フォーティネットウイルス対処状況レポート(2009年8月度)

フォーティネットジャパン株式会社 2009年09月02日

下記のランキングは、2009年7月21日~8月20日までのフォーティネットのFortiGateネットワークセキュリティアプライアンスとインテリジェンスシステムが検知した情報をもとに作成されています。

目次:
■ 脅威と侵入防御
(1) 脅威トップ10
(2)新たな脆弱性の範囲
■ 最新のマルウェア
(1) 変種トップ10
(2)マルウェア検知数は日本がトップ(地域と数量)
■ スパムの流通
(1) スパムの出現率
(2)実環境におけるスパムトップ3
■ Webからの脅威
Web脅威のトラフィック
■ 活動の要約

●脅威と侵入防御
(1)脅威トップ10
下記のランキングは、今月発見された脆弱性のトップ10を活動量で順位付けしたものです。「%」は、その脆弱性の活動が今月報告されたすべての攻撃に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」にランク付けされたものは太字で示しました。
順位脅威%深刻度
1MS.DCERPC.NETAPI32.Buffer.Overflow13.3緊急
2HTTP.URI.Overflow9.0緊急
3MS.SMB.DCERPC.SRVSVC.PathCanonicalize.Overflow5.9重要
4MS.Windows.ASN.1.Bitstring.Overflow3.9重要
5FTP.USER.Command.Overflow2.3重要
6MS.IE.HTML.Attribute.Buffer.Overflow1.5重要
7PNG.Image.Integer.Overflow1.4緊急
8FTP.Bounce.Attack1.3重要
9HTTP.Host.Header.Buffer.Overflow1.1警告
10Danmec.Asprox.SQL.Injection1.0重要

(リンク »)
図1a:マルウェアが検知された地域トップ5

(2)新たな脆弱性の範囲
今月、FortiGuard IPSは、新たに168件の脆弱性を検知しました。新たに見つかったこれらの脆弱性のうち、35.7%にあたる60件は積極的な攻撃を仕掛けたことが報告されています。下記の図1bは、新たに登場した脆弱性を深刻度、勢力範囲、実環境での攻撃で分類したものです。

(リンク »)
図1b:深刻度で分類された、この項目における新たな脆弱性の範囲

詳しくは下記のWebサイトに掲載された今月の詳細レポートをご覧ください。
不正侵入防止 - サービス更新履歴(※1)
※1: (リンク »)

●最新のマルウェア
(1)変種トップ10
下記のランキングは、変種ごとに分類したマルウェア活動のトップ10です。パーセンテージは、そのマルウェア変種の活動が今月報告されたすべてのマルウェア脅威に占める割合を示しています。「トップ100シフト」は前月号と比較した順位の増減を示しており、「新」とあるのはトップ10に初登場したマルウェアです。下記の図2はトップ5に入ったマルウェア変種の探知した数量を示しています。

順位マルウェア変種%トップ100シフト
1W32/OnlineGames.BBR!tr29.0-
2HTML/Agent.E!tr24.6new
3W32/Kryptik.E!tr5.8new
4W32/Virut.A2.9-2
5JS/PackRedir.A!tr.dldr2.6-2
6HTML/Iframe.DN!tr.dldr2.2-1
7Adware/AdClicker2.2-
8W32/Netsky!similar1.7-2
9HTML/Iframe_CID!exploit1.5-1
10HTML/Agent.Q!tr1.3new

(リンク »)
図2:トップ5のマルウェア変種の活動カーブ

(2)地域と数量 日本はマルウェア量が3位
下記は目立ったマルウェア変種の数量でランク付けした、今月の地域トップ5です。目立ったマルウェアの数量は、特定の地域で検知された固有のウイルスの名称(変種)の総数と報告された事故の累計総数とを対比して示しています。8月末日までについては、6カ月間のトレンドも入れました。下記の図3a-3cが、これらの統計です。

(リンク »)
図3a:目立ったマルウェアの数量でみた地域トップ5

(リンク »)
図3b:マルウェア総量の6カ月間のトレンド

(リンク »)
図3c:固有のマルウェア数量の6カ月間のトレンド

地域ごとの日次活動の詳細は、当社のウイルス世界地図(※2)をご参照ください。
※2: (リンク »)

●スパムの流通
(1)スパム出現率 日本はスパム量が2位
今月の特定の期間について、全世界でのスパム出現率を日次単位で示しました。スパム出現率は、全世界で流通するEメールの総数に対し、スパムと認識されたEメールの累計がどの程度あるかを表しています。スパムの流通地域トップ5は、世界中のスパムの総数のうち、いくつスパムを受信したかにより順位付けしています。図4aおよび図4bは、その統計を営業日ごとにグラフ化したものです。

(リンク »)
図4a:全世界のEメール数量と比較したスパム出現率

(リンク »)
図4b:受信したスパム数が多い地域トップ5

(2)実環境におけるトップ3
下記は、今月検知されたスパムメールのトップ3です。トップに入ったEメールは重複したものと未承諾広告を除外し、多様なキャンペーンが目立つようにハイライトをかけています。これにより、詐欺や悪意に焦点を合わせることが可能になります。その結果は、下記の図5a-cにある通りで、この図は最近のスパムキャンペーンで使われた、最もありふれたメッセージ戦略を示しています。

(リンク »)
図5a:スパムキャンペーンその1

(リンク »)
図5b:スパムキャンペーンその2

(リンク »)
図5c:スパムキャンペーンその3

●Webからの脅威
Web脅威のトラフィック
下記のリストは、今月ブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。パーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングという脅威のトラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bはカテゴリーごとのWebへの脅威活動の増大(または減少)を前期比で示したものです。

FortiGuardのカテゴリー   %
ポルノ      57.0
マルウェア 33.3
スパイウェア 5.3
フィッシング 4.4

(リンク »)
図6a:Web脅威のトラフィック内訳

(リンク »)
図6b:Web脅威のトラフィックの月別成長率

●活動の要約
今月探知されたマルウェア数量の総数は、図3bを見るとわかるとおり、引き続き上昇傾向にあります。この急激な伸びに加え、図3cにあるとおり2009年3月以来、特に目立つ変種(悪意あるコード)の量も引き続きじわじわと増加しています。今月はマルウェア攻撃のいくつかの波があり、とりわけZBotの活動の急上昇があった7月24日に大きな波がありました。
実際に、このキャンペーンの検知数はたった1日の活動で、2006年1月のSoberワーム、2007年1月(※3)のStormワーム、2008年9月(※4)の不正なセキュリティソフトウェアをしのぎ、記録的な水準となりました。図2にあるとおり、この日に殺到した変種はHTML/Agent.Eですが、これは実はMIMEサンプル(Eメール)に添付されたZBotの変種です。このEメールの送信キャンペーンはまたしても(今年6月に報告したように)単純なEカードのソーシャルエンジニアリングの引っ掛けを利用しています。図5aに示すのがそのEメールで、HTML/Agent.Eとして探知されたZBot変種が添付されています。記録的な活動がこの日に探知されているものの、今月のマルウェア・トップ10の1位を獲得するほどではありませんでした。それというのもオンラインゲームを標的にしたトロイの木馬であるW32/OnlineGames.BBRが3カ月連続して首位の座を守ったからです。今月のトップ10ではそのほかW32/Kryptik.EとHTML/Agent.Qという2つのZBot変種がランク入りしています。またDHLの送り状を装ったキャンペーンでアドウェアが引き続きばら撒かれていることは、図5cに示すBredolabのトロイの木馬(※5)(W32/Bredolab.AI!trとして探知)を見ると明らかです。
※3: (リンク »)
※4: (リンク »)
※5: (リンク »)

危険な添付ファイルを送りつけるこれら2つのスパムキャンペーンとは別に、図5bに示すのはハネウェルインターナショナル社の偽の求人広告に見せかけた、古典的なカネの運び屋(マネーミュール)のスキームです。文章の大部分は専門的なことが書かれている一方で、楽をして儲けたいと考えている被害者を誘い込むために合法的な名前を利用しています。このメールを読み進めると、図5bに赤い線で囲ったように、「Accounts Receivable(売掛金)担当者」の職務内容とは資金の90%を支店に送金することで、残りの10%は手数料として自分の分け前になると書かれています。実際には、サイバー犯罪者たちは送金の手段を必要としており、カネの運び屋はそのための常套手段です。全世界のスパム出現率は今月、比較的安定しており、地域別の活動も平坦化して米国、日本、フランスが似たようなシェアを占めました。図4bに示したように、受信したスパム数が多い地域トップ5には、新顔としてイスラエルが加わりました。図6aのWeb脅威のトラフィック内訳では、フィッシングの数量の増加率が最高になっています。

今までたびたびお伝えしてきましたが、他のトレンドとして、新しいソフトウェアの脆弱性が引き続き明らかになり、目覚ましいペースで悪用されるようになっています。今月は168件というおびただしい数の新しい脆弱性が発見され、そのうち60件はインザワイルドでの攻撃で探知されたもので、その悪用率は35%という恐るべき数字となっています。先月のレポート(※6)では新しい脆弱性89件に対して攻撃探知が27件(30%)でしたから、悪用率は上昇しています。今月もっとも気がかりなのは図1bが示すとおり、攻撃された脆弱性の多くが、「緊急」という深刻度になっていることで、これは遠隔コード実行の可能性を示唆しています。言い換えれば、攻撃者が皆さんのシステムに簡単に侵入できるということです。フォーティネットでは、8月11日に、インザワイルドでの悪用が継続的に検知されている「Microsoft Office Webコンポーネント」(MS09-043)の脆弱性に関するアドバイザリを発表しました(※7)。この脆弱性についての詳細はブログをご覧ください(※8)。また今月、当社はAdobe ReaderとFlash (APSA09-03)に対する執拗な攻撃をインザワイルドで検知しました。これらの攻撃に使用されたトロイの木馬の検知を含む、当社の公式アドバイザリはこちらでご覧いただけます(※9)。攻撃が継続的に探知されていますので、お使いのシステムには必ずパッチを適用してください。
※6: (リンク »)
※7: (リンク »)
※8: (リンク »)
ate-0day/
※9: (リンク »)

ソリューション
フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuardグローバルセキュリティリサーチチームが、同社のインテリジェンスシステムと世界中で販売されているFortiGate<TM>複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的なセキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

免責条項:
当資料でフォーティネットは正確な情報を提供するよう努めていますが、同社はこれらの情報の正確性や完全性について、法的責任を負うものではありません。より具体的な情報は、ご要望に応じてフォーティネットがご提供いたします。フォーティネットの製品情報は、正式に署名された書面にて明示、特定している場合を除き、何らの保証や法的拘束力のある記述を構成または包含するものではないことをご注意ください。

用語解説

フォーティネット会社概要 ( (リンク ») )
フォーティネットは複合脅威に対応するASICベースのUTMシステムを提供するリーディングベンダーです。フォーティネットのセキュリティシステムは、セキュリティ性を高めるとともにトータルコストを下げることから、多くの企業やサービスプロバイダなどに利用されています。フォーティネットが提供するソリューションは初めから様々なセキュリティプロテクション(ファイアウォールや、アンチウイルス、侵入防御、VPN、アンチスパイウェア、アンチスパムなど)を統合するために作られており、ネットワークおよびコンテンツレベルの脅威から顧客を守るよう設計されています。カスタムASICと統合型インターフェースに優れたフォーティネットのソリューションはリモートオフィスから筐体ベースのソリューションに至るまで、統合管理 報告で優れたセキュリティ機能を提供します。フォーティネットのソリューションはこれまで様々な賞を世界中で受賞しており、ICSAから7種類の認定(ファイアウォール、アンチウイルス、IPSec、SSL、IPS、アンチスパイウェア、アンチスパム)を受けた唯一のセキュリティ製品です。フォーティネットはカリフォルニア州サニーベールに本社を置く非上場企業です。

関連情報へのリンク »

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。