- 本文はフォーティネット セキュリティ ブログの抄訳です。
執筆者:Derek Manky
2011年1月26日10:49
2011年の最初の脅威レポートがアップされています。詳細なレポートについては、FortiGuard Centerをご覧ください。 以下は、各種イベントの要約です。
今回の期間では、新しい脆弱性に対するエクスプロイト活動には急激な減少が報告されています。 FortiGuard Labsが対応した新しい脆弱性のうち61%に対してエクスプロイト活動が試みられたことが検出されています。 この割合は、通常の場合に比べて、30~40%減に相当します。 「緊急」と分類された脆弱性(リモート コード実行)の半数近くが、攻撃されたことになります。 常に確認しなければならない点として不可欠なのは、最新のパッチを適用してすべてのソフトウェアを常に最新の状態に保つことに加えて、有効なIPSソリューションを導入してエクスプロイト コードから保護することで、そうしたエクスプロイト活動に対してシステムのセキュリティを維持することです。 FortiGuard Labsは先月、3つのゼロデイ脆弱性を発見し、マイクロソフトとアドビの両社に報告しました。 すべての未解決ゼロデイ脆弱性の概要については、当社のUpcoming Advisoryページを参照してください。 未解決のゼロデイ脆弱性に対しては、可能な限り、事前にシグネチャを作成しています。 マイクロソフトは、2010年12月22日にゼロデイ アドバイザリを発行しました。この中で、Internet Explorerに対する実環境のエクスプロイト(CVE-2010-3971)の概要を説明しています。 本記事の執筆時点において、この脆弱性は依然として、マイクロソフトのゼロデイ アドバイザリゼロデイ アドバイザリでは、ゼロデイ状態にあります。 FortiGuard IPSは、この脅威を「MS.IE.CSS.Self.Reference.Remote.Code.Execution」として検出しています。詳細については、当社のアドバイザリを参照してください。
今号レポートで検出された注意を要する3つのトップ マルウェアは、Feebs、Buzus、Virutでした。 これらは新しい脅威ではありませんが、極めて執拗で、活発な動きを続けています。 Feebsは、Javascriptを使ってシステムを感染させるマス メーラー(大量メール送信ワーム)です。 メールには、メール本文の情報に加え、パスワードで保護されたアーカイブが含まれます。 Buzusは、スパム シーンで引き続き活発な動きをしており、Twitter、Facebook、Google、Hallmark、Hi5にリンクされた多様なスパム キャンペーンを使って、感染した添付ファイルを送信しています。 これらの脅威は、有名な企業の名前をかたることで、ソーシャル エンジニアリングの手口を増やしていることは明らかです。 これまで通り、常に、どのような添付ファイルであっても開封時は注意することが求めらています。Buzusのサイズは極めて大きく、通常は500キロバイト以上になります。また、 Virut変種2種が、今号のレポートで浮上しました。本記事の執筆時点では、このマルウェアをダウンロードして実行する命令をVirutコントローラから受け取っています。 Virut.UはアップデートされたIRCチャネルを使って、このIRCチャネルにすべてのトラフィックを暗号化します。その間、Virut.Aは当該IRCサーバに接続し続けて「proxim.ircgalaxy.pl」の暗号解読を行います。 両変種は、接続のためにポート65520を使用しています。 Virutについては、これまでもたびたび記事に取り上げてきました。2006年5月13日からという実に長期にわたり生き延びており、以降、われわれのトップ10リストとトップ100リストに常にランクされてきました。 Virutは、ボット コンポーネントを内包する強固なファイル感染型ウイルスです。このウイルスは、一度システムに侵入すると、システム上の何千何万ものファイルに拡散するため、駆除するのは極めて困難です。 FortiGuard Labsでは、他のボットネット(VBCF)をダウンロードするVirutを確認しました。これが意味することは、感染したシステムはすぐに複数の種類のマルウェアの活動の温床となるこということです。 Virutは、今日確認されている中で最も執拗なボットネットの1つです。このボットネットは、パブリックのIRCドメイン(その4年の実行期間中にオフラインにされたことはありません)を使用し、ハイブリッド型の拡散能力を持っているために、感染したシステムから除去するのが困難であるからです。
2010年12月27日から2011年1月10日にかけて、全世界のスパム レートの大幅な減少(約20%)が別途、確認されました。 2010年11月にも、Bredolabボットネットがオフラインになったことによる大幅な減少を報告しましたが、 12月中旬からスパム レートは再度、通常の状態へと上昇し始めました 今回、この減少の恩恵を受けたのは、Rustockではないでしょうか。このボットネットは、この期間に、スパム キャンペーンではなくアフィリエート型のビジネス モデルを通して現金を得ることに集中しました。 Rustockが通常のスパム ルーチンを再開する命令を受け取った後、スパム レートは、再び上昇し始めました。 BredolabおよびRustockの2つケースでは、グローバル スパム レートに顕著な影響がありました。Bredolabはスパム レートを約12%、Rustockは約20%減少させています。これは、1つのボットネットが全世界のスパムに大きな影響を及ぼすことを示したと言えます。
