logo

フォーティネット ウイルス対処状況レポート (2010年8月度)

下記のランキングは、2010年7月21日~8月20日までのフォーティネットのFortiGateネットワーク セキュリティ アプライアンス とインテリジェンス システムが検知した情報をもとに作成されています。

目次:
脅威と侵入防御
o脅威トップ10
o新たな脆弱性の追加
マルウェアの現況
o変種トップ10
o地域と数量
スパムの流通
oスパムの出現率と上位地域
o実環境でのトップ3
Webからの脅威
o脅威トラフィックおよび拡大
活動の要約

脅威と侵入防御

脅威トップ10

下記のランキングは、今月検知された攻撃のトップ10を、有効な攻撃の活動量で順位付けしたものです。有効な攻撃は、フォーティネットのFortiGuard Centerに掲載されるThreat Outbreak (最新脅威) の脅威一覧に基づいて定義されています(RSSフィードはこちらをご覧ください)。「%」は、その攻撃活動が、今月報告された日ごとの攻撃の累積総数に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」に相当する攻撃は、太字で示されています。トップ100シフトは、前号レポートのトップ100と比較した順位の変動を示し、「new」はトップ100に初登場したマルウェアです。図1aは、今回レポートのトップ5にランクされる攻撃の、日ごとの攻撃状況を示しています。図1bは、今回レポートされたすべての攻撃活動との対比で、最も攻撃が検知された上位5地域を示しています。

順位脅威%深刻度トップ100
シフト
1MS.Windows.Help.Center.Protocol.Malformed.Escape.Sequence30.4緊急+3
2MS.DCERPC.NETAPI32.Buffer.Overflow24.6緊急+1
3MS.IE.Userdata.Behavior.Code.Execution20.9緊急-1
4SMTP.Auth.Buffer.Overflow10.0緊急+1
5FTP.USER.Command.Overflow6.8重要+3
6AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation6.5重要+3
7Apache.Expect.Header.XSS6.5警告-1
8MS.Content.Management.Server.Code.Execution4.6緊急+4
9Sasfis.Botnet3.9重要+2
10MS.Windows.LSASS.Buffer.Overflow2.6重要+7

新たな脆弱性の追加

今月、FortiGuard IPSが新たに追加した脆弱性の合計は114件です。
追加されたこれらの脆弱性のうち、24.6%に相当する28件については、活発な攻撃を受けたことが報告されています。

下記の図1cは、新たに追加された脆弱性について、実環境での深刻度ごとに脆弱性の数、攻撃活動量を示しています。

詳しくは、下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
不正侵入防御 - サービス更新履歴

マルウェアの現況

変種トップ10

下記のランキングは、変種ごとに分類したマルウェア活動トップ10を示しています。パーセンテージは、そのマルウェア変種の活動が、今月報告されたすべてのマルウェア脅威に占める割合を示しています。トップ100シフトは、前号レポートのトップ100と比較した順位の変動を示し、「new」はトップ100に初登場したマルウェアです。図2は、トップ5以内のマルウェア変種の検知量を示しています。

順位マルウェア変種%トップ100シフト
1W32/FakeAlert.LU!tr37.3new
2HTML/Iframe.DN!tr.dldr7.5new
3W32/FakeAlert.DL
!tr6.0new
4W32/Agent.BHU!tr4.0new
5W32/Zbot.AB21!tr2.8new
6W32/Agent.BFAD!tr.dldr1.7new
7W32/FakeAlert.LKJ!tr1.1new
8JS/ObRedirect.A!tr1.0-6
9W32/FraudPack.C!tr.dldr0.9new
10W32/FraudPack.D!tr.dldr0.9new

地域と数量

以下は、個別マルウェアの報告数量でランク付けした、今月の上位5地域です。個別マルウェア数量は、特定地域で検知された個別ウイルス名 (変種) 数の、マルウェア総数 (報告された全マルウェアの累積数量) に対する割合を示しています。ここ6ヶ月間におけるマルウェアの総数と明確に識別できる数量のトレンドについても示します。以下の図3a-3cこれらの統計値です。

地域別の日ごとの活動状況については、当社のウイルス世界地図をご覧ください。

スパムの流通

スパムの出現率と上位地域

以下に、今号レポート期間での全世界のスパム出現率が、日次単位で示されています。スパム出現率は、スパムと認識されたEメール累計数の、Eメール総トラフィック量に対する割合です。スパム流通の上位5地域は、地域内で受信されたスパム数の、全世界のスパム総数に対する割合からランク付けされています。統計を営業日ごとにグラフ化し、以下の図4aおよび図4bに示しています。

実環境でのトップ3

以下に、今号レポート期間に検知されたEメール脅威のトップ3を示します。ランク付けされるEメールは、類似のメールおよび未承諾広告を除外し、異なるキャンペーンの特徴に応じて分類されています。これにより、スパムメールにどのような詐欺的または悪意的な意図があるかがわかります。以下の図5aから図5cの代表的なスパムメールには、最近のスパムキャンペーンで多用されているメッセージ手法が示されています。

Webからの脅威

脅威トラフィックおよび拡大

以下の表は、今号レポート期間にブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。活動量のパーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングに限り各脅威トラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bは、Web脅威カテゴリーごとの活動の増減を、前月比で示しています。

Web脅威カテゴリー%
ポルノ67.2
マルウェア29.2
スパイウェア3.1
フィッシング0.5

活動の要約

2010年3月、Ransomwareの活動が活発になったことが観測されました。これは、ユーザのPCにあるアプリケーションやデータを「人質」にとって、元通りアクセスできるようにするための「身代金」を要求するマルウェアです。TotalSecurityはそうしたRansomwareの変種の1つで、今回のレポートで再び大きな流行を見せています。その感染は少なくとも8ヶ月間にわたって広がっており、現在でもさらにその影響力を強めている模様です。今回のレポートで一番多く検出されたマルウェアは、8月8日にもっとも活発化したTotalSecurityローダー (W32/FakeAlert.LU) です。この「プロダクト」はいったん活動を開始すると、感染したマシンを支配してアプリケーションをロックアウトします。ユーザが何らかのアプリケーション (Webブラウザを除く) を起動しようとすると、ダイアログボックスがポップアップ表示され、そのアプリケーションが感染していて起動できないことをユーザに知らせます。もちろん、これはまったくの策略です。(HTTPを介して) プロダクト ページを開いたユーザが、そこでTotalSecurity Ransomwareの感染を解除するクリーニング ソリューションを購入してしまう恐れがあります。

このRansomwareの開発者らは、自分たちのビジネスを生かし続けるためのコード作成に全力をあげています。今回のレポートで観測された1つの指標は、Ransomewareアプリケーションがサーバ側でポリモーフィックと化していることです。このテクニックは主にボットネット (Waledacなど) で見受けられ、TotalSecurityの開発者にも活用されてきました。最初の感染は一般に、添付ファイルのあるEメール (図5a、5b) で始まります。ここで取り上げたスパムEメールに見られるように、テンプレートとソーシャル エンジニアリングの各テクニックはまったく異なるものですが、同じRansomwareローダーが含まれています。ローダーが実行されると、サーバに接続してRansomwareプロダクトをダウンロードします。ここがサーバ側のポリモーフィックが作動する場所であり、ローダーは同じサーバに接続して同じファイルを要求します。ただし、1時間単位で変化した異なるコードがダウンロードされます。Ransomwareプロダクトと機能は同一でも、検出を避けるためにコードは変化しています。これは、アンチウイルスに頼るだけではシステムを脅威から保護する特効薬にはならないことの一例です。そこで、問題のあるWebサイト/URLは同一であるため、悪意のあるサイトを特定するためにWebコンテンツ フィルタリング機能が、またまず第一に感染したEメールを警告するためにアンチスパム機能が、それぞれ貢献することになります。

そのほかに今月確認された顕著な脅威はZBotです。これは、その知名度の高さから説明の必要もないと思われるDIY (Do-It-Yourself) 型のボットネット キットです。我々が検出したZbotのほとんどの変種は性質が異なるものですが、その理由は、それぞれのZbotが各自のボットネットを実行して望みの情報を標的にするように設定できるからです。今月の例として、ZBot変種は米国の軍人を標的としていたことが明らかになりました。Zeus/Zbotの詳細については、この記事をご覧ください。Zeus/ZBotはきわめて一般的なアングラ プロダクトであるため、将来の悪用に向けて新たな機能を備えた新しいバージョンが開発され続けることになるでしょう。

前述のように、ここで取り上げた2つのスパム キャンペーンが、トップ10リストで流行しているマルウェアに関連付けられます。図5aおよび5bは、文書が添付されていることを知らせる2通のEメールを示しています。実際、それらは実行プログラムを内包するzipアーカイブです。そのどれをクリックしても、Ransomwareに感染することになります。感染力を持つ3通目のEメールは、ブラジルの海岸沖で何百人にのぼる生命を奪ったエールフランス447便の墜落事故に関する1年以上前のニュースについて記されています。このEメールでは墜落事故の新しい写真が添付されていることを知らせていますが、繰り返すようにその添付ファイルは実行ファイルを内包するzipファイルです。こうした特性に基づき、これらのEメールを開いたらすべてのユーザに即ちに警告が発せられるようにするべきです。

最近のWindowsヘルプセンターの脆弱性に対する攻撃が続いたため、この脅威が今回のトップ10攻撃リストでポールポジションを獲得しました。この攻撃 (CVE-2010-1885) は、MS.Windows.Help.Center.Protocol.Malformed.Escape.SequenceとしてFortiGuard Labsで検出されました。図1aは、この脆弱性が8月8日と9日に際立って激しく活動したことを示しています。前回のレポートで言及したように、標的とする脆弱性がWebブラウザ固有のものではないため、この攻撃はかえって有効性を高める恐れがあります。

ソリューション

フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuard Labが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的な セキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

フォーティネットについて (www.fortinet.com)
フォーティネットは (NASDAQ: FTNT) ネットワーク セキュリティ アプライアンスのワールドワイド プロバイダであり、統合脅威管理 (UTM) のマーケット リーダーでもあります。フォーティネットの製品とサブスクリプション サービスは、ダイナミックなセキュリティ脅威に対抗する広範で高性能な統合プロテクション機能を提供しつつ、ITセキュリティ インフラの簡易化も実現します。フォーティネットの顧客には、米フォーチュン誌が選出する2009 Fortune Global 100の大部分を含む世界中の大規模企業、サービスプロバイダ、行政機関が名を連ねています。フォーティネットのフラグシップであるFortiGate製品はASICによる高速なパフォーマンスを誇り、アプリケーションやネットワークの脅威から保護する多層セキュリティ機能が統合されています。フォーティネットの幅広い製品ラインはUTMにとどまらず、エンドポイントからデータベースやアプリケーションなどの境界やコアに至る大規模エンタープライズのセキュリティを保護します。フォーティネットは本社をカリフォルニア州サニーベールに構え、世界中にオフィスを展開しています。

###
Copyright 2010 Fortinet, Inc. All rights reserved.とのマークはいずれも、Fortinet, Inc.、その子会社および関連団体の米国における登録商標および未登録の商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiManager、FortiMail、FortiClient、FortiCare、FortiAnalyzer、FortiReporter、FortiOS、FortiASIC、FortiWiFi、FortiSwitch、FortiVoIP、FortiBIOS、FortiLog、FortiResponse、FortiCarrier、FortiScan、FortiAP、FortiDB、FortiWebなどがありますが、これだけにとどまりません。その他の商標は、各所有者に帰属します。フォーティネットは、サードパーティに帰する本書での声明や認可について中立的な立場で実証してはおらず、またフォーティネットはそのような声明を保証することもありません。本ニュースリリースには、不確実性や仮説を伴う前向きな内容が含まれている場合があります。不確実性が現実になったり、あるいは仮定が正しくないことが判明したりした場合、そうした前向きな声明や仮説で表明または暗示された内容とは実質的に結果が異なる場合があります。史実に関する声明を除くすべての声明は、前向きな声明であると判断されるべきものです。フォーティネットは、どの前向きな声明についても改正する義務を負わず、またこれらの前向きな声明を改正する方針もありません。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。