フォーティネットウイルス対処状況レポート (2009年7月度)

　下記のランキングは、2009年6月21日～7月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。

　下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「％」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。

図1a：マルウェアが検知された地域トップ5

図1b：深刻度で分類された、この項目における新たな脆弱性の範囲

　今月、FortiGuard IPSは、新たに89件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、30.3％にあたる27件は積極的な攻撃を仕掛けたことが報告されています。下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。

　下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。

　詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。

　下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。

順位	マルウェア変種	％	トップ100シフト
1	W32/OnlineGames.BBR!tr	42.9	-
2	W32/Virut.A	9.7	+2
3	JS/PackRedir.A!tr.dldr	3.2	+2
4	W32/FakeAlert.EI!tr	3.1	new
5	HTML/Iframe.DN!tr.dldr	2.9	+1
6	W32/Netsky!similar	2.3	+5
7	Adware/AdClicker	2.3	-
8	HTML/Iframe_CID!exploit	2.1	+4
9	W32/MyTob.fam@mm	1.8	+6
10	Spy/OnLineGames	1.3	+10

図2：トップ5のマルウェア変種の活動カーブ

　下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。7月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。

図3a：目立ったマルウェアの数量でみた地域トップ5

図3b：マルウェア総量の6カ月間のトレンド

図3c：固有のマルウェア数量の6カ月間のトレンド

　地域ごとの日次活動の詳細は、当社のウイルス世界地図をご参照ください。

　今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。

図4a：全世界のEメール数量と比較したスパム出現率

図4b：受信したスパム数が多い地域トップ5

　下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。

図5a：スパムキャンペーンその1

図5b：スパムキャンペーンその2

図5c：スパムキャンペーンその3

　下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大(または減少)を前期比で示したものです。

FortiGuardのカテゴリー	％
ポルノ	52.5
マルウェア	38.7
スパイウェア	4.6
フィッシング	4.2

図6a：Web脅威のトラフィック内訳

図6b：Web脅威のトラフィックの月別成長率

　6月末から7月にかけては、脅威勢力図に興味深い出来事が多数登場しました。マルウェアでは、オンラインゲームを標的にしたトロイの木馬が今期最も多く検知され、その中でもW32/OnlineGames.BBRが全マルウェア活動の43％を占めるという勢いで前号のレポートに続いて1位の座を守っています。この最新の攻撃は図2に示すとおり、7月5日から急増していて、その活動のピークは7月8日です。このキャンペーンは続いており、日次ベースで非常に盛んな活動を展開しています。その他には、常連のW32/Virut.AおよびJS/PackRedirが前回のレポートから勢力を伸ばしています。実際、今月探知したW32/Virut.Aの活動は記録的な水準に達しており、この巨大な怪物が、とりわけアジアにおいて圧倒的な脅威となっている事実を浮き彫りにしています。今月のトップ10の新顔はW32/FakeAlert.EIで、これはまたしてもアンチウイルスの不法なトロイの木馬(スケアウェア)です。デジタルの地下世界でスケアウェアによる詐欺は引き続き大流行しており、1年近く前の2008年8月に当社が大量攻撃を初めて報告した頃に比べると、非常に多種多様なものになっています。7月にはSymbOS/Yxes.EとSymbOS/Yxes.Fの発生がありましたが、これは私たちが2月に初めて報告したYxesの最新の変種です。このマルウェアに関する詳細は、このブログ記事(英語のみ)をご参照ください。とりわけJSPを介したYxesの動的コンテンツは、複数プラットフォームによって分裂した市場にサイバー犯罪者たちがどのように対応しているのか、その第一歩をよく示しています。これは重要なことです。というのも悪意あるバイナリコードは、たったひとつの標的(つまりWindows、OS/X)を狙って書かれていることが多いからです。従来型のデスクトップではこれらの標的は限られていました。しかし携帯市場となると標的の数は増加しており、その種類も多様化しています。そのため、Yxesが行ったように、マルウェアのパッケージが提供する動的アドレスは、この課題を軽減するのに役立つテクニックであり、近い将来、この分野でどのような脅威が登場するかを暗示するものでもあります。

　新たな脆弱性による実際の悪用率(図1b)は、前回レポートの55％以上という年間記録から30％に沈静化したものの、まだまだ安心はできません。もっとも顕著なものでは、インザワイルドの2つのエクスプロイトが今月、波風を立てています。そのうちのひとつは、さかんに取り沙汰されたMS ActiveX Videoコントロール(CVE-2008-0015、こちらのFortiGuard Advisoryを参照)で、マイクロソフトが7月14日にMS09-032で最初のパッチを発行しています。この脆弱性に対する悪用活動は今月を通してさかんに行われましたが、比較的低いレベルにとどまり、その活動のほとんどは韓国、中国、日本で探知されています。2番目の脆弱性であるMS Office Web Components(CVE-2009-1136、こちらのFortiGuard Advisoryを参照)は、本稿執筆の時点ではパッチが発行されていないゼロデイで、その探知率は比較的低く、主な活動は中国、インド、日本で展開されています。しかしながら、どのようなエクスプロイトも大きな損害を引き起こす可能性があることを肝に銘じるべきです。後者(ゼロデイ)に対するエクスプロイトは、パッチが準備されていないだけに成功してしまうことが多いのです。上記の各アドバイザリで述べているとおり、FortiGuard IPSはこの2つの攻撃に対する悪意ある活動を探知および阻止しています。FortiGuardグローバルセキュリティリサーチチームは上の2番目の脆弱性に対するエクスプロイトコードを7月11日に初めて発見し、即座に所見を報告しました。

　スパムの世界は引き続き進化しており、eカードがソーシャルエンジニアリングで好んで使われるフックとなっていますが、とりわけカナダ薬局のケースではそれが顕著です。今月は、先月から引き続いて様々な技法をこらしたeカードのスパム攻撃が目撃されました。その大半は、最終的に被害者をカナダ薬局のドメインに誘い込みます。2008年1月の記事で説明したように、辞書に記載された2つの単語を組み合わせることで自動的に登録されたこれらのドメインは、この活動が始まって以来、2年以上も登録されたままです。アフィリエイトスポンサーという、より勢いづいたカナダ薬局の成功により、多くのサイバー犯罪者たちが詐欺的な医薬品の広告を出し、カナダ薬局に成り代わって前述のドメインにトラフィックを送り込んでいます。その総決算は、カナダ薬局のギャングとアフィリエイトのポケットに大金をもたらすことになりました。これは、様々なスパムキャンペーンとテクニックを観察して(図5a/5bおよび先月の図5cで示すとおり)明らかになったことです。今月、このeカードスパムは主に直接リンク(図5a)、Googleグループ、写真共有サービスのTinypic(図5b)を利用しています。

　Googleグループのキャンペーンが利用している自動リダイレクトは新しいものではないものの、Tinypicを使っているのは、スパムが新興プラットフォームにじわじわと手を伸ばしているもう一つの例として、大変に興味深いものです。Eメールを経由する従来型のスパムはいまだ健在であるものの、当社ではソーシャルネットワーキング・サイトなどの新しい「Web 2.0」プラットフォームを介したスパム攻撃を予言し、報告してきました。サイバー犯罪者たちは探知を逃れるため、過去にTinyurlなどのサービスを利用し、自らの悪意あるURLをぼかしてきました。Tinypicもそれと同様で、最近は正当なサービスプロバイダが図らずも悪意あるリソースを背負ってしまうのに利用されるという実例です。画像や、そのリンクがどのように見えるかにかかわらず、ハイパーリンクが実際にどこに飛んでいくのか常に留意し、細心の注意を払ってください。図5cは、増大するゾンビのP2Pネットワークを経由してWaledacが行った、7月4日の米国独立記念日のソーシャルエンジニアリング攻撃を示しています。活動全体でみると、スパム出現率は引き続き高水準にあり、今月のスパム分量で日本は米国を抜いて2位につけています(図4b)。

　最後に、悪意あるWebのトラフィックは2カ月連続して増加しています(図6b)。サンプル化された4つの脅威カテゴリーの中で、マルウェアをホスティングしているWebサイトへのトラフィックは、これらカテゴリーの全活動の38.7％を占め、依然高い水準にあります。このトレンドにより、2009年5月からの増加率は10％となりました。2009年6月にWeb脅威のトラフィックは大幅に増加し、マルウェアをホスティングするWebサイトへのトラフィック量は5月のレポートに比べ400％以上も増えています。今月も、この成長は図6bで示すとおり継続しています。すべてのカテゴリーがまたもやプラス成長となっており、6月に観測された活動の爆発の余波が感じられます。

ソリューション
　フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

免責条項：
　当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。