フォーティネットのFortiGateセキュリティアプライアンスが2007年9月に発見した脅威トップ10
Rank Malware Percentage
1. Adware/CashOn 13.86%
2. W32/Netsky.P@mm 9.85%
3. HTML/Iframe_CID!exploit 7.30%
4. W32/ANI07.A!exploit 5.04%
5. HTML/Obscured!exploit 5.02%
6. W32/Dialer.PZ!tr 2.55%
7. W32/Grew.A!worm 2.49%
8. W32/Bagle.DY@mm 2.30%
9. W32/Virut.fam 2.06%
10. W32/Dloader.K!tr 1.98%
今月のポイント
■ 先月は4位だったCashOnがトップに。このツールバー プラグインによるアドウェアは、報告された活動量も先月に比べて2倍近くに増加しました。
■ 月間のマルウェア総数は8月から比べ7.87%落ち込みました。理由は、夏休みが終わり、悪ガキが学校に戻った為です。
■ Obscured!Exploitは、8月に比べて10%近く活動が増えて2ヶ月連続でトップ10に居座っています。
● CashOnが、韓国市場により深く潜入
アドウェア ツールバーのCashOnを、より詳しく見てみましょう。9月にはまたもや韓国で、ブラウザーをハイジャックするこのプラグインが大規模に配布されました。図1でわかる通り、8月のサマリーで説明したピークと落ち込みの傾向は、9月を通しても同様であり、99.8%は韓国で報告されています。とはいえ9月の最終週に、このアドウェアの活動が次第に衰えたことは注目に値します。
図1: 2007年9月におけるCashOnの活動
(リンク »)
今月の配布のピークは主に月曜と水曜にありましたが、とりわけ月曜に重点が置かれています。こうしたCashOnの圧倒的な配布は、この活動の裏に、より多くの人々が潜んでいるかもしれないことを示唆しており、CashOnに関連する別の変種/ウイルスが登場する前兆(同じく韓国を拠点にしたものである公算が強い)となる可能性があります。CashOnは、驚異的な成長を遂げています。フォーティネットSecurity Researchエンジニアのデレク マンキーによると、このブラウザー プラグインは2007年5月に発端が記録されて以来、大損害を与え続けており、異常なまでの活動レベルに到達して韓国のネット空間を悩ませています。わずか2ヶ月の間にその活動量は10倍近くにまで増加し、下記の図2aでわかる通り、90%の成長率を記録しています。また図2bには2007年5月以降、日次ベースで見た配布量の著しい急上昇を示しました。このような比較的短期間に日次ベースで顕著な成長を遂げたことは、CashOnの売上金を載せて運ぶマネー トレインの背後には悪意ある技術で動くエンジンがあり、それが進化していることを物語っています。
図2a: 2007年5月1日以降、月単位でみたCashOnの報告数
(リンク »)
図2b: 2007年5月1日以降、日単位でみたCashOnの報告数
(リンク »)
度重なる配布が示唆するように、この市場にはプレイヤーたちが何層にも重なって存在していると考えてよさそうです。CashOnのウェブサイトは韓国(.kr) というトップレベルドメインに置かれており、これもまた韓国に置かれたその他の様々なショッピングサイトへのゲートウェイの役割を果たしています。CashOnのウェブサイトを訪問するとまず目に飛び込んでくるのが、体裁よく並べられた様々なショッピングサイトで、各サイトの物価指数の増減も付記されています。図3でわかる通り、いくつかのショッピングサイトをピックアップし、お買い得品を血まなこで探している何百万人もの人々(大部分はCashOnのツールバー プラグインで誘導されてきた人々)に向けて、ありふれたバーゲン品(米ドルにして、およそ3ドル~10ドル程度)を紹介しています。このショッピングサイトのリンクはすべて韓国の地をターゲットにしたもので、ショッピング ゲートウェイサイト(CashOn)が正当なものだという信用を得るために、当たり前のようにして処理状況を把握する情報を維持しています。このビジネスモデルは、アドウェアにむしばまれている電子商取引市場が繁盛しているがゆえに、特定のターゲットを想定して成り立っているものだと考えることもできます。この市場で利益を上げるには人目に触れることが必要ですが、それには効果的な(「悪質な」ことは言うまでもなく)配布の戦略が必要になります。上記の図2a/2bの数字を考慮すると、卑劣な投資から最大限のリターンを引き出すために、この戦略は長い時間をかけて明らかに性能が強化されています。その活動が顕著であること、そして表示されるウェブサイトに登場するアフィリエイトの顔ぶれを考えると、この事業活動は大きなスケールを備えており、地下室で電子商取引のビジネスを立ち上げたような新興企業の仕業ではないと確信することができます。
図3: CashOnのメイン インデックスへのゲートウェイで表示される最初のコンテンツ
(リンク »)
図4: CashOnツールバーによる検索結果 -インストールされたプラグインを赤でハイライト表示-
(リンク »)
図3に表示されているお手頃価格の商品が基本的な品目で、その多くは衣料品です。これは典型的な広告であり、見る者の注意を引くのと、様々な選択肢を活用している(ここにある例では、図3に表示されている複数のショッピングサイト)という点で、CashOnにおあつらえ向きの内容です。この金のなる木から収穫されたあがりがどれほどのものになるか、想像に難くありません。この金のなる木は、さらなるヒットを飛ばすために、もっと儲かる場所を求めて韓国から出て行こうなどとは、みじんも考えていません。
※フォーティネットの名称はFortinet, Inc.の登録商標です。Fortinet、FortiGate、FortiOS、FortiAnalyzer、FortiASIC、FortiAnalyzer、FortiCare、FortiManager、FortiWiFi、FortiGuard、FortiClient、およびFortiReporterはFortinet Corporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。
用語解説
フォーティネット会社概要 (www.fortinet.com)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから6種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。
お問い合わせにつきましては発表元企業までお願いいたします。