フォーチュン誌が選出する2009 Fortune Global 100の大部分を含む世界中の大規模企業、サービスプロバイダ、行政機関が名を連ねています。フォーティネットのフラグシップであるFortiGate製品はASICによる高速なパフォーマンスを誇り、アプリケーションやネットワークの脅威から保護する多層セキュリティ機能が統合されています。フォーティネットの幅広い製品ラインはUTMにとどまらず、エンドポイントからデータベースやアプリケーションなどの境界やコアに至る大規模エンタープライズのセキュリティを保護します。フォーティネットは本社をカリフォルニア州サニーベールに構え、世界中にオフィスを展開しています。

###
Copyright 2010 Fortinet, Inc. All rights reserved.のマークはいずれも、Fortinet, Inc.、その子会社および関連団体の米国における登録商標および未登録の商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiManager、FortiMail、FortiClient、FortiCare、FortiAnalyzer、FortiReporter、FortiOS、FortiASIC、FortiWiFi、FortiSwitch、FortiVoIP、FortiBIOS、FortiLog、FortiResponse、FortiCarrier、FortiScan、FortiAP、FortiDB、FortiWebなどがありますが、これだけにとどまりません。その他の商標は、各所有者に帰属します。フォーティネットは、サードパーティに帰する本書での声明や認可について中立的な立場で実証してはおらず、またフォーティネットはそのような声明を保証することもありません。本ニュースリリースには、不確実性や仮説を伴う前向きな内容が含まれている場合があります。不確実性が現実になったり、あるいは仮定が正しくないことが判明したりした場合、そうした前向きな声明や仮説で表明または暗示された内容とは実質的に結果が異なる場合があります。史実に関する声明を除くすべての声明は、前向きな声明であると判断されるべきものです。フォーティネットは、どの前向きな声明についても改正する義務を負わず、またこれらの前向きな声明を改正する方針もありません。

本プレスリリースのURL(フォーティネットWebサイト)
リンク

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。