2010年上半期ネット脅威レポートと今後の見通し

 

2010年8月

 2009年はConficker系ワームが主流でしたが、 2010年はWeb2.0サービスを使用したネット脅威のマルウェアが増加しました。 Facebook®ユーザ数は既にアメリカの人口を超えており、 マルウェア作成者が大量の個人情報を入手するため、 ソーシャルネットワークセキュリティの防壁突破に努力を惜しまないのは当然のことかもしれません。

 Black-hat SEO攻撃は、2010年上半期にマルウェアを大きく拡大させました。 母の日、バレンタインデーまたはグアテマラで起きた竜巻及び陥没のような 自然災害のようなイベントは、 様々なJavaScript攻撃を通して、偽アンチウィルスソフト、 またはセキュリティ対策を怠るユーザのコンピュータ内に、バックドアを展開する機会となっています。 これをばらまいているウェブサイトは、 人気があるソーシャルネットワークと組み合わせて、マルウェアを拡大させています。

 2010年の上半期、Microsoft®のInternet Explorer、 またAdobe Reader®、Adobe Flash Player®、 さらに Adobe Photoshop® CS 4、のような人気のソフトウェアの 重大なゼロディ脅威もまた、マルウェアの展開に重要な役割を果たしました。 Internet Explorerの脆弱性は、Google、Adobe®及び Rackspace®のような企業を 狙った攻撃に使用されています。

 Ransomware(身代金要求マルウェア)系のトロイの木馬が急増したことも挙げられます。 認識されている大半のRansomwareは、 著作権侵害の訴訟要求を用いて、ピア・ツー・ピア・ユーザを狙ったものです。 トレントベースのRansomwareの中でも強力なものがTrojan.Maer.Aです。

 ファイル感染及びデータ破壊のウィルスが、今年初めの3カ月間に再び猛威を振るいました。 蔓延した期間は短かったですが、 破壊的な潜在力により、金銭的にも、ユーザデータにおいても重大なダメージを被りました。

 2010年の初めにフィッシャーは、偽のPaypal及びeBayに力を注ぎました。 悪用されたオンラインID認証リスト中、 HSBC Bankは3番目に入り、Poste Italiene 及び EGGは最下位に入っています。

 ドラッグストアに関するスパムは増加し続けました。 スパム全体に対する割合が2009年の下半期は51%だった一方で、2010年上半期は66%まで達しました。

 2009年下半期は圧倒的に「Downadup」ワームが大流行していた一方で、 2010年上半期は自動実行のネット脅威が目立ちました。 ランキング1位は「Trojan.AutorunInf.Gen」です。 続いて、今年の1月後半に出現した「Win32.Worm.Zimuse.A」は、 マスターブートレコードを書き換えるMBRワームですが、 ウィルスの仕組みが強化されています。 これはウィルス、ルートキット、ワームが組み合わさった最強のマルウェアといえます。 感染するとワームは40日間潜伏後、ハードディスクドライブのマスターブートレコードを上書きして、 OSをレンダーリングして起動しないようにします。

snapshot

図:マルウェア脅威ランキング

 マルウェア発生国のランキングです。過去6カ月の間、 マルウェアの発生が最も盛んな国は中国、続いてロシア共和国でした。 いずれの国もサイバー犯罪に対する規制が緩いだけではなく、 多くの"違法でも捕まらない"企業があることが知られています。 例えば表向きには存在してないRussian Business Network(実際は活発に活動している)、 Troyak(2010年3月に閉鎖)、PROXIEZ-NET(2010年3月に閉鎖)があります。

snapshot

図:マルウェア発生国ランキング

 ボットネットはマルウェアの作成者にとって究極の商売道具です。 これはスパム送信から大規模なDDoS攻撃の実行まで、 マルウェアに関連するものは何でも使用することができます。 ボットネットの一部は、異なるサイバー犯罪のプロジェクトにおいて、 それぞれのプロジェクトを実行するために、闇市場で販売あるいは貸し出しされています。

 2010年の上半期、規模及びアクティビティで重視されるボットネットはRustock (これは2009年下半期と比較すると約2倍の規模です)、Kobcka(14.5%)、Kolab(11.2%)です。

 Rustockはルートキットドライバ、 多くのコード暗号化を施した複数のプロテクション層で保護されています。 Kobckaはこっそりと実行時にスパムコンポーネント(Cutwail bots)をダウンロードして、 それをsvchost.exeのような重要なプロセスに投入します。 このアプローチはKobckaボットネットに、たとえ既存する全てのCutwail C&Cサーバが停止 してもCutwailボットが取り込まれることを確実にします。

snapshot

図:ボットファミリーごとのボットネットアクティビティ

 2010年の上半期、大半のマルウェアはインターネットを経由して拡大しました。 サイバー犯罪はソーシャルネットワーク、インスタントメッセージ、 ピアツーピアファイル共有ウェブサイトのようなWeb2.0のサービスを悪用しています。

 5月中旬に出現した「Backdoor.Tofsee」は、 特にSkype™及びYahoo!®メッセンジャーのユーザを対象にしました。 メッセンジャーのユーザでそのアプリケーションが実行しているシステムは感染する可能性があります。 これは感染したコンピュータをリモートから操作して攻撃することが可能なバックドアコンポーネントです。 バックドアはIMクライアントには気づかれないようにそっと終了し、自ら姿を消します。

snapshot

図:怪しまれないように、Skypeのチャット中にメッセージを送信するワーム

 今年の上半期も、スパムメールはコンピュータユーザが常に直面している問題の一つでした。 世界中に送信された迷惑メールの大半、スパム全体の66%を占めているのは、 悪名高いカナダのドラッグストアの広告です。

 ロシア発信のスパムは2009年第2四半期に少し縮小しました。 これは“Bulletproof hosting”(不正使用に関して緩やかなプロバイダ企業の総称) が突然消滅したためです。しかし、すぐに復活して、スパムランキングの3位にランクインしました。

 アメリカ及び中国は最も多くスパムを生み出していて、 Rustock、Kobcka、他のスパム・ボットのようなマルウェアを大量送信して蔓延させています。

 2010年上半期、カナダ、ルーマニア、日本はランキングの最下位で、平均のスパム率は1.5%でした。 これらの国から発生したスパムの大半は、 主なスパムグループによって実行されたキャンペーンによるものではなく、現地のスパマーが独自で広めたものです。

snapshot

図:国別スパム分布

 2010年の上半期、スパムメッセージの多くを占めていたドラッグストアのスパムが世界中に送信されました。 たった半年間で、50%から66%にまで驚くべきほどに増加しました。 これは長期にわたり、ロシア、ウクライナ、中国から発信されたと思われます。 これらのスパムメッセージの多くは中国のドラッグストアを宣伝しています。これは偽物の薬と クレジットカード詐欺を組み合わせた総合的な薬局サイトです。Canadian Pharmacyのウェブサイトは、 中国のBulletproof hosting企業、またはfast-fluxボットネットの一部で感染したコンピュータによって 多くのコピーを作成していきます。

snapshot

図:スパムの種類

 偽製品は2位にランクインしました。これは全世界に送信されたスパムの総数量のうち7%を占めています。 この中には有名なブランド品のコピー、特に時計、アクセサリー(サングラス、財布、鞄及び宝石)関連スパムがあります。

snapshot

図:製品販売偽サイト

 2010年上半期のスパムメッセージ数は、全世界の電子メールメッセージ総数の86.2%を占めています。 第1四半期にわたって、画像スパムが急増したにも関わらず、テキストベースのスパムは 迷惑メールメッセージの中で最も人気がある種類です。 大半の画像メッセージは6から12KBのCanadian Pharmacyの広告です。 平均的なテキストベースのメッセージサイズは5.5KBを上下しています。

snapshot

図:画像付きスパムメールの種類で最も多い医薬スパム

 バレンタインデーまたは大規模なイベント(例えばサッカーのワールドカップ)は、 マルウェアを添付したメッセージに悪用されています。(特にグリーティングカードにみせかけたWaledacボット) またはワールドカップのチケット販売を装ったフィッシングウェブサイトへと導くものもありました。

 他には、税に関する書類、雇用提供、さらには銀行取引通知に見せかけたDOCまたはPDF添付ファイル を添付するスパムがあります。 一度それらのファイルを開くと、その脆弱性を悪用して、ユーザのコンピュータ上で悪意のあるコードを実行します。

 グアテマラで起きた自然災害は、スパマーやマルウェア作成者がユーザの好奇心を駆り立て、 マルウェアが掲載されたウェブページにアクセスするように誘い込みます。 グアテマラの陥没に関連して最適化されたblack-SEOのページにアクセスすると、 偽アンチウィルスソフト、またはAdobePDFのゼロディの脆弱性を狙うマルウェアをダウンロードさせます。

snapshot

図:グアテマラの洪水に関連する標題でアクセスさせようとする危険なwebページ

 2010年上半期、大半のウェブホスティングプロバイダ及び検索エンジンは、 危険なページをブロックするなど最大限の対策を行っていたにも関わらず、 フィッシングは拡大し続けました。

snapshot

図:2010年上半期のフィッシング対象トップ10

 金融機関はサイバー犯罪の格好のターゲットとなり、フィッシングメッセージ全体の70% を占めました。また、ソーシャルネットワークのユーザプロファイルは個人情報が豊富で、 危険にさらされたアカウントは効果的に狙うフィッシングの対象となります。

snapshot

図: PayPalフィッシングページ:信憑性を高めるため、www.paypal.fr のフォルダを組み込む

snapshot

図:多くのフォーラムで入手可能なフィッシングキットを使用したHSBCのフィッシングページ

 2010年の上半期の大半のフィッシングメッセージが英語で書かれています。 (BitDefenderによって処理された全てのスパムメッセージの75%)続いてフランス語が13%、スウェーデン 3%、ロシアのスパムが4番目で約2%です。

 最もフィッシングが盛んなウェブのホスティング企業はロシア及びチェコ共和国にあり、 そこでフィッシングページの約50%を管理しています。 ロシアで運営されているbulletproof hosting企業は、 Zeus、Pushdo、Rustockのような大量のボットネットのをコントロールしている 国際的なサイバー犯罪組織に、ホスティングサービス及びスパム用のサーバを提供します。

snapshot

図:国別フィッシング分布

 サイバー攻撃者がフィッシングの対象に狙うのは金融機関だけではありません。 人気のオンラインゲームコミュニティSteam® と World of Warcraft®は常にフィッシャーが関心を持っています。

 攻撃に成功してログイン認証を入手すると、 攻撃者は収入を得るためにアカウント内に保管されているクレジットカード 情報にアクセスするだけではなく、それらを販売、交換、 または被害者のゲーム内のアイテムを転送します。

snapshot

図:偽Steam®のフィッシングページ

 2009年の下半期と比較すると、2010年上半期はMicrosoft®コアコンポーネント (Windows® Internet Explorer® versions 6 - 8)の重大な脆弱性から、 とりわけAdobe®PDF及びAdobe®Flash Playerのような第三者ソフトウェアのバグに 至るまでのゼロディ脅威が多く見られました。

 今年の1月、Windows® Internet Explorer®のゼロディ脅威CVE-2010-0249は、Microsoft Windows 2000 Service Pack 4の Internet Explorer 5.01 Service Pack 4以外の、全てのバージョンに影響を与えるメモリー破壊の脆弱性を悪用しました。

 BitDefenderは「Exploit.Comele.A,」を検出しました。重大なゼロディ・バグは、「Operation Aurora」と呼ばれている 大規模なサイバー攻撃を引き起こすために使用されています。 対象となった機関には、Google、Adobe Systems Inc., Juniper Networks Inc. 及び Rackspace Ltd.が入っています。

 Googleによると、この脆弱性は個人情報を盗み取るだけではなく、政治的及び産業スパイのサイバー攻撃を担っています。 さらにこの脆弱性コードは、Microsoft®がパッチを発行する前に出現しました。 これは悪意のあるコードへアクセスした他の攻撃者が開始する攻撃を自動で実行します。

 4月は様々なプロバイダーでCMSソフトウェアに対する攻撃が主流でした。 多くのウェブサイトの所有者は、複数のPHPページ内において、 Base64でエンコードされたある機能による、 コンテンツマネージメントシステムのセキュリテの侵害を発見しています。 全ての場合において、実行されるBase64でエンコードされた機能は、 検索エンジン経由でアクセスしたユーザを、 偽アンチウィルスソフトが管理するウェブサイトへとリダイレクトします。 この手法では直接ウェブサイトにアクセスした全ての人(管理者を含む)には そのスクリプトを気づかれないようにしますが、 一方で検索エンジンから送信された全てのトラフィックは、 マルウェアが仕組まれたウェブページへと案内します。

 最初に感染したウェブサイトは、 特定のウェブホスティング企業のサーバー上にある古くて脆弱なWordPressのバージョンでした。 しかし数日後、異なるプロバイダーによって管理された PHPベースのCMSプラットフォームが同じファイルのハッカーの犠牲になります。 詳しく分析すると、誤ったファイル 属性と組み合わせた不正のサーバ設定が、攻撃を促進する主な要因であることが明らかになりました。

 2010年の上半期はトロイの木馬やワームのような従来のネット脅威によって支配されていました。 しかし一般的なアプリケーションの悪用は、数とインパクト共に急速に増加しています。 「Exploit.Comele.A」のようなゼロディの脆弱性は、 個人情報または銀行アカウントを盗みとるだけではなく、 サイバー戦争及びトップレベルの産業スパイに本格的に使用されていくでしょう。"

 ボットネットはあらゆるサイバー犯罪の基盤として使える重要な仕組みを持つため、 マルウェア作成者はその開発と改良に関心を抱いています。 しかしながら、ボットネットはしばしば国際的な機関及び信頼できる インターネットサービスプロバイダ (Mariposa (aka Rimecud aka Palevo)ボットネットの停止に成功)の検閲で阻止されます。 そのためボット運用者は、複数の手段を組み合わせて挑んでくるでしょう。

  • Twitter経由で管理できる自動のボットネット作成ツールの出現は、 ゾンビに制御されるコンピュータを着実に増加させる可能性があります。
  • 絶え間なく変化するボットネットは、 フィッシングページのアカウント、感染ファイル、 またはスパムを送信するアプリケーションが ウェブホスティングプロバイダによって停止される中、 安定したホスティングがなくても動作する、 攻撃元が様々な機関によっても追跡されないようになっていくでしょう。

 2010年の前半、過去のマルウェアの種類が復活しました:Ransomware(身代金ウェア) 及びMBRを上書きするウィルスです。Trojan.Maer.A、Application.Scareware.Keytz、 及び様々な種類の偽アンチウィルスはユーザにそれを購入、実行させます。Ransomwareの 偽アンチウィルスは、2010年の第二四半期中に増殖しています。

 Facebook®ユーザ数は4億人を超えています。 マルウェア作成者の多くはソーシャルネットワーキングプラットフォームに 最新のマルウェアを送り込むことに力を入れていくでしょう。 そしてソーシャルエンジニアリング的な攻撃 (例えば、感染したコンピュータから別のコンピュータに様々なマルウェア攻撃を行う)も行っていくでしょう。 一方で、プラットフォームを超えて、既に明らかな様々な脆弱性、 または機能の悪用も試みていくでしょう。

 特にソーシャルネットワークから収集されたデータには、 個人のブログ、職歴など貴重情報が含まれています。 各種アプリケーションは、今後もソーシャルネットワークの乱用に悪用されていくでしょう。

 次のHTML基準となるHTML5では、ユーザとウェブページの間に特別なレイヤーが加わり、 ウェブページの外観が変更されますが、 同時にこの新技術はマルウェアの作成者によって悪用される可能性が高く、 ブラウザのセキュリティを侵害することになるでしょう。

 クラックされた偽(コピー)ソフトウェアは、 様々なマルウェアの増殖に関して重要な役割を果てしていくでしょう。 一方で、“warez”ポータル上でダウンロードできるソフトウェアプロテクションを回避する仕組みの大半が、 キーロガーからバックドアまでの様々なマルウェアの種類によって、既に不正介入が行われています。 一方で偽のWindows®オペレーティングシステムは最新のセキュリティアップデートを受信できないため、 今後半年以内に予想される迫りくるゼロディ脅威及び脆弱性に対して無防備になります。

 2010年下半期、携帯電話のOSには多くの種類があるため、モバイルの脅威は消えないでしょう。 その中でもMaemoは、比較的安全と見込まれます。 それは信頼できるDebian Linuxをベースに構築されていることと、 モバイルOSシステムの上位3つには入っていないことが理由です。

 一方、Symbianはマルウェアに最も狙われやすいでしょう。 調査会社であるGartnerによると、 スマートフォンのOSマーケットにおいてSymbian OSは現在44%を占めており、 これは標的として十分な数です。

■BitDefender®について
 BitDefenderは、既知のウィルスを高い精度で検出するだけでなく、他社に先駆け10年前から開発を続け、精度を高めてきている高度なふるまい検知のテクノロジーB-HAVE(Behavioral Heuristic Analyzer in Virtual Environments)により、未知のウィルスを高い確率で検出できます。2009年1月のPC WORDL誌のテストでは、比較された9製品中、ふるまい検知による検出率において最高の結果となっています。その検出率の高さはEuropean IST、CSA Labs、Virus Bulletin、Checkmark、Checkvir、TUV、PC Answers、PC WORLDなど数多くのテスト機関や専門誌でリコメンド、ベストバイに選ばれるなど高い評価をいただいております。また、ウィルスだけでなく、スパムやスパイウェア、フィッシング詐欺、なりすましを防止するとともに、PCのパフォーマンスに与える影響を最小限に抑えます。

※BitDefenderでは、セキュリティ脅威や最新アップデートに関する情報を、Webサイト「MALWARECITY(マルウェア シティ)」で提供しています。 URL:http://www.malwarecity.com/(英語)

■BITDEFENDER社について
 BITDEFENDER社は、今日のコンピュータ環境の要求を満たす保護機能を提供する、世界を代表するルーマニアのセキュリティ・ソリューション・プロバイダです。180ヶ国以上で4,100万人以上の個人/企業ユーザに製品並びにサービスをお届けしています。
 http://www.bitdefender.com

■株式会社サンブリッジ ソリューションズについて
 サンブリッジ ソリューションズは、ベンチャー・ビジネス創生による豊富な経験をベースにした独自のノウハウによりベンチャー企業から大手企業まで、ビジネスの変革や新 規事業の立ち上げを強力に推進・支援する、お客様視点に徹したビジネス・サービスの提供を行っています。SaaSソリューションの開発・販売を始めとし て、様々なマーケティング活動の支援とシステム開発による実装・検証により、ビジネス・イノベーションの推進を支援しています。
 http://www.sunbridge-sol.com/

■製品に関するお問い合わせ
〒150-0013 東京都渋谷区恵比寿1-19-19 恵比寿ビジネスタワー13F 
株式会社サンブリッジ ソリューションズ
セキュリティ・インテグレーション・センター
TEL: 03-4360-6947(代)
FAX: 03-4360-4011
E-mail: sales@bitdefender.jp
URL: http://www.bitdefender.jp/ 
製品名などは一般に各社の商標または登録商標です。

©   2011 BITDEFENDER 販売元 | サイトについてのお問い合わせ | プライバシーポリシー | グローバルサイト