■ 監視の目を潜って悪事を働く
■ 安価なポリモーフィズムで大きな効果
● 4月の脅威の状況
フォーティネットのFortiGateが発見した脅威トップ10
1 HTML/BankFraud.E!phish 10.68
2 HTML/Phishbank.BGU!phish 5.57
3 W32/Stration.JQ@mm 2.28
4 W32/Bagle.DY@mm 2.01
5 W32/Netsky.P@mm 1.95
6 HTML/Iframe_CID!exploit 1.67
7 W32/Grew.A!worm 1.17
8 Adware/Solutions180 1.03
9 W32/Bagle.GT@mm 1
10 W32/ANI07.A!exploit 0.94
今月のトップ10には4つの興味深い事象が含まれています。
今月のサマリー:
■ フィッシングの復活: 先月はHTML/Volksbanken!phishの検知が21位、BankFraud.Eが25位、そしてBankFraud.ODが32位へと、それぞれ下落したものの、BankFraud.EおよびPhishbank.BGUの検知の合計が16%以上になり、フィッシングが再びトップとなりました。全体的にみると、フィッシングの検知は先月から13.72%増加しています(先月は全検知の3.72%でしたが、今月は17.44%となっています)。
■ Adware/Solutions180の復活: 先月は10位だった悪名高いこのアドウェアは、現在ランキング8位です。しかし下記の図1をみると、活動ピークが存在しないことが大きな特徴です。前回のレポート(*1)でご説明した通り、活動ピークの存在は、ボットネットを使ったスパイウェアやアドウェアの大規模な種まきの特徴になっています。
*1: (リンク »)
図1:Adware/Solutions180の活動カーブは適度に安定しています
(リンク »)
この図(図1)は、ボットネットが動力源となっていた、かつてのAdware/BetterInternetの活動カーブと比較してみる必要があります。下記の図2が2006年2月に観測されたAdware/BetterInternetの活動です。
図2:Adware/BetterInternetの活動カーブは毎週月曜日と木曜日にインストールのピークがみられます
(リンク »)
■ Strationの急増: 今月は、Strationの変種であるW32/Stration.JQ@mmが大々的に散布されたため、トップ10の3位となりました。この脅威の活動が1ヶ月間にどのように推移したか見てみると、検知のほとんどは4月19日というたった1日のブラック デーに集中していることがわかります。
図3: 今月のStrationの亜種
(リンク »)
■ 10位でも油断は禁物: W32/ANI07.A!exploitが今月のトップ10を締めくくっています。この危険度の高い脆弱性(別名、MS07-017)は今月、絶え間なく攻撃され、全体では全世界における4月のマルウェア活動の1%を占めています。これは、主にWeb上で行われる脆弱性への攻撃としては途方もなく高いスコアです。一部のユーザが、いまだにパッチを当てずにネットサーフィンしていることを考えると、ぞっとします。
監視の目を潜って悪事を働く
今月、当社のハニーポット(おとりシステム)に面白いEメールが引っかかりました。せかせか動き回るメディアを見て回る中で、下着を着け忘れたポップ界のスーパースターがまた一人、パパラッチの餌食になったようにみえます。標準的なEメール クライアントを使うと、このEメールは下記のように(ただしモザイク部分は除く)表示されます。
図4:誰だか当ててみてください
(リンク »)
これは有名人のゴシップをネタにしたブログに、今まで何度も取り上げられてきたものです。この画像をクリックすると怪しげなサイトに飛ばされることにご注意ください。ソーシャル エンジニアリングの基本ですが、有名人のゴシップとヌードは、非常に効率の良いソーシャル エンジニアリングの2大要素であり、目的の場所(このケースでは、ポルノ サイトの登録ページ)に人々を誘導します。しかしながら、このEメールのhtmlソースは、下記の図5に示された通り、もっと興味深いものがあります。
図5: ソースのアップ
(リンク »)
基本的に、この危険な作戦(子供たちでさえ、それが大人のメールボックスであれ、本人のものであれ、このメールが届いているメールボックスにひょっこりと遭遇してしまうことでしょう)の裏に潜むスパム作者たちは、アンチスパム フィルタというレーダーに引っかからないよう、おとりのテキストに画像リンクを奥深く埋め込んでいます。こうしたテキストはニュースグループや公開されているインターネット フォーラムから引用されています。引用元は写真のフォーラムからコンピュータに関するニュースグループまで多種多様、しかも様々な言語で書かれており、生成するメールに実に「人間っぽい」(少なくともアンチスパムのベイジアンフィルタの目にはそう映る)タッチを添えています。そして、おとりのテキスト部分を標的となったユーザの目から隠し、彼らが写真から注意をそらさないようにするために、テキスト部分はHTMLコメント、または「スタイル」タグに埋め込まれています。
フォーティネットGlobal Security Research Teamのマネージャーであるギョーム ラベットによると、この戦略は、まぎれもなく興味深いものであるものの、いくつかの弱点があるといいます。まず第一に、インテリジェントなアンチスパム システムは、ユーザインタフェースに表示されないことが明白なテキスト(HTMLコメントおよびスタイルのパラメータは通常、表示されません)をベイジアンフィルタに送り込むことはしません。さらに、この非表示のコンテンツの存在により、このEメールがまぎれもない「スパム的な」性質を持つ疑いが高まります。高感度なフィルタなら、3,000文字以上もあるEメールを、しかも様々な言語を混ぜて書く人など、ほとんどいないことに気が付くでしょう。
この正反対のアプローチで、「株価操作」を試みるスパムを捕捉しました。
図6: 短いメッセージが効果的
(リンク »)
メール本文は必要最小限なものとなっています。同様に、このスパム作者は、今日のスパムフィルタが主として大量のおとりテキストで武装された画像ベースのスパムを防止することに重点を置いていることを念頭に、このような短いメッセージでスパムフィルタには完全に人間的なものに映ることに望みをつないでいます。これは興味深いアプローチです。
安価なポリモーフィズムで大きな効果
今月、Tibsウイルス(別名「嵐のワーム」)が新たな局面に達しました。数ヶ月前、マルウェア界に鳴り物入りで出現して以来、表舞台を独り占めしてきたこのサーバ側ポリモーフィズム*2)のウイルスは、忘れかけられていた旧来のソーシャル エンジニアリング戦略を使いだしました。このウイルスはパスワード保護された(従って、暗号化された)zipアーカイブの形でEメールに添付されて送り付けられます。もちろんEメールの本文にはTibsの過去の変種に特徴的なソーシャル エンジニアリングのように、「あなたのアカウントから感染Eメールが送付されています、云々。クリーンアップのためにこのファイルを実行してください。システム管理者からのお知らせ」といったメッセージが使われており、保護されたアーカイブを開くためのパスワードは画像で添付され、アンチウイルス フィルタがパスワードを解析してアーカイブの抽出およびコンテンツのスキャンを行わないように仕組まれています。
*2: (リンク »)
これは今に始まったことではなく、Bagleの初期バージョンが3年ほど前に同様のトリックを使っています。しかしその当時の目的は、単にこのワームの変更を行わないで古い亜種を再利用することでした。
それでは、なぜこの脅威が突如として再浮上してきたのでしょう? 私たちの推測では、かつてサーバ側ポリモーフィズムを多用していたTibs作者たちが、この戦略を使えば非常に安価で効果的なサーバ側ポリモーフィズムを導入できることに気づいたからだと思われます。パスワードを画像に埋め込むことで、こうしたアーカイブの抽出の自動化がアンチウイルス フィルタにとってとりわけ困難なものになります。
当社がW32/PkTibs.fam!trとして探知している、パスワード保護されたアーカイブの変種は、今月探知されたTibs全体の45%を占めています。これは下記の図7に示す通り、4月11日に実行された、決められた時間どおりの散布が大きな原因となっています。
図7: PkTibs対Tibs
(リンク »)
用語解説
フォーティネット会社概要 (www.fortinet.com)
フォーティネットは複合脅威に対応するASICベースのセキュリティシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、スパイウェア防止、アンチスパムなど)を統合するために作られており、複合型脅威や混合型脅威から顧客を守ります。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから8種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、クライアントアンチウイルス検知、クリーニング、アンチスパイウェア)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。
お問い合わせにつきましては発表元企業までお願いいたします。