フォーティネットウイルス対処状況レポート(2008年9月度)

フォーティネットは、2008年9月度のウイルス対処状況レポートを発表しました。

フォーティネットジャパン株式会社 2008年10月03日

今月のサマリー:


■ 9月の脅威の状況
(1) 脅威トップ10
(2) マルウェアファミリートップ5
■ 活動の要約


(1) 脅威トップ10


下記のランキングは、フォーティネットのFortiGateセキュリティアプライアンスが2008年8月21日~9月20日までの間に発見したマルウェアの統計です。「Top 100 Shifts」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。


Rank Malware    Percentage Top 100 Shift
1 W32/Inject.GZW!tr.bdr 38.1 新
2 W32/Inject.GZV!tr.bdr 6.7 新
3 W32/Multidr.JD!tr 4.3 -2
4 W32/Delf.BFC!tr.dldr 3.6 新
5 W32/Netsky!similar 2.2 -2
6 W32/Goldun.AXT!tr.spy 2.1 新
7 W32/Virut.A 2.0 -2
8 HTML/Iframe_CID!exploit 2.0 +1
9 W32/Dloadr.BQY!tr 2.0 新
10 W32/Crypt.MV!tr 1.6 新


今月の脅威勢力図には大きな変化が起こり、多数の新しい変種が活動したのが特徴です。


■ 不正なセキュリティアプリケーションのトロイの木馬がトップ4を席巻し、関連する変種をすべて合わせると今回の調査対象期間におけるマルウェア総量の60%以上を占める結果となりました。


■ Virut.Aはマルウェアの中でも勢力を保っていましたが、7カ月ぶりにトップ5から転落し、7位になりました。


■ トロイの木馬キーロガーの新顔Goldun.AXTが大量の活動を展開し、6位に入りました。


■ Pushdoファミリーに属するCrypt.MVは10位にしがみついています。


(2) マルウェアファミリートップ5


今回のレポートでは、マルウェア変種の活動をファミリーごとにグループ化し、下記のように分類しました。報告されているすべての脅威のうち、ファミリーごとに累積した活動の割合を示しています。「Top 10 shift」は前回レポートのトップ10ランキングと比較した順位の増減を表しています。


Rank Malware Percentage Top 10 Shift
1 RogueSecurity 61.5 新
2 Netsky 3.5 -1
3 Goldun 3.5 新
4 Virut 2.5 -
5 Pushdo 2.0 -3


今月は不正なセキュリティアプリケーションのファミリー「RogueSecurity」が加わりましたが、その変種すべてを累積した結果は驚異的なものでした。なんと、今月報告されたマルウェア全体の61.5%がRogueSecurityに属するものだったのです。今月の変種トップ4のマルウェアの膨大な量がこの数字に貢献していることは疑いようがありません。それ以外の変種はその隙間を埋める結果となりました。このファミリーを構成しているのは、2つの悪名高いニセモノのアンチウイルスソフトです(詳細はニセモノのソフトウエア分析(※1)(英語のみ)とフォーティニュース9月号(※2)をご参照)。まずAntiVirus XP 2008は、全体の61.5%というファミリーの活動のうち55.5%を占めており、もう一方のXP Security Centerは残りの6.0%を構成しています。
※1: (リンク »)
※2: (リンク »)


●活動の要約


今月は脅威勢力図に大きな変化が起こり、トップ10に新しい変種が入ったことが特徴となりました。先月のレポート(※3)ではW32/Multidr.JDに関連した活動が月末に向けて殺到した様子をご説明しました。W32/Multidr.JDの活動は今月の初旬も継続し、他の変種が話題を呼ぶ前にW32/Delf.BFCと交代しました。この活動はただでさえ用心すべきものですが、その裏に控えているサイバー犯罪者たちは活動のヤマ場を作ろうとしたようです。レポート対象期間の半ばを過ぎた頃、すでに大量だった不正セキュリティの活動が、爆発的に増大しました。W32/Inject.GZWが、かつてないほどの量でサイバー空間に氾濫したのです。下記の図1は、W32/Netskyの影を薄くさせた、この活動の急上昇を示しています。
※3: (リンク »)


図1:不正なセキュリティアプリケーションのトロイの木馬で増幅した、
今月の変種トップ6の活動
(リンク »)


2007年の1月(※4)/2月(※5)を振りかえると、Storm(嵐)ワームはこれと同程度の活動量で1日だけの走行を数回繰り広げました。それ以降、同様のことは起こっていませんが、今回、最も大きな違いは累積量です。他の変種はさておき、W32/Inject.GZWは少なくとも過去6日間にわたり極端に高い水準を保ちました。上記の図1に示された変種のすべては、ニセモノのアンチウイルスソフトであるAntiVirus XP 2008に関連しています。このキャンペーンはかねてから行われていましたが、最近になって活動の急増を見せたため、その存在が際立ったのです。この製品用のWebコンテンツをホスティングするサーバはすべて、限定的なFast Fluxモデルを用いています。フォーティネットのセキュリティリサーチエンジニア、デレク マンキーの考察では、IPの小規模なサンプルが頻繁に消されているということです。これらのホストはすべて、一般的によく使われているNginx Webサーバで稼働しており、仮想ドメインを通してAntiMalware 2009などの他の不正製品をサポートしています。
※4: (リンク »)
※5: (リンク »)


これら、ニセモノのソフトウエアは、確かに今月の焦点でしたが、他のマルウェアも忘れてはなりません。W32/Virut.Aはしつこく居残り、いまだに勢力を保っています。また新手のキーロガーもレーダー上に浮上しました。その活動の大半はW32/Goldun.AXTに関連していました。下記の図2は、この新ファミリーの活動と、RogueSecurityおよびNetskyファミリーの累積活動を示しています。


図2:RogueSecurityが主役となった今月のファミリー活動
(リンク »)


フォーティネットのFortiGuardグローバルセキュリティリサーチチームは、こうした新興の脅威およびトレンドを引き続き監視していきます。ユーザの皆さんは、10月もRogueSecurityファミリーの活動に対して準備を怠りなく、常に悪だくみに用心してください。


免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。


※フォーティネットの名称はFortinet,Inc.の登録商標です。Fortinet、FortiGate、FortiOS、FortiAnalyzer、FortiASIC、FortiAnalyzer、FortiCare、FortiManager、FortiWiFi、FortiGuard、FortiClient、およびFortiReporterはFortinetCorporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。

用語解説

フォーティネット会社概要(www.fortinet.co.jp/)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから6種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

関連情報へのリンク »

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

SpecialPR