Subscriptions | RSS | ディスカッション | アンケート   




全ての脅威

ウイルス

ハッカー

スパムメール

サイト全体    ウイルスについて
   
ウイルス百科事典
リスクウェア 警告
分析
ニュース
用語集
研究者日記(weblog)

 
アーカイブ

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct Nov  
最新レポート



2013 年 金融関連のサイバー脅威 − パート 1 :フィッシング



スパムレポート:2014 年 2 月



スパムレポート:2014 年 1 月
 
分析者への可能性
Contact us!

私たちの作者のひとりになって、あなたの分析をViruslist.comに掲載してみませんか? 興味がある方は 連絡してください!

 

  ホーム / 分析

2011 年第 1 四半期における IT 脅威の進化

May 18 2011 (日本語公開:May 25 2011)   |   英語版記事

ユーリー・ナメスニコフ

概要

2011 年第 1 四半期における IT 脅威の世界では、数多くの現象が発生しました。セキュリティ年次報告書で発表した我々の予測は、特にモバイル関連の脅威および標的を定めた攻撃に関して驚くべき勢いで現実化しており、状況は悪化の一途をたどっています。第 1 四半期に発生した重大な事件について以下に分析します。

ストアに並んだモバイル向けトロイの木馬

まず、サイバー犯罪者が Android Market にアップロードした Android OS 向けのマルウェアについて説明しましょう。この種の悪意あるアプリケーションは 50 種類以上も検知されており、トロイの木馬を仕込まれながらも正当なプログラムの様相を呈しています。攻撃者の狙いは、IMEI や IMSI 番号といった携帯電話のデータでした。このトロイの木馬プログラムには、ユーザーに気付かれずに別の悪性コンポーネントをデバイスにインストールするためのモジュールも含まれていました。これによりファイルシステムへのフルアクセスを得るためにプロテクションを回避する「ジェイルブレイク」を行い、デバイスへのフルアクセスを可能にしました。実質的に無制限のシステム操作を可能にするルート権限を得るために、一般的な「Rage against the cage」エクスプロイトをトロイの木馬プログラムと同じパッケージにして配布することにより Android OS の脆弱性を突きました。

この種のエクスプロイトが使用されたデバイス上に、カスペルスキーモバイルセキュリティ 9(KMS 9)をインストールしていたユーザーはラッキーでした。このトロイの木馬プログラムはまだ新しく、アンチウイルスデータベースに登録されていなかったものの、それらにバンドルされていたエクスプロイトの検知に成功したからです。このトロイの木馬のシグネチャーが作成されるまでの間、KMS 9 はバンドルされたプログラム全体を Exploit.AndroidOS.Lotoor.g および Exploit.AndroidOS.Lotoor.j としてプロアクティブに検知しました。このトロイの木馬がカスペルスキーのアンチウイルスデータベースに追加されてからは、Backdoor.AndroidOS.Rooter として検知しています。他のアンチウイルスベンダーでは、DroidDream という名称でも呼ばれています。

この状況に際して 2 つの疑問が生じました。

  1. サイバー犯罪者が Android Market のデベロッパーアカウントを取得するのは難しいことなのか?
    残念なことにそれは非常に簡単です。25 米ドルを支払うだけでアカウントを取得できるのです。Google は自社 OS のために、できるだけ多くの開発者を集めたがっているようです。25 ドルという金額には抑止力がないに等しく、サイバー犯罪者は多数のアカウントを作成できます。そのため、マルウェア配布に使用されたアカウントを Google が停止しても、サイバー犯罪者がいとも簡単に新規アカウントを作成してしまうため、いたちごっこに陥ることになります。
  2. Android Market で提供するアプリケーションの統制を強化できないのか? 最初に問題となるのは、統制に必要なリソースです。Android Market、App Store、Samsung Market などで入手できるアプリケーションのすべてのコードをチェックするのは、自動化がほぼ不可能であるため非常に困難な作業です。このことは、さまざまなアプリストアにおいて、今後マルウェア感染したソフトウェアが増加することは避けられないということを意味しています。

先に述べたように、Android Market 上で検知されたマルウェアは脆弱性を利用したものでした。ただし、脆弱性を悪用されたのは、2010 年 12 月 6 日にリリースされた Android 2.3(コードネーム:Gingerbread)以前のバージョンを搭載したデバイスでした。Google によると、Android 2.3 のリリース後 3か月経過した時点で、この新バージョンが動作するシステムの割合はわずか 2% でした(参照:http://developer.android.com/resources/dashboard/platform-versions.html)。ユーザーは急いでシステムをアップグレードする必要はないと考えているようです。このことは、OS の新バージョンがデバイスに搭載される前には大幅な変更が加えられることが主な理由であると考えられます。これにより、OS のアップグレードは不可能になるか、あるいはメーカーの関与なしには実行できなくなる場合があるためです。

このことは、パッチのインストールはモバイル機器メーカー任せになることを意味し、モバイル機器のセキュリティの責任もメーカー側が担うことになります。しかしながら、メーカーは既存のデバイス上のソフトウェアのサポートや更新には概して無関心です。スマートフォンのモデルはすぐに廃れてしまうため、旧式のデバイスのソフトウェアを更新しても回収の見込みのないコストがかさむことがその理由です。メーカー側が適切な措置をとり、デバイスの更新インストールが可能になることをユーザーは望んでいます。このような状況下でセキュリティについて真剣に議論することは可能なのでしょうか。

Google は、Android デバイスへのアプリケーションのリモートインストールと削除を可能にしています。これは、マルウェア感染したデバイスからマルウェアを除去する際に非常に役立ちます。しかしながら、Android Market においてトロイの木馬が仕込まれたアプリが発見されたことから、このシステムに関していくつかの懸念事項が浮上してきました。

1 番目の懸念は、いったん管理者権限を取得したトロイの木馬は、スマートフォン内に留まり、同じ管理者権限を持つアプリケーションでしか削除できない点です。Google は感染デバイスからトロイの木馬を削除するために、同様の管理者権限を持つ専用のプログラムをリリースしなければなりませんでした。

2 番目の懸念は、モバイルマルウェアの開発が進むと、犯罪者達が PC 上で Windows Update 機能を無効にしたように、リモート管理機能を無効にする技術をトロイの木馬に実装する可能性です。

3 番目の懸念は、現在のシステムは、感染デバイスからトロイの木馬を削除する機能を持つものの、感染を防ぐことはできない点です。トロイの木馬が金銭や重要なデータの詐取に使用されれば、たとえそれを駆除しても被害を回復させることはできません。

Android OS にまつわる全体的な状況は、現在の Windows の状況に近づいています。

  • 脆弱性に対するパッチが適用されていない旧ソフトウェアバージョンの Android デバイスが多数存在している
  • 大多数のユーザーは、アプリケーションのインストール時や初回起動時に表示されるセキュリティ上の警告を無視している
  • Windows の場合、管理者権限を持つユーザーが設定されているコンピューターのマルウェア感染率が最も高いのと同様に、ジェイルブレイクされた Android システムの感染リスクが最も高い
  • モバイルマルウェアは、Windows 向けマルウェアで広く使用されている「コマンドコントロールセンター」を経由する方法でその所有者と通信する。このため最終的にはモバイルボットネットが出現することが予想される
  • Android Market を経由する方法を使わずに、Android デバイスにアプリケーションをインストールできるため、アプリケーション制御システムが回避されてしまう

2007 年以来、アンチウイルスデータベースに新たに登録されるモバイルマルウェアの数は、毎年ほぼ 2 倍ずつ増加しています。


アンチウイルスデータベースに追加された新規モバイルマルウェアのシグネチャー件数

今年の第 1 四半期の統計から、2011 年に検知されるモバイルデバイス向けマルウェアの数も、2010 年の 2 倍以上となることが予測されます。

モバイルマルウェアに関する状況は特に気がかりです。モバイル機器にはすでに大量の重要データが保存されているばかりか、近い将来にはスマートフォンも電子マネー機能に広く対応していくと見られているためです。さらに、会社員が個人所有のモバイル機器を仕事用に使用する、いわゆる「コンシューマライゼーション」と呼ばれるスタイルが増加しているため、企業にとって個人のスマートフォンからの情報漏えいが非常に頭の痛い問題となりつつあります。

目標を定めた攻撃

本セクションで説明する事件は、2010 年にはすでに始まっていました。2010 年の年末にかけて、「アノニマス」と名乗るグループが、ウィキリークスのプロジェクトに関連する資金の取り扱いを拒否したことに対する報復として、マスターカード、Visa および Paypal の Web サイトに DDoS 攻撃を行ったとの犯行声明を出しました。人々は、アノニマスの正体について詮索しました。2011 年初めに、IT セキュリティベンダーの HBGary 社は、攻撃の黒幕が何物かを知っていると発表しました。しかし、その数日後には HBGary 社自体が攻撃を受けることとなりました。

2011 年の第 1 四半期には、複数の企業に対する攻撃が目立ちました。HBGary への攻撃の他にも、RSA、BMI、Lush、Play.com および wiki.php.net などのサイトがハッキングされました。これらの攻撃が成功したことで、サイバー犯罪者たちはユーザー ID を含むさまざまなデータを手に入れましたが、すぐにこれらを悪用して稼ぐことはできず、ハッカー達の興味を集めただけに終わりました。

大企業のサーバーを侵害することは、2、3 年前のハッカーにとっては偉業とも言えることでした。しかし残念なことに、今ではすっかりありふれた事件になりました。さまざまな兆候を見ると、プロのサイバー犯罪者の一部は、多数の家庭用 PC を感染させることから大企業に対するハッキングに目標を変更することで大儲けしたことが分かります。ホームユーザーとは異なり、大企業は報復を仕掛けてくる恐れがあるため、攻撃者にとっては高リスクです。それでも企業を標的にした攻撃に対する見返りは大きく、また、ブラックマーケットの中でもこの領域には競合相手が少ないというメリットがあります。

IT セキュリティベンダーがこれほど多くの攻撃の対象となっていることは憂慮すべきことです。これらの会社は、膨大な数の顧客を持つため、もし攻撃が成功すれば、世界のあらゆる場所にいる大勢のユーザーが所有する電子マネーへの鍵を受け渡すことになりかねません。

IT セキュリティ会社のサーバーに侵入することは、技術的な観点から見ても非常に困難です。HBGary のケースでは、ハッカーは最も重要度が低く、そのため最も保護が手薄なテクニカルサポートチームのサーバーを攻撃してこの企業のネットワークに侵入しました。このサーバーの管理者がたまたまこの会社の CEO であったため、ハッカーは侵入したサーバー上の彼のログイン名とパスワードを入手し、その後さまざまなデータにアクセスしました。HBGary の得意先には大手の金融機関や政府組織が含まれていたため、盗まれたデータは非常に重要なものでした。一般的なサイバー犯罪者であれば、即刻ブラックマーケットでそれらのデータを売り飛ばそうとしたでしょう。しかし、彼らは月並みな手段を選ぶことはせず、代わりに膨大な量の個人情報を公開しました。攻撃者の主目的は、ハッキングのニュースを流してこの企業の評判を傷つけることにあったのです。

セキュリティプロバイダーである RSA への攻撃の際には、人的要因が大きく影響しました。ハッカーは、「2011 Recruitment Plan.xls」というファイル名をつけた悪意のある Excel ファイルを社員宛てに送信し、少なくとも 1 人がこのファイルを開くことを期待しました。その思惑通りに、1 人の社員がゼロデイエクスプロイトが仕込まれたその悪性ファイルを開きました。この攻撃により、この社員のコンピューターが制御可能になり、企業ネットワークの強力なプロテクションを突破しました。この事例は、企業の社員が IT セキュリティチェーンにおける最も脆弱なリンクであることを改めて示しています。リンクを強化する主な対策は、IT スタッフにとどまらず、一般の社員も対象としたトレーニングです。企業におけるプロテクション技術がいかに優れていようと、またセキュリティポリシーの完成度がいかに高くても、全社員が IT セキュリティの基本ルールを理解し、これを守らなければ、確実に保護されたシステムを構築することは不可能です。

2011 年の第 1 四半期には、カナダ、フランス、韓国の政府機関がハッカー攻撃を受けました。民間企業への攻撃は、金銭的な動機付けのもとに行われることが多いものの、政府機関への攻撃の意図は定かではありません。カナダとフランスのケースで狙われたのは機密文書でした。韓国では政府の Twitter および YouTube アカウントが攻撃されました。アノニマスが HBGary を攻撃したケースでは、犯罪者達の動機は利欲以外のものでした。組織や政府機関が下した特定の決断に対する抗議の意思に駆り立てられての行動でした。私達の暮らしに不可欠なものとなったインターネットは、世界をまたにかけた情報の源であるだけでなく、今や政治紛争の舞台となりました。

SCADA−これは単なる序章なのか

2011 年 3 月 21 日、Siemens、Iconics、7-Technologies、DATAC などのベンダーの SCADA システムの脆弱性情報 24 件が、セキュリティ情報サイト seclists.org に掲載されました。

Stuxnet の件が広く知られたことで、SCADA システムの脆弱性に対するセキュリティベンダーの関心が高まっています。SCADA は、産業施設、発電所、信号機システムなど、私達の日々の暮らしに不可欠な設備の運転制御を行うシステムです。このような設備が外的な力によって操られれば、何百万もの人々に脅威をもたらすことになります。

SCADA のソフトウェアは、基本的には通常のプログラムと何ら変わりないものです。一般的なプログラム言語で記述され、多くの場合は通信ネットワークで広く利用されるプロトコルが使用されています。SCADA のプログラムもまた、明らかにバグの主原因である人間の手によって作成されています。そのため、一般的なプログラムに見られるようなエラーが SCADA のソフトウェアにも多数存在し、それらのシステム向けのエクスプロイトの出現も日常茶飯事となっています。

施設の設立時に SCADA システムを構築して以来、ほとんどアップデートが行われていないシステムが世界には数多く存在します。パッチテストを行うために産業施設のクローン環境を構築できる余裕のある企業は滅多にないため、このようなシステムのアップデートは意外と実行しにくいのです。

SCADA システム向けのエクスプロイトパックがすでにネット上で販売されているのにもかかわらず、3 月末に公開された脆弱性の一部にはまだパッチが適用されていない点に注目すべきでしょう。

デジタルへの不信感?

ファイルソース、ネットバンキング、オンラインショッピングやメールなどの通信サービスが安全に利用できるという「デジタルへの信頼感」という概念は、デジタル署名の照合メカニズムにおける整合性と、デジタル証明書の発行会社への信頼を中心として成り立っています。

残念なことに、2011 年にはデジタル証明書が IT セキュリティ上の主問題となるだろうという我々の予測は現実化しつつあります。マイクロソフトは 3 月末に、Comodo の名のもとに 9 件の偽の証明書が発行されたと発表しました。Comodo の証明書は Windows および Mac OS X のすべてのバージョンにおいてデフォルトで信頼されています。偽の証明書を悪用することにより、サイバー犯罪者達は、フィッシング攻撃や、Web コンテンツのスプーフィング、中間者攻撃を実行できます。

Comodo は同社のパートナー会社 2 社のアカウントが侵害され、不正な証明書の発行に至ったと説明しました。この事件はまた別の問題を浮き彫りにしました。証明書発行の権限は信頼できる発行元の代わりに第三者機関に委譲することができるため、ユーザーは信頼できる発行元自体だけでなくそのパートナー会社も信用しなければいけなくなります。

これらの偽の証明書は、金融機関向けではなく、数百万人ものユーザーが利用する Google、Gmail、Microsoft Live Mail、Yahoo!、Skype、Mozilla アドオンといったサービスを提供する大企業の Web サイト向けに発行されました。これは、何よりもまず金銭、つまり金融機関に興味を持っていた旧世代のハッカーとは異なる傾向です。不正な証明書を利用した攻撃の目的は、金銭の獲得ではなく、膨大な数のインターネットユーザーの ID の詐取でした。このことは、我々がセキュリティ報告書で紹介した新種のサイバー犯罪者の概念と一致しています。

興味深いことに、Comodo はパートナー会社へのハッカー攻撃は、イランから行われたと説明しています。偽の証明書が最初に使用されたサイトもまたイランのものでした。後日、独学のイラン人ハッカーと自称する人物がシステムに侵入したのは自分であると主張し、これを証明するためにプライベートキーの一部を発行して公開しました。しかし、この攻撃は非常に綿密に練られており独学のハッカーが一人で実行できるものではないため、プロの犯行であることは明らかです。さらに、あっさりと犯行声明を出したハッカーが本物かどうかは、今のところ結論が出ていません。このイラン人の行動は、真犯人から注目をそらすための秘密工作である可能性も否定できません。

Rustock は崩壊するもオーナーは野放しに

3 月中旬、ボットネット Rustock がスパム送信を停止しました。これは、マイクロソフトと米国当局による共同作戦により、ボットネットのコマンドセンターを摘発した結果でした。この後、世界に流通するスパムの総数が 15% 減少しました(参照:http://www.viruslistjp.com/analysis/?pubid=204792131)。

Rustock は特定のアドレスを持つコマンドセンター経由で制御されるボットネットであり、そのアドレスはボット内にハードコードされていました。ボットネットのコマンドサーバーが閉鎖されると、ボットネットの所有者は感染マシンを制御できなくなりました。犯罪者がボットネットを構成するコンピューターを再び制御可能にするには、それらを再び感染させるしか方法がありません。しかし、このことは Rustock の完全な撤退を意味するものでもありません。

ボットはスパムの送信という唯一の目的の元で作成されています。そのため、コンピューター上で自らの存在を隠し、ボットネットの所有者からコマンドを受信し、数百件もの迷惑メールを送信するといった最低限の機能しか備えていません。Rustock ボットネットには自己増殖機能を持たず、ゾンビネットワークは、他のボットネットを利用して作成されていました。感染コンピューターの大半には、マルウェア Trojan-Downloader.Win32.Harnig がインストールされ、スパムボット Rustock をダウンロードしインストールするよう仕向けました。Rustock をホストしたコンピューターの大半は、アンチウイルスソリューション非搭載、かつパッチ非適用で稼働中の Windows XP マシンでした。世界中には数百万、または数千万台もそのようなコンピューターが存在しています。Rustock の所有者が罪を逃れたということは、似たような別のボットネットを作成できるということです。それも、一度閉鎖されたゾンビネットワークを構成していたマシンを再び利用することも考えられます。

サイバー犯罪者達は、古いボットネットが閉鎖された直後に積極的に新しいボットネットを作成しようとはしませんでした。Kaspersky Lab のデータによると、3 月 16 日から月末までの 2 週間の間には、ユーザーのマシンに Rustock をインストールする新しいダウンローダーは検知されていません。

GPCode の被害

第 1 四半期の終盤には、非常に危険なトロイの木馬型ランサムウェアの GPCode の変種による攻撃が目立ちました。このマルウェアは感染させたコンピューター上のデータを暗号化し、復号化するために金銭を要求するものです。

暗号化を行うトロイの木馬の新種が初めて検知されたのは 2010 年の暮れでした。暗号化したファイルのオリジナルを削除する以前のタイプとは異なり、GPCode の新種は暗号化したデータでオリジナルファイルを上書きします。削除されたオリジナルファイルは専用のソフトウェアで復元できますが、上書きされたファイルは秘密鍵がなければ復元できません。GPCode の新種は 256 bit 鍵の AES や 1024 bit 鍵の RSA といった強力な暗号化アルゴリズムを使用するため、事態はさらに複雑です。現在のところ、これらのアルゴリズムで暗号化されたデータを、攻撃を受けたマシンに唯一残された暗号化後のデータのみを使って常識的な時間内に復号化することは不可能です。

サイバー犯罪者達は、ユーザーのマシンを感染させる手段としてドライブバイダウンロードを採用し、ブラックハット SEO の手法を用いてユーザーを感染サイトにおびき寄せました。料理に関連した検索ワードで検索したユーザーが、悪質な Web サイトの罠にはまるケースが発生しました。この種の攻撃に使用されたすべてのサイトは、am.ae、cx.cc、gv.vg などのドメインの無料のホスティングサービスを使用していました。彼らの意図を隠すため、「delicate-grill.ae.am」「generalcook.gv.vg」「warmblueberry.cx.cc」「full-bread.ae.am」といった食品を連想させるドメイン名が登録されていました。

当初このトロイの木馬の被害は、ヨーロッパと旧ソビエト諸国で発生していました。その後、ドイツ、ロシア、ポーランド、フランス、オランダ、カザフスタン、ウクライナやその他の多くの国でも感染が報告されました。犯罪者は、データの身代金をこれらのすべての国で利用できる Ukash という電子マネーシステムで支払うよう要求しました。

この攻撃はホームユーザーを標的とし、わずか 2、3 時間の間に実行されました。最新のアンチマルウェア技術なしでは、このような短時間内にシグネチャーを作成してユーザーのマシンに配布することは不可能です。カスペルスキー製品のユーザーには、クラウドベースの UDS(緊急検知システム)シグネチャーによるプロテクションが速やかに提供されたことを述べておきましょう。

この短い配布期間は、GPCode の作者が大規模感染を企ててはいなかったことを意味しています。大規模感染が発生すれば、各国の関係当局が犯人探しに躍起になるという、明らかに犯人が望まない事態に発展するためでしょう。このことから、今後の暗号化を行うトロイの木馬による攻撃も、比較的小規模なものになることが予想されます。

統計情報

世界中のユーザーのコンピューターにインストールされたカスペルスキー製品の多様なアンチマルウェアモジュールが記録した統計情報の一部を以下に紹介します。このレポートで取り上げるすべての統計情報は、Kaspersky Security Network(KSN)に同意し、ご参加いただいたユーザーの皆様から取得したものです。マルウェアの活動に関する情報は、世界 213か国にわたる数百万人ものカスペルスキー製品ユーザーの皆様にご協力いただいてグローバルに交換されています。

インターネット上の脅威

このセクションで紹介する統計情報は、カスペルスキー製品の Web アンチウイルスモジュールにより記録されたものです。このモジュールは、ウイルス感染した Web サイトからユーザーが悪性コードをダウンロードしないよう保護します。感染サイトには、サイバー犯罪者が特別に作成したサイトや、ユーザーが作成したフォーラムなどの正当なサイトがウイルス感染させられたものが含まれます。

インターネット上で検知されたオブジェクト

2011 年の第 1 四半期に遮断された攻撃の数は、254,932,299 件でした。これらの攻撃は、世界中のさまざまな国に存在する Web リソースから実行されました。

インターネット上で検知された悪性オブジェクトトップ 20

順位 オブジェクト名 全攻撃に対する割合(%)*
1 Blocked 66.16%
2 Trojan,Script,Iframer 20.43%
3 Exploit,Script,Generic 14.68%
4 Trojan,Win32,Generic 9.59%
5 Trojan,Script,Generic 8.91%
6 Trojan-Downloader,Script,Generic 8.12%
7 AdWare,Win32,HotBar,dh 3.40%
8 AdWare,Win32,FunWeb,gq 3.26%
9 Trojan,HTML,Iframe,dl 2.16%
10 Exploit,JS,Pdfka,ddt 1.82%
11 Exploit,HTML,CVE-2010-1885,ad 1.73%
12 Hoax,Win32,ArchSMS,pxm 1.59%
13 Trojan,JS,Popupper,aw 1.57%
14 Hoax,Win32,ArchSMS,heur 1.57%
15 Trojan-Downloader,Win32,Generic 1.56%
16 Trojan-Downloader,Java,OpenConnection,cx 1.55%
17 Trojan-Downloader,Java,OpenConnection,cg 1.33%
18 Exploit,HTML,CVE-2010-1885,aa 1.33%
19 Trojan-Downloader,HTML,Agent,sl 1.24%
20 Trojan-Downloader,Java,OpenConnection,cf 1.15%

この統計情報は、統計データの提供に同意されたカスペルスキー製品ユーザーの ウェブアンチウイルス機能によるマルウェア検知結果をまとめたものです。
* 各ユーザーのコンピューター上で記録された Web 攻撃の総数に対する割合

インターネット上で検知された悪性オブジェクトの大半は、ブラックリストに登録されたリンクで、検知されたすべてのオブジェクトの 66.16% を占めています。ブラックリストにはさまざまな種類の悪意のある Web コンテンツの URL が含まれます。このようなサイトは 2 つのカテゴリーに大別されます。1 番目のカテゴリーは、ソーシャルエンジニアリングの手法を積極的に用いて、ユーザー自身がマルウェアをインストールするように仕向けるものです。2 番目のカテゴリーは、ドライブバイダウンロードの手法でエクスプロイトをダウンロードさせ、感染コンピューターに密かにマルウェアをダウンロードして起動させるものです。

第 2 位から 6 位は、ヒューリスティック検知された各オブジェクトで占められています。ほとんどのケースにおいて、ユーザーはスクリプト系トロイの木馬やエクスプロイトによる攻撃を受けています。Trojan.Script.Iframer が 2 位に、またそれと類似する Trojan.HTML.Iframe.dl が 9 位にランクインしていることは、多くの正当な Web サイトがドライブバイ攻撃の際に隠し「iframe」タグでマスクされた悪性コードを埋め込まれていることを示しています。

7 位と 8 位には、アドウェアの HotBar.dh と FunWeb.gq がランクインしました。この種のアドウェアは、次の 4か国で頻発しています。米国(HotBar.dh と FunWeb.gq 合計件数の 28%)、中国(同 14%)、インド(同 6%)、英国(同 4%)。

昨年末に最も頻繁に攻撃に利用されたのは、Trojan-Downloader.Java.OpenConnection ファミリーのトロイの木馬でした。しかし、2011 年第 1 四半期には、これらはトップ 20 の下位に位置しています。この種のトロイの木馬は、Java Runtime Environment(JRE)の脆弱性を悪用して仮想化環境をすり抜けて Java システムの関数呼び出しを可能にします。Version 6 Update 18 以下の JRE を使用するすべてのソフトウェアには脆弱性が存在します。インタープリタ型言語ではエクスプロイトに対抗するための多くの機能が採用されているため、エクスプロイトはこのような言語で書かれたプログラムよりも仮想マシンを狙って攻撃します。

注目すべきは 12 位と 14 位に Hoax.Win32.ArchSMS として検知されたプログラムがランクインしていることです。これらはアーカイブであり、ユーザーはこれらを解凍するために有料の番号に SMS メッセージを送信するよう要求されます。この種の悪質なプログラムの大半はロシア語圏のネット上で検知されています。

マルウェアのホスト国

マルウェアを含む Web リソースは、事実上世界中のどの国にも存在しています。2011 年第 1 四半期には、マルウェアのホスティングに使用されたすべての Web リソースのうちの 89% が、以下の 10か国で検知されました。


マルウェアをホストする Web リソースの国別分布:2011 年第 1 四半期

マルウェア拡散サイトが検知された国ランキングのトップは依然として米国です。米国では悪性コンテンツの大半が、攻撃を受けた正当なサイトに存在しています。2011 年の 1 月から 3 月の間に、米国のマルウェアホストサイトの割合は 1.7 ポイント増加しました。

マルウェアホストサイトが劇的に増加した国は、3.5 ポイント増加したロシアと 2 ポイント増加した英国で、それぞれ 2 位と 7 位にランクインしています。

中国のマルウェアホストサイトは 2010 年に引き続き減少傾向にあります。中国からの攻撃件数は、2010 年第 4 四半期から 3.33 ポイント減少しました。ドイツにおける悪性コンテンツをホストするサーバーの数も、Web 上の大掛かりな一掃作戦が実行された結果減少しました。

Web 感染リスクの高い国

世界各国のユーザーのコンピューターが Web 経由で感染するリスクを評価するために、ウェブアンチウイルス機能が各国のユーザーマシン上でマルウェアを検知した件数を分析しました。

ユーザーのコンピューターが Web 経由で感染するリスクが高い国トップ 10


順位 国名 * カスペルスキー製品搭載マシンの合計に対する
攻撃されたコンピューターの割合 **
1 ロシア連邦 49.63%
2 オマーン 49.57%
3 イラク 45.65%
4 ベラルーシ 43.84%
5 アルメニア 42.42%
6 アゼルバイジャン 42.15%
7 カザフキスタン 40.43%
8 サウジアラビア 39.99%
9 ウクライナ 39.99%
10 スーダン 38.87%

* カスペルスキー製品のユーザー数が 1 万人未満の国は、本統計に含まれていません。

** その国のカスペルスキー製品ユーザーの総数に対する Web 経由の攻撃を受けたユーザーの割合。

2011 年第 1 四半期に、最も Web 感染リスクが高かったのは、ロシアとオマーンの KSN ユーザーでした。これらの国ではこの 3か月の間に、2 台中ほぼ 1 台のマシン(49%)が Web 経由の攻撃対象となりました。ただし、それぞれの国での脅威の性質は全く異なるものでした。オマーンでは、既存のゾンビネットワークをさらに拡大させることが感染の主目的であり、ロシアではボットネットと同時に詐欺的なプログラムが急増しています。

すべての国を次のいずれかのグループに分類しています。

  1. 高リスク国:リスク指標が 41〜60% の国。ロシア、オマーン、イラク、ベラルーシ、アルメニア、アゼルバイジャン、カザフスタンの 7か国がこのグループに分類されます。
  2. 平均的なリスク国:リスク指標が 21〜40% の国。合計 87か国がこのグループに分類されます。
  3. Web の安全利用が可能な国:リスク指標が 13〜20% の国。2011 年第 1 四半期には、33か国がこのグループに分類されています。ネットサーフィン中のコンピューター攻撃率が最も低い国は、日本、ドイツ、セルビア、チェコ共和国、ルクセンブルグです。

ローカルの脅威

このセクションで紹介するすべての統計情報はカスペルスキー製品内のオンアクセススキャナーによって取得されています。

ユーザーのコンピューター上で検知された悪性オブジェクト

2011 年第 1 四半期に、カスペルスキーのソリューションは、KSN に接続するコンピューターに対する 412,790,509 件ものローカル攻撃の遮断に成功しました。

合計で、1,987,044 件の悪性または好ましくないプログラムが検知されました。この数字には、Web やメールまたはネットワークポートを経由して受信したオブジェクトよりも、ローカルネットワークまたはリムーバブルメディアを経由してコンピューターを感染させたオブジェクトが多く含まれています。

ユーザーコンピューター上で検知された悪性オブジェクトトップ 20


順位 オブジェクト名 マルウェア検知の合計に対する
各オブジェクト検知の割合(%)*
1 DangerousObject.Multi.Generic 29.59%
2 Trojan.Win32.Generic 24.70%
3 Net-Worm.Win32.Kido.ir 14.72%
4 Virus.Win32.Sality.aa 6.43%
5 Virus.Win32.Sality.bh 4.70%
6 Net-Worm.Win32.Kido.ih 4.68%
7 Hoax.Win32.Screensaver.b 4.48%
8 HackTool.Win32.Kiser.zv 4.43%
9 Hoax.Win32.ArchSMS.heur 4.08%
10 Worm.Win32.Generic 3.36%
11 Trojan.JS.Agent.bhr 3.32%
12 AdWare.Win32.HotBar.dh 3.28%
13 Packed.Win32.Katusha.o 2.99%
14 Hoax.Win32.ArchSMS.pxm 2.91%
15 Trojan.Script.Iframer 2.80%
16 Worm.Win32.FlyStudio.cu 2.74%
17 HackTool.Win32.Kiser.il 2.50%
18 Trojan-Downloader.Win32.Geral.cnh 2.11%
19 Trojan-Downloader.Win32.VB.eql 2.04%
20 Trojan.Win32.Starter.yy 1.95%

この統計情報は、統計データの提供に同意されたカスペルスキー製品のユーザーのアンチウイルス機能によりマルウェア検知結果をまとめたものです。
* コンピューター上でマルウェアが検知されたカスペルスキー製品ユーザーの総数のうち、アンチウイルス機能により各オブジェクトが検知されたユーザーの割合。

ランキング上位には、クラウドベースの技術の採用により検知された各種マルウェアがランクインしています。これらの技術は、マルウェアが流通し始めたばかりでアンチウイルスデータベースにシグネチャーが存在せず、ヒューリスティック分析ツールも存在しないために検知ができない場面で役立ちます。このような場合でも、クラウド内にこのマルウェアの情報が存在している可能性があります。この場合、マルウェアは、DangerousObject.Multi.Generic といった形式の名前を与えられます。

3 位から 6 位にランクインした Net-Worm.Win32.Kido および Virus.Win32.Sality の変種は馴染み深く、長期間姿を見せていました。これらのマルウェアは、有効な拡散方法を用いて、その登場から長期にわたって広がり続けます。現在の状況から見て、これらのマルウェアは、今後もしばらく最も拡大したマルウェアリストの上位に君臨することが予想されます。

先に述べた、Hoax.Win32.ArchSMS として検知された詐欺プログラムが、9 位と 14 位にランクインしています。これらは Web 脅威トップ 20 にも登場しています(上記セクション「インターネット上で検知されたオブジェクト」を参照)。

ローカル感染リスクの高い国

我々は各国におけるローカル感染を遮断した KSN ユーザーの割合を計算しました。それぞれの国における感染したコンピューターの割合を次に示します。

感染したコンピューターが存在する国トップ 10


順位 国名 * 感染コンピューターの
割合(%)**
1 スーダン 69.86%
2 バングラデシュ 64.33%
3 イラク 62.15%
4 ルワンダ 57.28%
5 ネパール 55.85%
6 タンザニア 55.11%
7 アフガニスタン 54.78%
8 アンゴラ 53.63%
9 ウガンダ 53.48%
10 オマーン 53.16%

* カスペルスキー製品のユーザー数が 1 万人未満の国は、本統計に含まれていません。

** その国のカスペルスキー製品ユーザーの総数のうち、ローカル攻撃を遮断した個人ユーザーの割合。

最も高いローカル感染のリスクにさらされている国トップ 10 は、アジアとアフリカ諸国で占められています。これらの国では、IT の浸透が飛躍的に進んでいますが、残念なことにセキュリティに対する認識が進んでいないため、すべてのコンピューターの 50% 以上という高い感染率を招いています。第 1 位のスーダンでは、KSN に接続するコンピューターの実に 3 分の 2 でマルウェアが検知されました。ちなみに、スーダンはインターネット経由の感染率が高い国ランキングでも 10 位になっています。

ローカル感染については、その感染率に応じて、以下のグループに分類できます。

  1. 感染リスクが最高レベルのグループ。60% 以上のコンピューターがローカル感染。スーダン、バングラデシュ、イラクが含まれる。
  2. 感染リスクが高レベルのグループ。41〜60% のコンピューターがローカル感染。インド、インドネシア、フィリピン、タイ、ロシア、ウクライナ、カザフスタンなど 48か国がこれに該当。
  3. 感染リスクが中レベルのグループ。21〜40% のコンピューターがローカル感染。中国、ブラジル、エクアドル、アルゼンチン、トルコ、スペイン、ポルトガル、ポーランドなど 55か国がこれに該当。
  4. 感染リスクが低レベルのグループ。24か国が該当。

以下の国は、ローカル感染に関して安全であると見られています:


順位 国名 コンピューターがローカル感染した
ユーザーの割合(%)
1 日本 6.3%
2 ドイツ 9.2%
3 スイス 9.6%
4 ルクセンブルグ 10.2%
5 デンマーク 11.1%

興味深いことに、2 番目と 3 番目のグループはほぼ開発途上国で占められ、4 番目のグループはオーストラリア、英国、ドイツ、米国、フランス、日本といった先進国で占められています。

脆弱性

2011 年第 1 四半期には、28,752,203 件もの脆弱性のあるアプリケーションおよびファイルが検知されました。

ユーザーのコンピューター上で検知された脆弱性トップ 10 を以下に示します。


Secunia ID-
脆弱性に
固有の ID
脆弱性の
名称と説明への
リンク
脆弱性を悪用する
サイバー犯罪者に
もたらす利益
コンピューター上で
脆弱性が
検知された
ユーザーの割合
公開日ランク
1 SA 41340 Adobe Reader / Acrobat SING "uniqueName" Buffer Overflow Vulnerability - システムにアクセスし、ローカルユーザー権限で任意のコードを実行 40.78% 2010-09-08 極めて重大
2 SA 41917 Adobe Flash Player Multiple Vulnerabilities - システムにアクセスし、ローカルユーザー権限で任意のコードを実行
- 機密情報の公開
- セキュリティシステムの回避
31.32% 2010-10-28 極めて重大
3 SA 35377 Adobe Flash Player Multiple Vulnerabilities - システムにアクセスし、ローカルユーザー権限で任意のコードを実行 24.23% 2011-02-09 非常に重大
4 SA 38547 Sun Java JDK / JRE / SDK Multiple Vulnerabilities - システムにアクセスし、ローカルユーザー権限で任意のコードを実行
- DoS 攻撃
- 機密情報の公開
- データの操作
23.71% 2011-02-09 非常に重大
5 SA 31744 Sun Java JDK / JRE / SDK Multiple Vulnerabilities - システムにアクセスし、ローカルユーザー権限で任意のコードを実行
- DoS 攻撃
- 機密情報の公開
- データの操作
- セキュリティシステムの回避
21.62% 2010-10-13 非常に重大
6 SA 34572 Apple QuickTime Multiple Vulnerabilities - システムにアクセスし、ローカルユーザー権限で任意のコードを実行
- 機密情報の公開
- データの操作
12.16% 2010-11-11 非常に重大
7 SA 39272 Winamp MIDI Timestamp Parsing Buffer Overflow Vulnerability - システムにアクセスし、ローカルユーザー権限で任意のコードを実行 9.40% 2010-12-07 非常に重大
8 SA 29320 Microsoft Office OneNote URI Handling Vulnerability - システムにアクセスし、ローカルユーザー権限で任意のコードを実行 9.05% 2007-01-09 非常に重大
9 SA 39375 Adobe Shockwave Player Multiple Vulnerabilities - システムにアクセスし、ローカルユーザー権限で任意のコードを実行 8.78% 2010-11-03 非常に重大
10 SA 37690 Adobe Reader / Acrobat Multiple Vulnerabilities - システムにアクセスし、ローカルユーザー権限で任意のコードを実行
- XSS
8.18% 2010-04-14 非常に重大

2010 年には、リストの大部分はマイクロソフト製品の脆弱性で占められていました。しかし、2011 年第 1 四半期には、マイクロソフト関連は第 8 位の脆弱性のみでした。Adobe 製品関連の脆弱性は、1 位と 2 位を含むトップ 10 圏内の半分を占めています。4 位と 5 位には Java 仮想マシンの脆弱性がランクインしています。また、人気の高いメディアプレイヤーである Apple QuickTime および Winamp が 6 位と 7 位に入っています。

トップ 10 のすべての脆弱性は、システムレベルでコンピューターの制御を可能にするものです。このため、犯罪者にとっての他の利点はさほど重要でないように思われます。

まとめ

2011 年第 1 四半期には、さまざまな組織を狙った攻撃が大流行しました。企業のサーバーへのアクセスを無期限に遮断する従来の DDoS 攻撃に加えて、情報の詐取を目的として企業サーバーに不正アクセスを試みる者も多数出現しました。このような攻撃は、次の 2 種類に大別できます。

第 1 のグループは、企業のサーバーからデータを盗み、それを第三者に売るために実行される攻撃です。攻撃の結果、犯罪者は狙った企業の顧客に関する個人情報を入手することに留意が必要です。このデータは後日、盗難されたデータの所有者が勤務する企業を攻撃する際に利用される可能性があります。

第 2 のグループは、抗議行動としての攻撃です。この種の攻撃は、金銭の取得を目的とするものではなく、標的とした企業の評判を傷付け、対外的なイメージを破壊するという唯一の目的のために実行されます。

KSN に属するコンピューターから収集された統計情報では、開発途上国においてローカル感染と Web 感染の両方のリスクが高いことが示されています。ローカル感染については、感染リスクが最高レベルと高レベルのグループは、開発途上国のみで構成されています。感染リスクが最高レベルの国では、カスペルスキー製品がインストールされているすべてのコンピューターのうち 60% 以上がローカル攻撃を遮断し、高レベルリスクのグループでは、40〜60% を遮断しています。IT の浸透が目覚ましいこれらの国でも、IT セキュリティへの認識は追いついていないようです。しかし、TDSS、Sinowal、Zbot といった、最も高度なトロイの木馬プログラムは、米国やドイツ、英国、イタリア、フランス、スペインなどの先進国のユーザーを主な標的としています。サイバー犯罪者達の本当の狙いは、先進国に住むユーザーの電子マネーなのです。

マーケット分析を行う IDC 社のデータによると、スマートフォンの販売は、PC の販売をすでに上回っています。モバイル市場における Android OS の人気が高まるにつれ、PC の世界と同様の状況が発生することが考えられます。将来的に Android OS が優勢になることを考慮して、サイバー犯罪者による開発は、さまざまなプラットフォーム向けに分散させるよりも、むしろ Android プラットフォームに集中する可能性があります。そのほうがより多くのモバイルデバイスを感染させることができるためです。

個人所有のスマートフォンが、勤務する会社の重要な情報の保存や送信に使われるケースが増えているため、現在モバイルデバイスの保護は非常に困難です。また、社員はスマートフォンに保存するデータを保護する重要性を軽視する傾向にあります。

ソーシャルネットワーク、ブログ、Torrent、YouTube、Twitter などの人気の高まりとともに、デジタル社会を取り巻く環境もまた変化しています。これらのサービスは世界各地のユーザー間でのデータ交換を迅速かつ簡単にします。ユーザーのブログに投稿された記事が、公式メディアの記事と同様の信用を得る場面も多々あります。犯罪者達はすでにこれらの人気のあるリソースに目をつけており、将来的には、これらのサービスを狙った攻撃、または経由した攻撃の件数は間違いなく増加するでしょう。

ニュースソース:
Kaspersky Labs Japan
関連リンク
分析
スパムレポート:2011 年 3 月
2010 年の結果と 2011 年の予測
MBR 感染型ランサムウェアの出現
GpCode に酷似したランサムウェアを検知
 

Copyright © 1996 - 2014
Kaspersky Labs Japan
All rights reserved

Email:
  お問い合わせはこちら
  新しいウイルスはこちら