|
2009年12月7日
フォーティネットジャパン株式会社
下記のランキングは、2009年10月21日〜11月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。
目次:
FortiGuard Global Threat Research
- 脅威と侵入防御
- 脅威トップ10
- 新たな脆弱性の範囲
- 最新のマルウェア
- 変種トップ10
- 地域と数量
- スパムの流通
- スパムの出現率
- 実環境におけるスパムトップ3
- Webからの脅威
Web脅威のトラフィック
- 活動の要約
●脅威と侵入防御
1. 脅威トップ10 日本はマルウェア検知数が2位
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「%」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。
| 順位 | 脅威 | % | 深刻度 |
| 1 | MS.DCERPC.NETAPI32.Buffer.Overflow | 31.9 | 緊急 |
| 2 | MS.IE7.Deleted.DOM.Object.Access.Memory.Corruption/td> | 22.6 | 緊急 |
| 3 | Adobe.Products.SWF.Remote.Code.Execution | 12.9 | 緊急 |
| 4 | FTP.USER.Command.Overflow | 9.8 | 重要 |
| 5 | Apache.Expect.Header.XSS | 7.8 | 警告 |
| 6 | AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation | 7.8 | 重要 |
| 7 | MS.Content.Management.Server.Code.Execution | 6.4 | 緊急 |
| 8 | MS.DirectX.MsVidCtl.ActiveX.Control.Access | 6.1 | 緊急 |
| 9 | RoundCube.Webmail.Pregreplace.Code.Execution | 5.9 | 重要 |
| 10 | FTP.Command.REST.Overflow | 3.2 | 重要 |
図1a:マルウェアが検知された地域トップ5
2. 新たな脆弱性の範囲
図1b:深刻度で分類された、この項目における新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに115件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、30.4%にあたる35件は積極的な攻撃を仕掛けたことが報告されています。
下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。
詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
●最新のマルウェア
1. 変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の検知量を示しています。
| 順位 | マルウェア変種 | % | トップ100シフト |
| 1 | W32/Cutwail.K!tr | 19.8 | new |
| 2 | W32/Cutwail.C!tr.dldr | 13.7 | new |
| 3 | W32/Agent.C659!tr.dldr | 9.0 | new |
| 4 | W32/PackAgent!tr | 8.3 | new |
| 5 | W32/Zbot!tr | 7.2 | +10 |
| 6 | W32/FraudLoad.DFN!tr | 6.4 | new |
| 7 | W32/FakeAlert.SYY!tr.dldr | 6.3 | -2 |
| 8 | W32/Zbot.P!tr | 3.3 | new |
| 9 | W32/Inject.SAFETYCENTER!tr.dldr | 3.0 | new |
| 10 | W32/Sasfis.TUB!tr | 2.6 | new |
図2:トップ5のマルウェア変種の活動カーブ
2. 地域と数量 日本はマルウェア量が2位
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。11月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。
図3a:目立ったマルウェアの数量でみた地域トップ5
図3b:マルウェア総量の6カ月間のトレンド
図3c:固有のマルウェア数量の6カ月間のトレンド
地域ごとの日次活動の詳細は、当社のウイルス世界地図をご参照ください。
●スパムの流通
1.スパム出現率 日本はスパム量が2位
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。
図4a:全世界のEメール数量と比較したスパム出現率
図4b:全世界のEメール数量と比較したスパム出現率
2. 実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。
図5a:スパムキャンペーンその1
図5b:スパムキャンペーンその2
図5c:スパムキャンペーンその3
●Webからの脅威
Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大(または減少)を前期比で示したものです。
| FortiGuardのカテゴリー | % |
| ポルノ | 60.2 |
| マルウェア | 32.5 |
| スパイウェア | 5.3 |
| フィッシング | 2.2 |
図6a:Web脅威のトラフィック内訳
図6b:Web脅威のトラフィックの月別成長率
●活動の要約
今月、マルウェアの配布数量は引き続きピークを迎えており、2009年9月に始まった猛進撃はとどまるところを知りません。前月号のレポートでは主にBredolabとスケアウェアがトップ10リストを占拠しており、1日に検知された数量で記録を樹立しました。そして今やPushdoとCutwailが君臨し、ボットの戦いが起きています。Pushdoの変種はBredolabと関連性のあるバイナリの「grpconv.exe」を追い出そうとしています。過去にも、悪意あるコードは他の脅威を追い出そうとしていたものです(例えばNetsky対MyDoomや、Storm対Strationなど)。Pushdoボットネットは、数あるコンポーネントの中でもトロイの木馬であるCutwailをダウンロードすることで知られています。今月はCutwailの2つの変種がマルウェア活動全体の30%以上を占める勢いで、トップ10リストの1位および2位にランクインしています。図2を見ると、Cutwailは途方もない数量でそれをやってのけたことが分かりますが、前回のレポートでBredolabおよびスケアウェアが樹立した1日の記録は吹き飛ばされてしまいました。その差は2倍近くになります。この活動が主な要因となり、図3bにあるようなマルウェア総量の急激な伸びが起こりました。
Cutwailの配布キャンペーンは、主に11月の第1週に見つかっていますが、これは単純なソーシャルエンジニアリングの手法を利用しています。つまり「ハロー、ダーリン」という件名のEメールを送りつけ、そこにCutwailを「photos.zip」として添付したのです。その他のキャンペーンではBredolabと同様、UPSやDHLの送り状が添付されていました。Cutwailをひとたびインストールすると、受信した新たなスパム・テンプレートを大量メールします。11月には海賊版ソフトウェアの販売を宣伝するテンプレートが確認されており、その代表的な価格は60米ドルから230米ドルの間となっています。Cutwailはまた、「カナダ薬局」などの薬局スパムを盛んに送りつけることでも知られており、大金が支払われるアフィリエイトプログラムにより、スケアウェア同様、とても儲かるものとなっています。
ZbotおよびスケアウェアはPushdoとCutwailに次いで、いまだに盛んな活動を展開しています。図5aおよび5bは、それぞれ違ったアプローチを取るZBotスパムキャンペーンの例です。前者は2段階式の攻撃で、最初にFacebookの信用証明をフィッシングし、次いで悪意あるZBotバイナリをインストールさせようとするものです。後者はベライゾンワイヤレスの顧客を標的にしており、メール受信者が「ツール」、実はZBot をインストールするように仕向けるものです。図5cに示したのは、新しいトロイの木馬ダウンローダ(別名「ローダ」)Sasfisを配布する、少なくとも3つあるスパムキャンペーンのひとつです。今月、Sasfisの検知数がとても多く、変種トップ10の3位と10位にランク入りしています。今月検知された、Sasfisを扱うあと2つのスパムキャンペーンでは「メールボックスが無効になりました」および「Facebookのアカウント契約更新」という件名が付けられており、どちらもトロイの木馬を含む「zip」ファイルが添付されています。このダウンローダは、固有のボット識別子(Bredolabと同様)をはじめとする情報をポストすることでHTTPを介してコントロール元にレポートしており、更新や、さらなる悪意あるコンポーネントをダウンロードする指示を待ちます。流行中のこの脅威については引き続き、監視していきます。
報告された攻撃事例については、今月はAdobe.Products.SWF.Remote.Code.Executionが3位に順位を上げた一方で、Conficker による悪名高い攻撃であるMS08-067は1位にとどまっています。FlashおよびActionScriptは常にシステム攻撃の標的となっており、Flashのランタイムパッカーなどの テクノロジーが利用されています。今月のウイルス対処状況レポートにおける新たな展開としては、Adobe Shockwave用の帯域外パッチ(APSB09-16)、Internet Explorerのゼロデイ脆弱性(CVE-2009-3762)、Windows 7のDoS攻撃、脱獄済みiPhoneを標的にした新しいワームなどがあります。11月はiPhoneの周辺が騒がしくなり、脱獄端末のOpenSSH の構成ミスを悪用した新しい攻撃が4種ありました。これらはオランダのiPhoneを標的に賠償金(7ドル)を要求するもの、SMSおよび連絡先を盗むツール(HackerTool/iPhoneStealer)、背景画像を変更するワーム、バンキング用の信用情報を盗もうとするワーム(iPhoneOS/Eeki)です。これらはすべて、引き続き脅威が発展していきそうな分野であり、注意を払う必要があります。脆弱性やゼロデイ攻撃に備え、すべてのソフトウェアを最新のものに保ち、有効な不正侵入防止システムを導入しましょう。FortiGuardラボは引き続き脅威を監視し、最新の検知を行うとともに、ゼロデイの欠陥を積極的に発見し、真のゼロデイ保護を提供していきます。
ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuard Labが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。
免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。
- 印刷用PDFファイル
|
