フォーティネットウイルス対処状況レポート (2009年5月度)

　下記のランキングは、2009年4月21日～5月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。

　下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「％」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。

図1a：マルウェアが検知された地域トップ5

図1b：深刻度で分類された、この項目における新たな脆弱性の範囲

　今月、FortiGuard IPSは、新たに140件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、46.4％にあたる65件は積極的な攻撃を仕掛けたことが報告されています。

　下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。

　詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。

　下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。

順位	マルウェア変種	％	トップ100シフト
1	W32/Dropper.PTD!tr	34.5	+1
2	W32/Virut.A	7.7	-1
3	HTML/Iframe.DN!tr.dldr	4.2	+3
4	W32/Netsky!similar	3.2	+3
5	Adware/AdClicker	3.2	+4
6	HTML/Iframe_CID!exploit	3.0	+2
7	W32/PackWaledac.B	2.8	new
8	W32/MyTob.fam@mm	1.7	+2
9	W32/Delf.AYO!tr	1.2	+6
10	W32/Virut.E	1.1	+27

図2：トップ5のマルウェア変種の活動カーブ

　下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。5月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。

図3a：目立ったマルウェアの数量でみた地域トップ5

図3b：マルウェア総量の6カ月間のトレンド

図3c：固有のマルウェア数量の6カ月間のトレンド

　地域ごとの日次活動の詳細は、当社のウイルス世界地図をご参照ください。

　今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。

図4a：全世界のEメール数量と比較したスパム出現率

図4b：受信したスパム数が多い地域トップ5

　下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。

図5a：スパムキャンペーンその1

図5b：スパムキャンペーンその2

図5c：スパムキャンペーンその3

　下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大（または減少）を前期比で示したものです。

FortiGuardのカテゴリー	％
ポルノ	60.3
マルウェア	27.4
スパイウェア	10.6
フィッシング	1.7

図6a：Web脅威のトラフィック内訳

図6b：Web脅威のトラフィックの月別成長率

　今月のマルウェアトップ10では、かなりの活動が繰り広げられました。もっとも目立ったのは、全世界で探知されたマルウェア活動の30％以上を占めた変種です。先月のレポートではVirutおよび、オンラインゲームを標的にしたトロイの木馬のしぶとい活動について論じたほか、サイバー犯罪者たちが群がる現金の取引ビジネスを取り上げました。オンラインゲームを狙うトロイの木馬では3つの変種が登場し、なかでも群を抜くW32/Dropper.PTDはW32/Virut.Aに次ぐ2位に入りました。今月、Virutは引き続きトップ10で優勢を誇示していますが、W32/Dropper.PTDが大々的に勢いをつけたことで陰りがみえはじめました。図2はそれをハッキリと反映しています。2008年9月に不法なセキュリティ・ソフトウェアがサイバー空間を蝕みはじめたとき以来、マルウェアの変種がこれほどの活動シェアを得たことはありませんでした。とはいえW32/Dropper.PTDは、当時の脅威勢力図でマルウェアの数量がふくれ上がった2008年9月のW32/Inject.BZWの走行に比べると、まだ底の浅いものだといえます。ともあれ、この活動は2009年のセキュリティと脅威の動向予測（7. ゲームを開始させよう）で行った予言をまさに確信させるものです。忘れてはならないのは、サーバ側の盛んなポリモーフィズムのおかげで多数生みだされているWaledac変種のうち、ただ1種であるW32/PackWaledac.Bが7位にすべりこんだという事実であり、今後はWaledacの悪意あるネットワークが存在感を強めていく可能性があります。年初から警告してきたとおり、これはまさに用心すべき脅威です。

　W32/Dropper.PTDはオンラインゲームを標的にしたトロイの木馬で、マイクロソフトWindows の「explorer.exe」用にDLL拡張子を圧縮したUPXを投下します。このDLLはシェル実行フックとして使用されますが、あるDLLはPerfect World社が開発した人気MMORPGの「Zhu Xian」にリンクされたサーバから信用情報を嗅ぎまわっていたことが確認されています。中国で2007年に開始したこのゲームはその後、ライセンス契約でマレーシア、シンガポール、ベトナム、タイ（2008年）の各市場に進出していきました。サイバー犯罪者はまさにこの市場の動きを追いかけています。当社のインテリジェンスシステムがキャッチしたところでは、W32/ Dropper.PTDは今月中国で高い活動率を示し、次いでタイ（このゲームが進出した地域のひとつ）が2位となっています。また「Jade Dynasty」という名称でこのゲームの発売を予定している北米では、対象を限定した「Zhu Xian」のベータ・テストがつい先日発表されました。このように人気のあるアジア（オンラインゲームの脅威が現在、もっとも優勢な地域）発のゲームが北米市場に進出するなかで、同様の脅威がまもなく北米を襲うかもしれません。

　あらゆるオンラインゲーム活動の中で、Virutファミリーは主力選手であり真の脅威となっています。W32/Virut.Aが引き続き強烈な活動を展開しているだけでなく、昨年来、新顔で改良された変種であるW32/Virut.Eも今月はトップ10の10位に駆け上がりました。W32/Virut.Eは「～A」変種と似たふるまいをしますが、効率性と頑強性をアップするため改造されています。W32/Virut.Aは昨年を通してほとんど韓国にとどまっており、同地域は常にこのファイル感染源のホットスポットでした。ハイブリッドな機能をもつVirutは様々な媒介物を通して多様な形状を取るおそれがあるため、要注意です。

　脅威はすべての地域で上昇中です。新たな脆弱性の範囲をみると、悪用と脆弱性は今年最高の水準となっており、今月は新たな脆弱性の40％以上がさかんに悪用されました（図1b）。スパム出現率も4月から継続的に上昇していますが、影響を受けた地域に変動はありません。中国は米国をしのいで2カ月連続でマルウェア活動の首位を占めましたが（図3a）、これにはオンラインゲームの脅威が貢献しています。全体的にみてマルウェア数量と目立ったマルウェア変種は前回のレポートから増加しています（図3b/3c）。特定のWeb脅威トラフィックでは、ポルノがシェアを先月から10％以上減らして60.3％になりました。これはマルウェア（27.4％）およびスパイウェア（10.6％）というWeb脅威が増加したためです（図6a/6b）。侵入探知システムがキャッチしたところでは、MS08-067という有名な脆弱性がW32/Neeris.Aをはじめとする「模倣犯」ワームの標的にされたおかげでMS.DCERPC.NETAPI32.Buffer.Overflowが今月の悪用活動の首位を占めました。

　図5aは、悪名高きカナダ薬局のギャングが新型インフルエンザ（H1N1）の流行を受けて流したタミフルの広告です。このギャングはロケーションベースサービスを利用して、ローカライズしたスパムで特定の地域を狙い撃ちしました。今月はドイツ語で書かれた多数のスパムが観測されましたが、ロシア語による同様のスパムを以前にお見せしたことがあります。その上、ギャングたちはソーシャルエンジニアリング・サイトをはじめとする様々な媒介物でエンドユーザを引き寄せようとしています。図5bは文書ファイルを添付したスパムメールですが、これは実際には宝くじ／前納手数料の詐欺です。サイバー犯罪者は脆弱性の悪用によく文書を使うため、とりわけ文書の添付ファイルには用心してください。ここに示した例は害のない手紙（それが詐欺につながる）でしたが、実行ファイルのようにはみえない文書を開いても即座にマシンに害を与えることがあります。最後に、図5cはバンク・オブ・アメリカを装った最近のフィッシングです。ユーザの口座を差し止めるという脅しの要素を含んだソーシャルエンジニアリングの戦術にご注目ください。とりわけ、下の方の赤でマークした、フィッシングにつながる偽物リンクをよくご覧ください。リンクをたどる前には常に立ち止まってよく考えましょう。こうした脅威が増加する中で、重要なのはセキュリティに優先順位をつけ、自社のネットワークや機密データを守るために複数レイヤのセキュリティソリューションを導入することです。そのためには統合ネットワークセキュリティと効果的な脅威マネジメントがもっとも役立ちます。

ソリューション
　フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

免責条項：
　当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。