フォーティネットウイルス対処状況レポート(2008年7月度)

フォーティネットは、2008年7月度のウイルス対処状況レポートを発表しました。

フォーティネットジャパン株式会社 2008年08月07日

今月のサマリー: ■ 7月の脅威の状況 (1) 脅威トップ10 (2) マルウェアファミリートップ5

● 7月の脅威の状況


(1) 脅威トップ10


下記のランキングは、フォーティネットのFortiGateセキュリティアプライアンスが2008年6月21日から7月20日までの間に発見したマルウェアの統計です。


Rank Malware    Percentage Top 100 Shift
1 W32/Netsky!similar    10.39 -
2 W32/Virut.A    7.03 +1
3 Pushdo!tr    6.01 new
4 W32/Agent.TPF!tr.dldr 4.78 new
5 HTML/Iframe.DN!tr.dldr 4.51 +3
6 W32/MyTob.FR@mm 3.75 +3
7 JS/Iframe.DR 3.6 new
8 W32/OnLineGames.fam!tr.pws 3.53 -4
9 W32/Mdrop.BTV!tr 2.7 new
10 JS/Redirector.CA!tr 2.32 new


今回のレポートでは、いくつかの変種がランキングに復帰した一方で、数多くの新顔が活動を開始しています。


・Virut.Aは活動量が増え、引き続き目立った動きを見せており、第2位にランク入りました。これで6カ月続けてトップ5に居座り続けたことになります。

・少しの間、鳴りを潜めていたPushdoですが、今月はまたレーダー網に引っ掛かりました。

・Javascriptの新しい変種であるIframe.DRおよびRedirector.CAが、それぞれ7位および10位に入りました。

・台湾と日本では、オンラインゲームを標的にしたOnLineGames.fam!tr.pwsによるトロイの木馬の活動が引き続き盛んでした。


2.マルウェアファミリートップ5
今回のレポートでは、マルウェア変種の活動をファミリーごとにグループ化し、下記のように分類しました。今回のレポートで報告されているすべての脅威のうち、ファミリーごとに累積した活動の割合を示しています。「Top 10 shift」は前回レポートのトップ10ランキングと比較した順位の増減を表しています。

RankMalware Percentage Top 100 Shift
1OnlineGames18.8 -
2Netsky 16.7 -
3MyTob 9.9 -
4Virut 7.8 -
5Pushdo 6.1 +6

今回のレポートでは、順位の点ではたいした変動がありませんでしたが、2つほど留意すべきポイントがあります。アカウントを盗み取るトロイの木馬であるOnlineGamesファミリーは、先月号(※1)に比べると活動量が15%減っているとはいえ、いまだに1位の座を守っています。またPushdoは先月こそ活動量が低下したものの、またトップ5に舞い戻りました。
※1: (リンク »)  


●活動の要約
今回のレポートには、いくつかの新顔が登場しました。そのうち2つはjavascriptの実例です。トップ10をみると、トラフィックを増やすことを目的とする3つの実例(Iframe.DN, Iframe.DR, and Redirector.CA)が目につきます。これは少しも驚くべきことではありません。サイバー犯罪者たちは常に、最も効率的な方法でトラフィックをサイトに誘い込もうと試みているのです。通常IFramesが、エンドユーザーのブラウザを(たいてい)悪意あるソースにリダイレクトさせるためのタグとしてWebサイトに注入されます(つまりSQL注入です)。多くの場合、それは金銭的な動機によるものです。デジタルのアングラ世界においては、トラフィックすなわちカネです。下記の図1は、この3つのトラフィックジェネレータの活動カーブを示しています。


図1:2008年7月のトラフィック先導者
(リンク »)


Iframe.DNが安定した活動カーブを描く一方、Redirector.CAは活動の急増が2回あり、トップ10に躍り出ました。一方Iframe.DRは月の半ばを過ぎてから活動を開始し、今も流行を続けています。さてRedirector.CAと、その振る舞いを見てみましょう。このjavascriptの実例には、文字列およびURLアドレスを解読するとともにエンドユーザーに向けてそのアウトプットをランダム化する機能が含まれています。この実例はブログを生成し、いかにも本物らしく見せるためコメントまで入れています。最初の投稿らしきものは実に動的です。ページがロードされるたびに、異なるリンクと題名ヘッダーが表示されるのです。下記の図2は、生成された怪しいページのスナップショットです。


図2:JS/Redirector.CA!trは仕事中。アフィリエイトリンクをランダム化
(リンク »)


リンク(赤で囲んだ部分)は動的で、ページを更新するたびに変化します。ただひとつ不動なのは保険というテーマで、すべてのリンクは一見したところ保険のサイトに向けられています。しかしリンクをクリックしても、お目当てのサイトには直接飛んでいきません。
一度クリックしたら最後、一連の動作が行われてしまいます。Nginx 0.5.37を稼働する2つのサーバ(この実例では2つとも米国に置かれています)を訪問し、独自のクエリID(ユーザがクリックしたランダム化されたリンク)を持つPHPページにアクセスします。これら2台のサーバはユーザのブラウザを、Apacheを稼働する第3のサーバに飛ばします。この第3のサーバ(これも米国に置かれています)は、独自のアフィリエイト識別子を経由して、ユーザを実際の保険のページにリダイレクトします。ユーザのブラウザは、そのブラウザを新しいURLに差し向けるHTTP 302応答コードを経由してリダイレクトされます。どうやらこれは、中間的なトラッキング サーバを通過させてアフィリエイトマーケティングプログラムのトラフィックを増やすためのキャンペーンのようです。先に示した図1に見られるような活動の2度にわたる急増は、キャンペーンが実行されたことを示しています。サーバはこのコードに感染した後、処分されたのです。


これはさておき、今回のランキングには見慣れた名前もトップ10を飾っていました。それはPushdo、MyTob、Virutです。また新しい名前「Mdrop.BTV」も登場しましたが、これは実際にはPushdoのもうひとつの変種のようです。この2つのマルウェアの周期的な活動の急増がそれを証明しています(図3の赤および白のカーブを参照)。Pushdoが毎週、執拗にメール・キャンペーンを行う一方、MyTobとVirutは少ない活動量で一貫したカーブを描いています。図3はそれを示しています。


図3:いまだに常連がインザワイルドの脅威を引き起こしている
(リンク »)  


結局のところ、これらすべてがトップ10に留まり蔓延しているため、インターネットに接続している人すべてに不安を与えます。ありがたいことには、これらの脅威はすでにブロックされています。先ごろDNSの脆弱性が公表され、一方ではトラフィック リダイレクタの活動も盛んな今、すべてのユーザは自分がどのサイトを訪問しているのか細心の注意を払うべきです。リンクをクリックする前に一考し、ドメイン名をよく確かめ、システムへの危害を防ぐ最新のパッチがすべて適用済みであることを確認しましょう。


●ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。


免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。

用語解説

フォーティネット会社概要 ( (リンク ») )
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから7種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア、アンチスパム)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

関連情報へのリンク »

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

SpecialPR