フォーティネットウイルス対処状況レポート(2007年6月度)

フォーティネットは、2007年6月度のウイルス対処状況レポートを発表しました。

フォーティネットジャパン株式会社 2007年07月06日

今月のサマリー: ■ W32/Dialer.PZ!trパート2:夏に向けて荷造り ■ 衰退するEメール ワーム ■ インスタント「メッセージ」、それともインスタント「脅威」?

● 6月の脅威の状況

フォーティネットのFortiGateが発見した脅威トップ10
1 W32/Dialer.PZ!tr 13.43%
2 W32/Bagle.DY@mm 10.05%
3 W32/Netsky.P@mm 7.11%
4 HTML/Iframe_CID!exploit 5.90%
5 W32/ANI07.A!exploit 3.52%
6 W32/Grew.A!worm 3.50%
7 W32/Bagle.GT@mm 2.43%
8 W32/Sober.AA@mm 1.98%
9 W32/Stration.JQ@mm 1.89%
10 W32/Sality.Q   1.75%


今月のマルウェア トップ10には、ほんの少数の新顔を除き、基本的におなじみの面々が勢ぞろいしています。


■ 今月も引き続き、Dialer.PZが他の大量メール ワームをしのいで全盛をきわめました。また大量メール ワームのBagle.DYとNetsky.Pは引き続き、それぞれ2位と3位の座を守っています。


■ トップ10の様相は前月から首尾一貫しており、Grew.A、Bagle.GT、Sober.AA、Stration.JQおよびANI07.Aが似たような順位に居座っています。


■ トップ10の新顔はSality.Qで、フィッシング攻撃のBankFraud.Eがトップ10から去った後の空白を埋めて第10位入りを果たしました。


■ 今月、注目に値するのはアニメーション カーソルの脆弱性を利用するANI07.Aです。なぜなら、この脆弱性にはすでにパッチが適用されている上、トップ10リストの中では唯一、ワームそのものあるいはワームに関連した脅威ではないからです。ANI07.Aがチャートにのし上がるために、悪意ある攻撃者は人気の高いWebサイト(ソーシャルネットワーキングやブログ、写真ホスティングのサイトなど)を利用し、脆弱性のあるマシン上でバッファ オーバフローを起こすおそれのある、精巧なアニメーション カーソルをアップロードしてきました。これは任意コードを実行することもできるため、その他の悪意ある活動の足がかりとして使われる可能性があります。




夏に向けて、W32/Dialer.PZ!trの荷造り


またしても、ボットを組み込んだダイヤラーがW32/Bagle.DY@mmおよびNetsky.P@mmをしのいで幅をきかせました。先月は、動的な設計から始まり、組み立てラインによる製造やインテリジェントな統計レポート、そして地域別展開戦略およびペイロードまでを包括するW32/Dialer.PZ!trのライフサイクルについて論じました。W32/Dialer.PZ!trは活発な伝染活動により、その動きは主にメキシコと米国で猛烈な勢いを見せています(図1参照)。こうしたベテランのマルウェア作者たちは、今年の夏、北米で伝染病が流行るという予報からヒントを得たようで、荷造りに大忙しでした。とはいえ、ご安心ください。彼らは夏休みの旅行のために荷造りをしているわけではありません。彼らは悪意ある作品を、サイバー空間の見張り役たちが点検しないことを願いつつ荷物にまとめ、バーチャルな国境を行き来しているのです。


フォーティネットSecurity Researchエンジニアのデレク マンキーによると、マルウェア作者たちは、よく出回っているランタイム パッカーUPXの新たな変種をW32/Dialer.PZ!trと一緒にパッキングすることで、組み立てライン プロセスでの部品変更を行ったということです。この新しいパッカーを使ったマルウェア作者が刻印した最初のサンプルは、2007年6月21日、より正確には午後5時35分(ちょうど夏至に間に合っています)に作成されたとの記録があります。それ以来、前回のパッケージの組み立ておよび配布が完全に終わると古いものが去り、新しいものが登場するという動きを続けてきました。マルウェア作者たちがその製品の改良および保護の方策を講じたことは、明らかです。実世界での活動が2ヶ月以上続き、数量の増加を世の中に示している中で、このマルウェアの配布者たちは夏のあいだ中、活動を続けたいと願っているようです。それを念頭に置くとともに、先月のサマリーで説明したように動的な設計や将来の拡大の可能性といった特徴を考えると、このダイヤラーの終焉を、近い将来、見届ける可能性はなさそうです。


図1: 2007年6月における W32/Dialer.PZ!trの活動
(リンク »)




衰退するEメール ワーム


トロイの木馬型ウイルス、スパイウェア、ワーム(IM、Linux、Mobile、Win32)そしてスクリプトはインターネットユーザにとって引き続き脅威であるものの、「in the wild」のEメール ワーム(あるいは大量メール ワーム)の数は今年の初め以来、毎月5パーセントの割合で衰退しています。この減少パターンは、検知数にもみられます(マルウェアのタイプ別に毎月の検知数を示す下記の図2を参照)。この図を見ると分かる通り、いくつかのタイプのマルウェアは同様の減少パターンを示していますが、Eメール ワームの25パーセントという減少は、他にはみられないものです。


図2:各月に検知されたマルウェアのタイプ
(リンク »)


フォーティネットGlobal Security Research Teamのプロジェクトマネージャー、ブライアン ルーによれば、Eメール ワーム衰退の理由には、次のようなものが考えられます。


■ 悪意ある攻撃者たちは、その攻撃対象を切り替えた。企業ネットワークへの1回の攻撃は、1,000人のホームユーザへの攻撃に匹敵するため、標的を絞った攻撃が増加している。


■ エンドユーザの意識の高まり。より多くの人々が脅威について認識するようになったため、悪意あるEメールのソーシャルネットワーキング的手法(例えば「添付ファイルはご参考文書です。パスワードは2045です」 といったメール)に引っかかりにくくなった。大部分のEメール ワームは添付された実行ファイルをユーザが開くよう誘導することで成り立っているため、ただひとつ熟考しなければならないことは、「この添付ファイルを開けるべきか否か」です。


■ 企業が脅威対策ソリューションを導入するための予算を増やし、自社の投資を保護するようになった。脅威対策ソリューションの導入の増加で、攻撃の余地が減った。




インスタント「メッセージ」、それともインスタント「脅威」?


今月初め、Yahoo! MessengerのWebCam ActiveXコントロールに脆弱性が発見されました。悪意をもった攻撃者はこの脆弱性を利用して、WebCam ActiveXコントロールにバッファ オーバフローを引き起こさせるスクリプトを備えた、巧妙なHTMLページを作成できます。しかしこの攻略による被害は、発見以来ほとんど報告されていません。その理由は、MSN Messengerに比べてYahoo! Messengerのユーザの割合が少ないことによるものと思われます。現在、この脅威は「Yahoo.Messenger.Webcam.Upload.Viewer.ActiveX.Buffer.Overflow」として侵入防止システムで探知されるとともに、「JS/Yahoo.A!exploit」としてアンチウイルスでも探知されています。


インスタントメッセンジャーの脅威に関しては、ある特定のIMワームが3月以来、突出しています。Eメール ワームが数百の変種を持つのと対照的に、「In the wild」に存在するIMワームの変種は10種に満たない中で、Mytob.FJは著しい活動を示しています。大部分のIMワームの探知は月間1,000件以下ですが、図3で分かる通り、Mytob.FJは違っています。


図3::Mytob.FJの検知の統計
(リンク »)


※フォーティネットの名称はFortinet, Inc.の登録商標です。Fortinet、FortiGate、FortiOS、FortiAnalyzer、FortiASIC、FortiAnalyzer、FortiCare、FortiManager、FortiWiFi、FortiGuard、FortiClient、およびFortiReporterはFortinet Corporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。

用語解説

フォーティネット会社概要 (www.fortinet.com)
フォーティネットは複合脅威に対応するASICベースのセキュリティシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、スパイウェア防止、アンチスパムなど)を統合するために作られており、複合型脅威や混合型脅威から顧客を守ります。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから8種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、クライアントアンチウイルス検知、クリーニング、アンチスパイウェア)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

関連情報へのリンク »

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

SpecialPR

  • 「奉行シリーズ」の電話サポート革命!活用事例をご紹介

    「ナビダイヤル」の「トラフィックレポート」を利用したことで着信前のコール数や
    離脱数など、コールセンターのパフォーマンスをリアルタイムに把握するに成功。詳細はこちらから

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!