Kaspersky Lab のエキスパートは、ユーザーの PC 上およびインターネット上における悪意のある活動に関する月次レポートを発表いたします。

9 月の統計 - 9 月にカスペルスキー製品ユーザーの PC 上で検知され収集されたデータは以下のとおりです：

• ネットワーク攻撃が阻止された回数：213,602,142
• Web サイト経由での感染の試行回数：80,774,804
• ユーザーの PC 上で検知・駆除されたマルウェア数：263,437,090
• ヒューリスティック検知数：91,767,702

サイバー犯罪者が仕掛ける新しい策略の数々

BIOS への感染：新たなる未知の領域か

9 月には、BIOS への感染能力を持つトロイの木馬プログラムをアンチウイルスベンダー数社のアナリストが発見しました。これは、今後のマルウェアおよびアンチウイルス技術の開発に影響を与えることになると思われます。

コンピューターの電源を入れた直後に BIOS からマルウェアを起動すれば、コンピューターのブートシーケンスやOSを完全に制御することができます。このレベルでの悪性コードのインジェクションは1998 年に初めて発見されました。そのCIH ウイルスは、BIOS プログラムを書き換える能力を持っていたものの、その攻撃はBIOS を破壊してコンピューターを再起動不能に陥れることに留まり、システムの制御には至りませんでした。

このウイルスは間違いなくウイルス作者達の関心を集めることになりますが、そのプロセスは複雑です。主に難関となるのが非標準的な BIOS フォーマットです。マルウェア作者は、あらゆるベンダー製の BIOS に対応し、ROM 上のそれぞれのファームウェアアルゴリズムを操る必要があります。

9 月に検知されたあるルートキットは、Award 製の BIOS への感染を目的としており、中国で作成されたと見られています。そのトロイの木馬コードは明らかに未完成であり、デバッグ情報を含むものでしたが、我々はその機能と仕組みを割り出すことに成功しました。

このルートキットには主に 2 つの機能があり、その主な動作は MBR で実行されるコード内に確認することができます。BIOS に挿入されたコードの唯一のタスクは感染させた MBR コードのバックアップが MBR 内に存在することを確認し、確認できない場合には感染を復元させることです。感染させたブートレコードと対応するセクターは同一の ISA ROM モジュール内にあるため、不一致を検出すると、再び BIOS から MBR を直接感染させます。このようにして、MBR 内のマルウェアが駆除されても、またコンピューターを感染し続けようとします。

カスペルスキーは各種技術を駆使し、このルートキットによる感染を検出するのに成功しました。感染 BIOS の処置は可能であるかという問題がまだ残るものの、同様の機能を持つマルウェアがさらに出現すれば明らかになるでしょう。現在我々は、Rootkit.Win32.Mybios.a はコンセプトモデルであり大量配布を狙ったものではないと考えています。このマルウェア「Bioskit」については、弊社のアナリスト、ビャチェスラフ・ルサコフ（Vyacheslav Rusakov）が次の記事で詳細に分析しています。
http://www.securelist.com/en/analysis/204792193/MYBIOS_Is_BIOS_infection_a_reality（英語）

個人ユーザーを対象とした攻撃

Hlux/Kelihos ボットネットの終焉

9 月には、ボットネットとの闘いにおいて、「Hlux ボットネットの遮断」という大きな躍進がありました。カスペルスキー、Microsoft、および Kyrus Tech の 3 社の協力体制のもと、Hlux 感染マシンで構成されたネットワークの鎮圧（P2P ボットネットとしては初めて）に成功しただけでなく、cz.cc ドメインを完全閉鎖にまで追い込みました。2011 年をとおして、このドメインは、Mac OS 向けを含む偽のアンチウイルスプログラムや、バックドア、スパイウェアなどのさまざまな脅威の温床となっていました。また、多くのコマンドコントロールセンターをホストしていました。

cz.ccドメインにおける悪質サイト数の減少（ソース：Kaspersky Security Network）

この Hlux ボットネットが排除される前には、4 万台以上のコンピューターを巻き込んで1 日に数千万件ものスパムメッセージを送信し、DDoS 攻撃を行い、感染マシンにマルウェアをダウンロードさせていました。カスペルスキーはこのボットネットを 2011 年年初から追跡しており、その全コンポーネントの分析を経て Hlux の通信プロトコルを解明し、このネットワークを掌握するツールを開発しました。Microsoft は、このボットネットの作成に関与したと見られる複数の人物に対して民事訴訟を起こしました。

現在カスペルスキーはこのボットネットを制御するとともに、影響を受けたインターネットサービスプロバイダに連絡し、ユーザーマシンの感染駆除に協力しています。Microsoft のマルウェア駆除ツールには Hlux 検知機能が追加され、感染マシンの数の大幅な減少につながりました。

Hlux ボットネットの詳細と、遮断に至るまでの経緯については、カスペルスキーのアナリスト、ティルマン・ウェルナー（Tillman Werner）の以下のブログ記事で紹介されています：

http://www.securelist.com/en/blog/208193137/Botnet_Shutdown_Success_Story_How_Kaspersky_Lab_Disabled_the_Hlux_Kelihos_Botnet（英語）

ボットネットとの闘いはさらに続いており、現在でも数々のゾンビネットワークの姿が確認されています。今後も、Hlux と同様のボットネット閉鎖のニュースをお伝えすることになるでしょう。

DigiNotar への不正侵入

個人ユーザーに影響を与えた脅威として、オランダの認証局 DigiNotar へのサイバー攻撃を挙げておきましょう。実際に攻撃を受けたのはこの組織のコンピューターでしたが、ハッカーの主な目的は、ソーシャルネットワーキングや E メールサービスなど、個人ユーザーが広く利用するリソースを対象に「偽の SSL 証明書」を発行することにありました。

7 月末に行われた不正侵入で DigiNotar のシステムが操られ、Gmail、Facebook、Twitter を含むリソースを対象とした数十もの偽の証明書が作成されました。証明書の不正利用は8月に渡って続き、8 月末にイランのインターネットユーザーが被害を受けたことで初めて明るみに出ました。偽の証明書を悪用した中間者攻撃が実行され、インターネットプロバイダーが狙われたことから、そのサーバーとユーザー間の通信が筒抜けになったのです。

その後、イランの匿名ハッカーがこの攻撃への関与を表明し、その証拠を示しました。またこの人物は、別の認証局 Comodo のパートナーに対して同様の攻撃を行い複数の偽の証明書を発行した事件の張本人でもあります。

DigiNotar の事件は、数百にもおよぶ認証機関の安全性の問題を再提起するものであり、デジタル証明という概念そのものの信憑性を失わせました。これらの攻撃で明らかになったセキュリティ上の欠陥は非常に深刻であり、早急な対応が求められていることは間違いありません。また、IT セキュリティ企業、ブラウザーベンダー、さらに認証機関（組織の数は今後減らすべきでしょう）が協力して、新しい認証ツールを開発する必要があるでしょう。

Skype 経由で拡散する偽アンチウイルス製品

3 月、不用意なユーザーに偽のアンチウイルスプログラムをダウンロードさせるために、Skype の通話機能が悪用されました。Skype のコンタクトリスト以外からの着信ブロック設定を行っていないユーザーが、「ONLINE REPORT NOTICE」または「System Service」などの名前がつけられた攻撃用アカウントからの通話を受信するケースが発生しました。この通話に応答すると自動音声で、ユーザーのシステムが危険にさらされているため、ある Web サイトを見るようユーザーに告げます。サイトでは偽スキャンが行われ、セキュリティの脆弱性またはマルウェアが「検出された」と報告されます。そして、この問題を解決するために、「アンチウイルスソフト」の購入を求められるわけです。当然のことながら、このソフトウェアは、アンチウイルスらしき動作を見せるだけの代物です。

この手口は今年前半まではそれほど拡大しなかったものの、9 月には「URGENT NOTICE」なるコンタクトからの受信について Skype ユーザーから苦情が寄せられるようになりました。このメッセージは、ユーザーのコンピューターのセキュリティシステムが無効化されているという警告で、ある Web サイトにユーザーを誘い、セキュリティを復活させるために 19.95 ドルを支払うよう促します。この Web サイトのアドレスから、春に行われた攻撃と同じ犯人の仕業であることがうかがえます。

Skype でスパムをブロックするには、コンタクトリスト上のユーザーからのみ、電話、ビデオ、メッセージを受信するよう設定する必要があります。Skype で不特定多数のユーザーと通話しており、受信拒否する設定ができない場合は、Skype の管理者に問い合わせて着信をブロックする手続きをとるようにしましょう。

モバイルを狙った脅威

9 月、我々はモバイルプラットフォームを狙った新種のマルウェアを 680 種類検知し、このうちの 559 件がAndroidを対象としたものでした。ここ数ヶ月、Android向けのマルウェア総数が大きく増加し、特にバックドアの数が著しく増えています。Android向けのマルウェア 559 件のうち、182 件（32.5%）がバックドア機能を備えたマルウェアの変種でした（7 月には 46 件、8 月には少々の増加を見せ 54 件）。

モバイルデバイス向けマルウェアの多くが、インターネットを積極的に利用し、接続したリモートサーバーからコマンドを受信するようになるのは時間の問題でしょう。

SpitMo + SpyEye = mTAN コード の盗用

現在知られているモバイル向けトロイの木馬プログラムに、ZitMo と SpitMo があります。これらは銀行からオンラインバンキングのユーザーに送信される mTAN コードを含むテキストメッセージを傍受することを目的に設計されています。ZitMo は ZeuS と連携して働き、SpitMo は例の悪名高いトロイの木馬 SpyEye と連動します。感染対象のプラットフォームの数では ZitMo がリードしているものの、9 月にはSpitMoにAndroid上で動作可能なバージョンが登場しました。

SpitMo とその共犯者である SpyEye は、ZitMo - Zeus のペアとほぼ同様の働きをします。SpyEye の設定ファイルを分析すると、その標的はスペインの銀行数社の顧客であることが判明しました。SpyEye に感染したコンピューターのユーザーが銀行のページ（マルウェアに改ざんされたページ）を見ると、注意文が書かれており、mTAN コードを含むテキストメッセージを保護する重要なスマートフォン用アプリケーションをインストールするようにと指示されています。そこで実際にインストールされるのが SpitMo で、デバイスが受信するすべてのショートメッセージを、悪質なユーザー所有のリモートサーバーに送信します。このメッセージは以下の形式で送信されます。

‘?sender=[送信者アドレス]&receiver=[受信者アドレス]&text=[メッセージ本文]’

SpitMo には XML 設定ファイルが含まれ、傍受したテキストメッセージの送信方法（HTTP または SMS）が定義されています。これは目新しい機能であり、今後この機能がさらに進化を遂げた変種のマルウェアが出現することが予想されます。

QR コード経由の攻撃

9月末、我々はQR コードを使用した攻撃を初めて検出しました。近頃では、モバイルデバイス向けの新しいアプリを PC で検索するユーザーが増えています。スマートフォンにソフトウェアをインストールするために、多くの Web サイトでは QR コードをスキャンして簡単にダウンロードを開始できる方法を導入しており、わざわざ URL を手入力する手間を省いています。

どうやらサイバー犯罪者達もマルウェアのダウンロードを簡略化しようと考えたようです。我々は、モバイルアプリ（例：Jimm や Opera Mini）ダウンロード用の QR コードを含む悪質な Web サイトを発見しました。そこには、テキストメッセージを有料番号に送信する機能を持つトロイの木馬が埋め込まれていました。

10 月初旬には、サイバー犯罪者に人気のモバイルプラットフォーム、Androidと J2ME 向けのマルウェアにリンクする QR コードが検知されています。

Mac OS 向けの脅威：PDF に隠された新種のトロイの木馬

9 月末、F-Secure のアナリストが Mac OS X ユーザーを標的としたまた別の悪性コードを検出しました（カスペルスキーでは Backdoor.OSX.Imuler.a として検知）。このマルウェアはコントロールサーバーからコマンドを受信するだけでなく、感染マシンからサーバーにランダムなファイルやスクリーンショットをアップロードするものです。

RAR 形式で E メールに添付され拡散した Backdoor.OSX.Olyx.a（参考記事：「マルウェアマンスリーレポート：2011 年 6 月」）とは異なり、このマルウェアは PDF ドキュメントを装っています。

「pdf.exe」「doc.exe」といった拡張子のファイルが添付された E メールを見慣れた Windows ユーザーであれば、迷うことなく、すぐにそれらを削除するでしょう。しかし、この手口は UNIX などで見られる .exe などのファイル拡張子に慣れていない Mac ユーザーには新しいものでした。そのため、E メール経由でこのようなファイルを受信した Mac ユーザーは、PDF ファイル、画像ファイル、doc ファイルを装ったマルウェアを起動してしまう傾向が高かったのです。

興味深いことに、この攻撃では悪性コードの起動時にパスワードを求められません。悪質コードはカレントユーザーのディレクトリにインストールされ、一時フォルダーでのみ機能する仕様となっています。

国家機関および企業ネットワークへの攻撃

最近では毎月世界のどこかしらで、有名企業や国家機関を狙った攻撃が発生しています。そして 9 月もまた例外ではありませんでした。

三菱重工に対する攻撃

9 月中旬、三菱重工業に対するサイバー攻撃のニュースが明らかになりました。

日本の報道によれば、潜水艦、ロケット、および原子力関連機器の生産拠点で、約 80 台のコンピューター及びサーバーがウイルス感染したということです。悪性プログラムは、潜水艦や原子力発電所関連の製造を行う神戸造船所のコンピューター上で発見されました。また、ロケットやロケットエンジンを製造する名古屋の工場や、巡視船を製造する長崎造船所も攻撃の対象となった可能性があります。さらに、三菱重工本社でもマルウェア感染が確認されています。

カスペルスキーのアナリストは、この攻撃で使用されたマルウェアサンプルを入手しました。攻撃シナリオはよくある一般的なものでしたが、非常に綿密な計画の元で実行されていました。7 月末、三菱重工の複数の社員がサイバー犯罪者から PDF ファイルが添付された E メールを受信していたと思われます。このファイルは Adobe Reader の脆弱性を狙うエクスプロイトで、開くと悪質なコンポーネントがインストールされ、ハッカーはリモートで感染システムへのフルアクセスが可能になります。これらの感染マシンからさらに社内ネットワークに感染を拡大し、サーバーに不正アクセスして収集した情報をハッカーのサーバーに送信していました。この攻撃では、10 種類以上ものマルウェアが使用されましたが、その一部は社内のネットワーク構成を考慮に入れて設計されたものでした。

現在、具体的にどのような情報がハッカーの手に渡ったのかを知ることはできませんが、感染コンピューターに防衛上の機密情報が格納されていた可能性はあり得ます。

Lurid

Trend Micro のアナリストによる調査で、さらに重大と思われるインシデントが発覚しました。同社は、主にロシア・旧ソ連諸国・東欧の国々にまたがる 1,500 台もの感染コンピューターを制御していた数台のサーバーへのリクエストの傍受に成功しました。このインシデントは「Lurid」と名づけられました。

Trend Micro の協力により、我々もロシア国内の被害マシンのリストを分析することができました。その結果、この攻撃がある特殊な組織を対象としていることがわかりました。攻撃者の狙いは、航空宇宙産業、科学研究施設、複数の民間企業、国家組織、報道機関などでした。

Lurid は遅くとも今年の 3 月頃には発生しており、複数の国のユーザーを同時感染させてきました。三菱重工のケースと同様に、攻撃の初期段階では E メールが使用されました。Lurid により流出したデータの内容とその量についても特定は難しいものの、攻撃対象のリストが多くを物語っています。

過去の教訓に学ぶ：Nimda ワームの出現から 10 年

21 世紀初頭の最も重大なインシデントは、Nimda ワームによるものでした。10 年前、Nimda はさまざまな方法で PC やサーバーを感染させましたが、世界的まん延に至った最大の脅威は E メールへの添付によるものでした。2001 年 9 月 18 日、犯罪者たちは悪質な実行ファイルを添付したメールを送信しました。当時としては新しい手口であったため、ユーザーは疑うことなく添付プログラムを起動してしまいました。今日では、ほとんどのユーザーがスパムメッセージに添付のプログラムを起動したり、知らない相手からのメッセージ内のリンクをクリックすることの危険性を理解しています。

攻撃手段は過去 10 年で変化してきましたが、マルウェア拡散の手口としては、現在でも E メールが主流であることに変わりはありません。犯罪者たちは 10 年前より狡猾になり、一般的なドキュメント作成ソフトの脆弱性を悪用するようになりました。人々はテキストや表などを含むファイルの拡張子「.doc」「.pdf」「.xls」を見慣れているため、警戒心を抱くことがありません。

プログラムの脆弱性は日々修正されていますが、ユーザーがインストールされているソフトウェアの更新を怠れば、犯罪者に付け入られることになります。ほとんどのユーザーは知らない相手からのメッセージを警戒します。そのため、犯罪者達はまずコンピューター感染させた上で、メールサービス、ソーシャルネットワーキングサイト、インスタントメッセンジャーなどのアカウントを盗み、そのユーザーの名をかたってコンタクトリスト上の人物にメッセージを送信します。

E メールを使った攻撃は、特に組織を標的とするケースに多く見られます。

9 月の統計

インターネット上の脅威トップ 10

* ブロックされた悪意のあるURL群

マルウェア送信国トップ 10

マルウェアのホストサイトトップ 10

悪質なドメインゾーントップ 10

ユーザーコンピューターへの攻撃の割合、国別トップ 10（Web アンチウイルスによる検知率）

関連リンク

分析 マルウェアマンスリーレポート：2011 年 8 月 マルウェアマンスリーレポート：2011 年 7 月 マルウェアマンスリーレポート：2011 年 6 月 マルウェアマンスリーレポート：2011 年 5 月 マルウェアマンスリーレポート：2011 年 4 月