フォーティネットジャパンは2月12日、2012年10~12月の脅威動向調査の結果を発表した。調査では、1日~1週間という短期間で急増し、活発な活動を見せた4つのマルウェアを同四半期で特定している。
特定されたマルウェアは、「Simda.B」「FakeAlert.D」「Ransom.BE78」「Zbot.ANQ」という4つ。これらのマルウェアには、犯罪者たちが自分たちのマルウェアを収益化するために活用する典型的な4つの手法がみられると説明している。
Simda.Bは、Flashのアップデートを装い、ユーザーを騙してインストール権限を与えるように仕向ける。インストールされると、Simda.Bはユーザーのパスワードを盗み出す。犯罪者はインストールされたユーザーのメールやソーシャルネットワークのアカウントに侵入してスパムやマルウェアを拡散したり、ウェブサイトの管理者アカウントにアクセスして不正なサイトのホスティングを行ったり、オンライン決済システムの口座から金銭を盗んだりできるようになるという。
FakeAlert.Dは、ニセのウイルス対策ソフトウェアを装うマルウェア。本物のようなポップアップウィンドウでコンピュータがウイルスに感染したこと、ニセのウイルス対策ソフトウェアを購入すれば、被害者のコンピュータからウイルスを除去することを通知する。
Ransom.BE78は、身代金を要求するランサムウェアであり、ユーザーが自分の個人データにアクセスすることを防ぐ。ランサムウェアは通常、感染するとユーザーのマシンが起動できなくなったり、データが暗号化され、解読するためのキーに対して金銭を要求したりする。インストールに関して、被害者に選択肢を与えないところが、ランサムウェアとニセのウイルス対策ソフトウェアの主な違いと指摘されている。ランサムウェアは、ユーザーのマシンに勝手にインストールされ、システムからの除去に支払いを要求する。
Zbot.ANQはトロイの木馬であり、有名なトロイの木馬「Zeus」の1バージョンの“クライアント側”のコンポーネントと説明している。Zbot.ANQは、ユーザーのオンラインバンキングへのログイン試行を傍受し、ソーシャルエンジニアリングを利用して、ユーザーのスマートフォンにマルウェアのコンポーネントをインストールさせるよう仕向ける。スマートフォンにコンポーネントがインストールされると、犯罪者は、銀行からのSMSを傍受して、犯罪者たちの口座に送金するという仕組みとなっている。
同社の研究機関であるFortiGuard Labsは、以前にアドキット「Android Plankton」の配布が急増していることを検出している。このマルウェアは、Android端末に共通のツールセットを埋め込み、ステータスバーに迷惑な広告を表示、ユーザーの国際移動体識別番号(IMEI)を追跡、端末の画面にアイコンをドロップといった行為を行う。
2012年10~12月にPlanktonは激減したという。その代わりに、FortiGuard Labsでは、このマルウェアから直接アイデアを得たと思われるアドキットの増加を検出している。これらのアドキットの活動レベルは、2012年7~9月の間にPlanktonが見せた活発なレベルと同程度に達していると説明している。
2012年10~12月には「ZmEu」と呼ばれるツールの活動が活発になっていることも検出されている。このツールは、オープンソースのデータベースソフトウェア「MySQL」の管理ツールである「phpMyAdmin」の脆弱なバージョンを実行しているウェブサーバをスキャンして、これらのサーバを掌握するためにルーマニア人などが開発している。
9月以降、12月に小休止になるまでの間、活動レベルは7~9月の間の9倍にまで上昇しているという。こうした脅威からウェブサーバを保護するには、phpMyAdminの最新版にアップデートする必要がある。FortiGuard LabsのシニアマネージャーであるGuillaume Lovet氏が以下のようにコメントしている。
「活動の急上昇は、世界中の抗議行動と活動家の運動を促進させるようとするハクティビスト集団の関心の高まりを示唆している。ハクティビストたちが多くの理想を追求し、自分たちの成功を世間に広めようとする限り、こうしたスキャニング活動は活発に行われるだろうと予測される」
2月19日開催:ZDNet Japan セキュリティフォーラム
高度化の一途をたどるサイバー攻撃、そして企業内部のリスクに、どこまでの対策を講じれば「安心」と言い切れるのか。性善説では決して語れないセキュリティ問題の現実的なリスク最小化への道筋とコストとの均衡点を紹介します。
お申し込みは特設ページ「ZDNet Japan セキュリティフォーラム」まで。