今月のサマリー:
■ 3月の脅威の状況
(1) 脅威トップ10
(2) マルウェアファミリートップ5
(3) マルウェア分類別ランキング
■ 進歩するPushdo
● 3月の脅威の状況
(1) 脅威トップ10
下記のランキングは、フォーティネットのFortiGateセキュリティアプライアンスが2008年2月21日から3月20日までの間に発見したマルウェアの統計です。
Rank Malware Percentage Top 100 Shift
1.W32/Pushdo.EV!tr.dldr 13.5% new
2.W32/Netsky!similar 9.5% -1
3.HTML/Iframe_CID!exploit 6.5% -1
4.W32/Virut.A 4.3% +29
5.W32/MyTob.BH.fam@mm 1.9% +7
6.W32/MyTob.FR@mm 1.9% +4
7.W32/Bagle.DY@mm 1.7% +1
8.W32/Mydoom.N@mm 1.6% -1
9.W32/MyTob.fam@mm 1.5% -
10.W32/Istbar.PK!tr.dldr 1.5% +1
パーセンテージは、今回報告されたすべての脅威に占めるマルウェア変種の活動の割合を示しています。「Top 100 shift」は前回のトップ100ランキングと比較した順位の増減を示しており、「new」とあるのはトップ10に初登場したマルウェアです。
今月号のランキングでは、活動が急上昇した2つの変種が突出しています。その他の変種はNetskyの座を奪おうと、いまだに激しい争奪戦を繰り広げています。
■ Pushdo.EVの活動が急上昇、一気にトップに登りつめ、勢力を保ちつつ毎週日曜日に攻撃を仕掛けました。(※1)
■ 寄生して感染を広げるVirut.A が、前月から順位を29上げて4位に入り、指揮統制を確立しました。
■ MyTobとMyDoomは一貫した活動を続けており、4つの変種がトップ10に入っています。
※1: (リンク »)
(2) マルウェアファミリートップ5
今回のレポートでは、マルウェアの活動は変種もファミリーとしてグループ化し、下記のように主要ファミリーごとに分類しています。パーセンテージは、そのファミリーの活動の累積が今月号のすべての脅威に占める割合を示しています。「Top 10 shift」は前回のトップ10ランキングと比較した順位の増減を示しています。
Rank Malware Family Percentage Top 100 Shift
1.Netsky 14.5% -
2.Pushdo 13.7% +1
3.MyTob 9.5% -1
4.Virut 4.7% +6
5.MyDoom 3.6% -
ファミリーに関して言えば、Netskyが王座を守っています。これは、この後どれくらい続くのでしょう?今月号では、Pushdoが僅差で2位につけており、悪名高いNetskyの普及率に取って変わらんばかりです。VirutはVirut.Aの盛んな活動のおかげで4位になりました。MyTobおよびMyDoomファミリーの活動は、前月号(※2)の報告より低い率を示していますが、いまだに優勢な脅威であることに変わりはありません。
※2: (リンク »)
(3) マルウェア分類別ランキング
今月号ではどのような種類のマルウェアが優勢か、下記に順位付けしました。パーセンテージは、カテゴリー別の活動が今月号で報告されたすべての脅威に占める割合を示しています。
RankMalware TypePercentage
1.大量メールワーム 39.0%
2.トロイの木馬 32.2%
3.エクスプロイト 7.5%
4.スパイウェア 5.0%
5.モバイル 0.3%
大量メールワームのクリック率は落ち、スパムフィルターの性能はますます高くなっているものの、この手法は相変わらず、攻撃者のお気に入りの方法です。また、通常ボットネットと手を組んでいる、トロイの木馬のダウンローダーも、ますます一般的になってきました。複合型の脅威は複数のカテゴリーに分類が可能ですが、カウントはなるべく1回だけになるようにし、そのマルウェアが持っている最も深刻なコンポーネントによって分類しました。
● 進歩するPushdo
1月のレポートで、Pushdoのいくつかの変種による動向をお見せしました。(※3)それから2ヶ月が経ちましたが、Pushdoはその活動を続け、今回はたった1つの変種を利用して弾みを得ているようです。そしてその活動の大半は、1ヶ月に渡って毎週日曜日に発生するという、印象深いものでした。Pushdoの裏にいる、古いトリックに手を染めるギャングはいまだに単純なソーシャルエンジニアリングの策略を使い、ユーザーを誘惑して彼らのパソコンをPushdoボットネットに引き渡そうとしています。1月は出し遅れたクリスマスのeカードが暴走しましたが、今回は成功率を上げようと、よくある名前の差出人名で送られてきます。このメッセージには、ある女性が自分のヌード写真のアニメーションカードを添付してメールを送ってきたと書かれており、その添付は2,000万人以上の会員を持つといわれるAdult FriendFinderからのファイルであるとされています。Pushdo.EVが使った最新の戦法を下記の図1に示します。
※3: (リンク »)
図1:Adult FriendFinderを活用したPushdo.EV
(リンク »)
eカードは普通、添付形式では来ないという事実、そしてユーザーは決して未承諾のeメールに添付された、このようなファイルを開けてはいけないということを、もう一度強調しておくのは重要なことです。「Helo」というスペルミスなど、いかにものエラーや、Subject欄とフッターの相違(フッターには「Adult Sex Finder」とあります)が、ますます怪しさをかもし出しています。このようなネットワークには普通、アフィリエイトプログラムが付き物ですが、この事例ではAdult FriendFinderへのリンクは用意されていません。送付者は単にブランドのある名前を使い、巨大な会員層を利用しようと努力したのです。
ひとたび添付ファイルを開くと、Pushdo.EVはルートキットのコンポーネントをダウンロードするHTTPセッションを確立しようと、様々なIPを巡回します。このコンポーネントをダウンロードするためにPushdo.EVが接続しようとしたIPはいくつかあり、その大半はテキサス州ヒューストンまたはフロリダ州タンパに置かれています。ルートキットのコンポーネントは、「svchost.exe」というプロセスでロードされたドライバで構成されていますが、このプロセスはタスクマネージャーのプロセス一覧からは見えない形となっており、プロセス終了の確立を低くしています。次いで、このコンポーネントは2つの主要な目的のために使われます。最初の役目はハードコードされた(コンポーネントがPushdo.EVによって遠隔操作でダウンロードされるため、究極的に動的な性質を持つ)様々なSMTPサーバの間を巡回することで、これらサーバはさらなる複製を大量メール送信するのに使われることになります。2番目の役目はポート2581を使ってコマンド&コントロール(指揮統制)サーバへの接続を確立することです。このコンポーネントには大量メール送信機能があり、下記の図2で分かる通り、エンジンは要求ベースで使われています。
図2:配布者の戦略、Pushdo 対 Virut
(リンク »)
前日および翌日にも控えめな活動があるものの、Pushdo.EVが示す主要な急上昇は、4週間にわたって毎週日曜日に発生しています。この活動は1月に比べると2倍近くに伸びており、Pushdoボットネットが増大させた脅威とパワーのほどを物語っていると、フォーティネットのセキュリティリサーチエンジニアのデレク マンキーは言います。Virut.Aは4週間にわたってほぼ一貫してその活動を展開しています。Virut.Aは一見、正当なプロセスとしての活動を試みており、「spooIsv.exe」、「logon.exe」あるいは「winlogon.exe」といった名称で実行を行っています。ひとたび実行されるとVirut.Aはポート1863、5190、10324、65520を使っていくつかのコマンド&コントロールサーバとの通信を成立させようと試みます。これは寄生性のファイル感染源で、メモリに住み着いたまま他の実行ファイルに自分自身の複製を添付します。こうして、ウイルスをエンドユーザーのローカルPCにさらに蔓延させていくのです。
免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。
※フォーティネットの名称はFortinet,Inc.の登録商標です。Fortinet、FortiGate、FortiOS、FortiAnalyzer、FortiASIC、FortiAnalyzer、FortiCare、FortiManager、FortiWiFi、FortiGuard、FortiClient、およびFortiReporterはFortinetCorporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。
(1) 脅威トップ10
下記のランキングは、フォーティネットのFortiGateセキュリティアプライアンスが2008年2月21日から3月20日までの間に発見したマルウェアの統計です。
Rank Malware Percentage Top 100 Shift
1.W32/Pushdo.EV!tr.dldr 13.5% new
2.W32/Netsky!similar 9.5% -1
3.HTML/Iframe_CID!exploit 6.5% -1
4.W32/Virut.A 4.3% +29
5.W32/MyTob.BH.fam@mm 1.9% +7
6.W32/MyTob.FR@mm 1.9% +4
7.W32/Bagle.DY@mm 1.7% +1
8.W32/Mydoom.N@mm 1.6% -1
9.W32/MyTob.fam@mm 1.5% -
10.W32/Istbar.PK!tr.dldr 1.5% +1
パーセンテージは、今回報告されたすべての脅威に占めるマルウェア変種の活動の割合を示しています。「Top 100 shift」は前回のトップ100ランキングと比較した順位の増減を示しており、「new」とあるのはトップ10に初登場したマルウェアです。
今月号のランキングでは、活動が急上昇した2つの変種が突出しています。その他の変種はNetskyの座を奪おうと、いまだに激しい争奪戦を繰り広げています。
■ Pushdo.EVの活動が急上昇、一気にトップに登りつめ、勢力を保ちつつ毎週日曜日に攻撃を仕掛けました。(※1)
■ 寄生して感染を広げるVirut.A が、前月から順位を29上げて4位に入り、指揮統制を確立しました。
■ MyTobとMyDoomは一貫した活動を続けており、4つの変種がトップ10に入っています。
※1: (リンク »)
(2) マルウェアファミリートップ5
今回のレポートでは、マルウェアの活動は変種もファミリーとしてグループ化し、下記のように主要ファミリーごとに分類しています。パーセンテージは、そのファミリーの活動の累積が今月号のすべての脅威に占める割合を示しています。「Top 10 shift」は前回のトップ10ランキングと比較した順位の増減を示しています。
Rank Malware Family Percentage Top 100 Shift
1.Netsky 14.5% -
2.Pushdo 13.7% +1
3.MyTob 9.5% -1
4.Virut 4.7% +6
5.MyDoom 3.6% -
ファミリーに関して言えば、Netskyが王座を守っています。これは、この後どれくらい続くのでしょう?今月号では、Pushdoが僅差で2位につけており、悪名高いNetskyの普及率に取って変わらんばかりです。VirutはVirut.Aの盛んな活動のおかげで4位になりました。MyTobおよびMyDoomファミリーの活動は、前月号(※2)の報告より低い率を示していますが、いまだに優勢な脅威であることに変わりはありません。
※2: (リンク »)
(3) マルウェア分類別ランキング
今月号ではどのような種類のマルウェアが優勢か、下記に順位付けしました。パーセンテージは、カテゴリー別の活動が今月号で報告されたすべての脅威に占める割合を示しています。
RankMalware TypePercentage
1.大量メールワーム 39.0%
2.トロイの木馬 32.2%
3.エクスプロイト 7.5%
4.スパイウェア 5.0%
5.モバイル 0.3%
大量メールワームのクリック率は落ち、スパムフィルターの性能はますます高くなっているものの、この手法は相変わらず、攻撃者のお気に入りの方法です。また、通常ボットネットと手を組んでいる、トロイの木馬のダウンローダーも、ますます一般的になってきました。複合型の脅威は複数のカテゴリーに分類が可能ですが、カウントはなるべく1回だけになるようにし、そのマルウェアが持っている最も深刻なコンポーネントによって分類しました。
● 進歩するPushdo
1月のレポートで、Pushdoのいくつかの変種による動向をお見せしました。(※3)それから2ヶ月が経ちましたが、Pushdoはその活動を続け、今回はたった1つの変種を利用して弾みを得ているようです。そしてその活動の大半は、1ヶ月に渡って毎週日曜日に発生するという、印象深いものでした。Pushdoの裏にいる、古いトリックに手を染めるギャングはいまだに単純なソーシャルエンジニアリングの策略を使い、ユーザーを誘惑して彼らのパソコンをPushdoボットネットに引き渡そうとしています。1月は出し遅れたクリスマスのeカードが暴走しましたが、今回は成功率を上げようと、よくある名前の差出人名で送られてきます。このメッセージには、ある女性が自分のヌード写真のアニメーションカードを添付してメールを送ってきたと書かれており、その添付は2,000万人以上の会員を持つといわれるAdult FriendFinderからのファイルであるとされています。Pushdo.EVが使った最新の戦法を下記の図1に示します。
※3: (リンク »)
図1:Adult FriendFinderを活用したPushdo.EV
(リンク »)
eカードは普通、添付形式では来ないという事実、そしてユーザーは決して未承諾のeメールに添付された、このようなファイルを開けてはいけないということを、もう一度強調しておくのは重要なことです。「Helo」というスペルミスなど、いかにものエラーや、Subject欄とフッターの相違(フッターには「Adult Sex Finder」とあります)が、ますます怪しさをかもし出しています。このようなネットワークには普通、アフィリエイトプログラムが付き物ですが、この事例ではAdult FriendFinderへのリンクは用意されていません。送付者は単にブランドのある名前を使い、巨大な会員層を利用しようと努力したのです。
ひとたび添付ファイルを開くと、Pushdo.EVはルートキットのコンポーネントをダウンロードするHTTPセッションを確立しようと、様々なIPを巡回します。このコンポーネントをダウンロードするためにPushdo.EVが接続しようとしたIPはいくつかあり、その大半はテキサス州ヒューストンまたはフロリダ州タンパに置かれています。ルートキットのコンポーネントは、「svchost.exe」というプロセスでロードされたドライバで構成されていますが、このプロセスはタスクマネージャーのプロセス一覧からは見えない形となっており、プロセス終了の確立を低くしています。次いで、このコンポーネントは2つの主要な目的のために使われます。最初の役目はハードコードされた(コンポーネントがPushdo.EVによって遠隔操作でダウンロードされるため、究極的に動的な性質を持つ)様々なSMTPサーバの間を巡回することで、これらサーバはさらなる複製を大量メール送信するのに使われることになります。2番目の役目はポート2581を使ってコマンド&コントロール(指揮統制)サーバへの接続を確立することです。このコンポーネントには大量メール送信機能があり、下記の図2で分かる通り、エンジンは要求ベースで使われています。
図2:配布者の戦略、Pushdo 対 Virut
(リンク »)
前日および翌日にも控えめな活動があるものの、Pushdo.EVが示す主要な急上昇は、4週間にわたって毎週日曜日に発生しています。この活動は1月に比べると2倍近くに伸びており、Pushdoボットネットが増大させた脅威とパワーのほどを物語っていると、フォーティネットのセキュリティリサーチエンジニアのデレク マンキーは言います。Virut.Aは4週間にわたってほぼ一貫してその活動を展開しています。Virut.Aは一見、正当なプロセスとしての活動を試みており、「spooIsv.exe」、「logon.exe」あるいは「winlogon.exe」といった名称で実行を行っています。ひとたび実行されるとVirut.Aはポート1863、5190、10324、65520を使っていくつかのコマンド&コントロールサーバとの通信を成立させようと試みます。これは寄生性のファイル感染源で、メモリに住み着いたまま他の実行ファイルに自分自身の複製を添付します。こうして、ウイルスをエンドユーザーのローカルPCにさらに蔓延させていくのです。
免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。
※フォーティネットの名称はFortinet,Inc.の登録商標です。Fortinet、FortiGate、FortiOS、FortiAnalyzer、FortiASIC、FortiAnalyzer、FortiCare、FortiManager、FortiWiFi、FortiGuard、FortiClient、およびFortiReporterはFortinetCorporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。
用語解説
フォーティネット会社概要(www.fortinet.com)
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから6種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
