|
2009年5月7日
フォーティネットジャパン株式会社
下記のランキングは、2009年3月21日〜4月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。
目次:
FortiGuard Global Threat Research
- 脅威と侵入防御
- 脅威トップ10
- 新たな脆弱性の範囲
- 最新のマルウェア
- 変種トップ10
- 地域と数量
- スパムの流通
- スパムの出現率
- 実環境におけるスパムトップ3
- Webからの脅威
Web脅威のトラフィック
- 活動の要約
●脅威と侵入防御
1. 脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「%」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。
| 順位 | 脅威 | % | 深刻度 |
| 1 | SSLv3.SessionID.Overflow | 9.3 | 重要 |
| 2 | SMS.SQL.Server.Empty.Password | 8.4 | 重要 |
| 3 | MS.DCERPC.NETAPI32.Buffer.Overflow | 5.5 | 緊急 |
| 4 | MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow | 4.6 | 重要 |
| 5 | MS.IE.HTML.Attribute.Buffer.Overflow | 4.0 | 重要 |
| 6 | MS.Windows.NAT.Helper.DNS.Query.DoS | 3.7 | 重要 |
| 7 | MS.Windows.ASN.1.Bitstring.Overflow | 1.4 | 重要 |
| 8 | FTP.Bounce.Attack | 1.2 | 重要 |
| 9 | LPD.Command.Buffer.Overflow | 1.0 | 重要 |
| 10 | Oracle.sys.pbsde.init.Buffer.Overflow | 0.9 | 警告 |
図1a:マルウェアが検知された地域トップ5
2. 新たな脆弱性の範囲
図1b:深刻度で分類された、この項目における新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに96件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、31.3%にあたる30件は積極的な攻撃を仕掛けたことが報告されています。
下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。
詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
●最新のマルウェア
1. 変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。
| 順位 | マルウェア変種 | % | トップ100シフト |
| 1 | W32/Virut.A | 8.2 | - |
| 2 | W32/Dropper.PTD!tr | 6.2 | 新 |
| 3 | W32/OnlineGames.MIG!tr.pws | 5.7 | 新 |
| 4 | Spy/OnLineGames | 5.6 | +1 |
| 5 | W32/Agent.JNR!tr | 4.8 | 新 |
| 6 | HTML/Iframe.DN!tr.dldr | 4.8 | -3 |
| 7 | W32/Netsky!similar | 4.2 | -5 |
| 8 | HTML/Iframe_CID!exploit | 3.8 | -4 |
| 9 | Adware/AdClicker | 3.0 | 新 |
| 10 | W32/MyTob.fam@mm | 2.8 | -3 |
図2:トップ5のマルウェア変種の活動カーブ
2. 地域と数量
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。4月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。
図3a:目立ったマルウェアの数量でみた地域トップ5
図3b:マルウェア総量の6カ月間のトレンド
図3c:固有のマルウェア数量の6カ月間のトレンド
地域ごとの日次活動の詳細は、当社のウイルス世界地図をご参照ください。
●スパムの流通
1.スパム出現率 日本はスパム量が2位
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。
図4a:全世界のEメール数量と比較したスパム出現率
図4b:受信したスパム数が多い地域トップ5
2. 実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。
図5a:スパムキャンペーンその1
図5b:スパムキャンペーンその2
図5c:スパムキャンペーンその3
●Webからの脅威
Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大(または減少)を前期比で示したものです。
| FortiGuardのカテゴリー | % |
| ポルノ | 71.3 |
| マルウェア | 18.9 |
| スパイウェア | 8.2 |
| フィッシング | 1.6 |
図6a:Web脅威のトラフィック内訳
図6b:Web脅威のトラフィックの月別成長率
●活動の要約
脅威トップ10のランキング内ではここ3カ月間、変種の順位が入れ替わりましたが、今月は注目に値する活動がありました。4つの新しい変種が登場した一方、W32/Virut.Aが2カ月続けて首位の座を守りました。新しい変種はオンラインゲームを狙うマルウェアと、アドウェアの脅威です。じっさい、今月の脅威トップ10のうち3つ(第2位から4位まで)はオンラインゲームを標的にしたトロイの木馬に関連したもので、4つ目のトロイの木馬は11位だったため、かろうじてトップ10から漏れています。言うまでもなく、今月のマルウェア活動のかなりの部分は、これらの脅威によるものです。過去1年間にわたってお知らせしてきたように、オンラインゲームによって創りだされた儲かる市場は急速にサイバー犯罪を引き付けています。リアルマネートレーディング(RMT)の市場規模(推定)は年間20億ドルにのぼり、第3位および4位にみられるような脅威に加速され、不法な行為がはびこっています。
今月の目立ったマルウェアの数量では、中国が先月の24.17%から躍進し、米国および日本を飛び越して全世界の44.86%を占めました(図 3a)。これはひとつには、上記のようなオンラインゲームを狙った脅威の存在感が増したことが貢献しています。1年前に報告した市場シェアを受けて、こうした脅威はアジアで大きな影響力を持っています。全世界では(図 3b/3c)マルウェア総量および目立ったマルウェア数量が増加し、今年探知した中で最高の水準になっています。
Conficker.Cは、そのコードに埋め込まれた4月1日の時限爆弾が大爆発することが予測された割には静かでしたが、新しいコードが注入されると、そのP2Pネットワークが1週間後に盛んな活動を始めました。それ以前には、Conficker.Cの最新の変種がMS08-067の脆弱性攻撃を休止して以降、MS08-067を悪用した活動は相当減っていました。しかし、Confickerともう1つのマルウェアファミリーを通じて、この不名誉な新しいセキュリティホールを悪用する新たなコードの存在が浮かび上がりました。その結果、MS08-067の悪用活動は4月末に向けて再度、勢力を取り戻しました。この悪用の1つであり、当社が探知したMS.DCERPC.NETAPI32.Buffer.Overflowは、悪用トップ10リストの3位に入っています。Confickerの最初の攻撃媒体の成功に乗じて、新しい脅威が作りだされているところから、この活動の組み合わせはこれからも継続的に発生するものとみられています。
Waledacギャングは再び多忙になり、またもや携帯SMSのスパイ用ソフトウェアを装った変種のキャンペーンを開催しています。図5aで示したサンプルは、Waledacのボットネットがまき散らした単純かつ悪意に満ちたEメールです。今年に入りWaledacによる大規模キャンペーンはこれが5回目であるところから、どうやら毎月の恒例になりそうです。毎度のことながら、彼らはソーシャルエンジニアリングの効果を向上させるため、正当なWebサイトのテンプレートを盗んでいます。このコピー&ペーストの手口は過去の「Couponizer」をテーマにした脅威や、オバマ氏のキャンペーンを装った脅威でも見られたもので、何も目新しいものではありません。これは非常に活発で、サーバ側のポリモーフィズムを大量に利用しているため、用心すべき手法です。有効なアンチウイルスとWebフィルタリングソリューションがきちんと導入されていることを確認してください。WaledacはHTTP通信を使うプロキシのP2Pネットワークと、Fast Fluxに基づく様々なドメインを基盤としています。Waledacの変種が最近、Confickerの巨大なゾンビネットワークで発見されたことを考えると、Waledacはすぐには姿を消しそうにありません。
今月のその他の注目すべきスパムには、ソーシャルエンジニアリングを用い、香港から発信されたように装った「ナイジェリア419」詐欺(図5b)や、「Men's Health」という雑誌からテンプレートを無断借用したカナダ薬局のギャング(図5c)があります。後者のEメールに含まれているリンクはすべて、カナダ薬局のネットワークに通じており、Men's Health誌のサイトに飛ぶことはできません。これは正当な名前を騙っただましの手口ですので、ご注意ください。Web脅威のトラフィックは今月、全般的に増加しており、フィッシングサイトの成長率がスパイウェアの成長率を上回りました(図6b)。
ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。
免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。
- 印刷用PDFファイル
|
