|
2007年8月3日
フォーティネットジャパン株式会社
7月のサマリー:
- 古きよき伝統:暑中見舞いはがき
- そしてターゲットは:あなたのWebブラウザ
●7月の脅威の状況
フォーティネットのFortiGateセキュリティアプライアンスが発見した脅威トップ10
| Rank | Malware | Percentage |
| 1. | W32/Netsky.P@mm | 9.52% |
| 2. | HTML/Iframe_CID!exploit | 8.42% |
| 3. | W32/Bagle.DY@mm | 4.71% |
| 4. | W32/Dialer.PZ!tr | 3.62% |
| 5. | W32/Grew.A!worm | 3.09% |
| 6. | W32/ANI07.A!exploit | 2.88% |
| 7. | W32/Netsky!similar | 2.66% |
| 8. | W32/Bagle.GT@mm | 2.53% |
| 9. | W32/Sober.AA@mm | 2.30% |
| 10. | W32/Virut.fam | 2.27% |
今月のマルウェア・トップ10には、次のような傾向が見られました。
- 検知された脅威の種類が多かった為、マルウェア全体に対してトップ10が占める割合が低くなりました。
- 先月はNetsky.Pが追い上げていましたが、今月はBagle.DYがそれを追い抜き、活動が倍増しそうな勢いです。
- パッチが配布されたにもかかわらずAN107.Aは引き続きのさばっています。これは、AN107.Aがまだ有効であるか、一般のWebサイトから十分に取り除かれていないかのどちらかを意味します。
- EメールベースのIframe_CIDが通常より上昇しました。これはおそらく、Netsky.Pのマスメーラーコンポーネントの成功とIframe_CID自体の最近の活動増加によるものと思われます。
古きよき伝統:暑中見舞いはがき
絵葉書は時代遅れになり、いまやeカードの時代です。これは絵葉書より安価、そして送付するのも楽で、コンピュータウイルスの運搬に完璧に適しています。
実際のところ、ここ数年というものウイルス作者たちは、毎年祝日(クリスマスやバレンタインデー)などが近づくと、偽のeカード(有名サイトから送られてきた正当なものに見せかけた)を使ってマルウェアの配布をしてきました。FortiGuard Global Security Research Teamのマネージャーであるギョーム ラベットによると、この夏、「Storm Worm (別名:W32/Tibs)」の一味は、悪質なP2P(ピアツーピア)のボットネットを、このおなじみの戦略で広めることを決意したそうです。彼らのeカードは粗野でシンプル、そしてソーシャルエンジニアリングの戦略は、まったくと言ってよいほど、盛り込まれていません。
図1:「ここをクリックして感染しよう」と言っているに等しいソーシャルエンジニアリングの話法
こうした状況によくあることですが、この一味はこの作品のソーシャルエンジニアリングがお粗末であることを埋め合わせるために、攻撃的な大量配布を行いました。下記の図2で分かる通り、怒涛のように押し寄せるeカードは、ユーザのメールボックスをほとんど毎日のようにあふれさせたようです。
図2:毎日のようにeカードを処分
図2を見ると分かるように、悪党たちは悪意あるEメールの中にただちにウイルスを埋め込むのではなく、P2Pのボットネットによるゾンビマシン(あなた自身のメールボックスかもしれません)に誘導するリンクを使い、問い合わせのあった相手にはだれかれ構わずマルウェアを送りつける軽量のHTTPサーバを稼動させてウイルスをロードさせようとしています。
これは、世界中のメールサーバの負担を減らすための前向きな努力ではなく、アンチウイルスフィルタを回避するための措置です。この戦略は決して目新しいものではありませんが(Bagleが3年以上前にこうした手を使っています)、いまだに有効性を失っていないようです。実際のところ、HTTPのトラフィックはSMTPトラフィックに比べフィルタをかけられることが少ないのです。HTTPのアンチウイルスフィルタは制約が多いところから(オンザフライかつリアルタイムなスキャンではなく、サーバにあるメールを配達前に静的にスキャンする)、Eメールのアンチウイルススキャンに比べると、遥かにまれな存在です。ただし、こうした傾向もUTMアプライアンスの普及につれて、変わっていくだろうとラベットは言っています。
そしてターゲットは:あなたのWebブラウザ
実のところ、悪意あるeカードの嵐に見られる唯一の新しいアイデアというのは、次の事実にあります。手違いであろうが、意図的であろうが、リンクをクリックするのではなく、TOPページをリクエストしたならば、Webサーバは、山のような悪意あるjavaスクリプトを送りつけてくるという事実です。JS/Agent.KDとその変種では、こうしたjavaスクリプトはハードドライブに大量のトロイの木馬を押し込もうとして、ブラウザの脆弱性悪用という古典的手口を試みます。
それでは実際に、最近起きたMPackの「ドライブバイインストール」といわれる事例を振り返ってみます。MPackの例では、悪意あるIFrame(インラインフレーム)によって何十万人もの合法的なサイトの閲覧者は気づかずに、不正なWebサイトにリダイレクトさせられました。ウイルス作者たちの間ではブラウザの脆弱性悪用が新しい「大ブーム」として脚光を浴びているようです。次のような統計も、ブラウザの脆弱性悪用が注目されていることを証明しています:1月以来、悪意ある活動における脆弱性悪用のインパクトはほぼ2倍になっており、7月の全世界におけるマルウェア活動の5パーセントに達しています。
その上、この悪名高いANIの脆弱性悪用(MS07-017)は、3ヶ月前に現れてからというもの、マルウェアのトップ10入りを続けるだけの数が生み出されています。Netsky.Pのような古くからの歴史的な大量メールワームの活動は、1週間の流れとともに大きく変動しますが(企業ユーザの感染済みメールボックスが閉じられる週末に、事実上2つに分断される)、それと対照的に図3に示すとおり、W32/ANI07.A!exploitは1ヶ月を通して着実で安定した活動を展開します。これは基本的に、この脆弱性悪用に使われている悪意あるサイトが盛んに閲覧されている一方で、古いワームの活動のほとんどは無効で、放棄されたマシンからまき散らされていることを意味しています。
図3:旧派のワーム対新顔のブラウザ脆弱性悪用
ユーザ操作を必要としないという点から、ブラウザ脆弱性の悪用へのシフトは説明がつきます。従って、残念ながらユーザ教育は役に立ちません。
それを考慮すると、Webブラウザがマルウェア作者たちや、こうした作者の手による規制のツールを使うネット犯罪者たちの絶好の標的になることは、驚くに値しません。念のために言っておくと、MPackはWebのフォーラム上で700ドルで売られています。
さてあなたは、自分のブラウザをどれくらい信頼していますか?脆弱性を悪用される余地はどのくらいあるでしょうか?あなたが旧式のインターネットエクスプローラを使っているのなら、その答えは「ものすごく危険」であり、手遅れかもしれません。その一方、もしもLinux上で最新のOperaを使っているのなら、答えは「ほとんどない」(まったくないとはいえないものの)となります。もしくは、効果的なネットワークベースのアンチウイルスフィルタを皆さんとインターネットの間にかませることが、大変に効果的です。きれいな回線をサーフィンするにこしたことはありませんから。
- 印刷用PDFファイル
|
