Kaspersky Lab のエキスパートは、ユーザーの PC 上およびインターネット上における悪意のある活動に関する月次レポートを発表いたします。

7 月の統計 - 7 月にカスペルスキー製品ユーザーの PC 上で検知され収集されたデータは以下のとおりです：

• ネットワーク攻撃が阻止された回数：182,045,667
• Web サイト経由での感染の試行回数：75,604,730
• ユーザーの PC 上で検知・駆除されたマルウェア数：221,278,929
• ヒューリスティック検知数：94,004,507

以下のグラフは、脅威の発生状況を 6 月との比較で示したものです。

 
カテゴリー別の脅威の検知件数（出典：KSN データ）

Google と .co.cc ドメインの闘い

7 月の最も注目すべき出来事の 1 つは、Google が「.co.cc」ドメイン下の、1,100万超の URL を検索結果に表示されないようにしたことです。この遮断されたドメインは世界最大級の規模であり、登録数は「.com」、「.de」、「.net」に続く 4 番目となっています。

このような思い切った手段が取られた理由は、サイバー犯罪者が偽のアンチウイルスプログラムの配布や、ドライブバイダウンロード攻撃を実行する際に、このドメインの URL を頻繁に利用したことにあります。ちなみに、「.cc」はココス島に割り当てられたドメインですが、「.co.cc」は、韓国のある民間企業が所有するドメインです。このドメインに登録すると、第 3 レベルのドメイン名（http://xxxxx.co.cc）が無料もしくは格安で取得できるため、犯罪者の人気を集めていたようです。

Google による徹底攻勢により、「.co.cc」ドメインを使用するサイバー攻撃が減少したことが我々の調査で明らかになりました。しかしながら、犯罪者達は単に他のドメインの登録サービスを利用し始めただけでした。そのため、Google の作戦がどの程度の成功を収めたのかを判断するのは難しいと考えます。また、違法な活動とは無縁のドメイン所有者が、この Google の行動により思わぬ影響を受けた可能性もあります。

 
ドメイン名「.co.cc」による攻撃から保護されたユニークユーザー数（出典：KSN データ）

アンドロイド向け ZeuS

7 月、あの悪名高いトロイの木馬 ZeuS のモバイル版が検知されました。これは、スパイウェア型トロイの木馬 ZitMo の 4 番目の種類にあたります。これまでに、Symbian、Windows Mobile、および BlackBerry プラットフォームで動作する ZitMo が出現しましたが、今回の ZitMo はアンドロイド端末を攻撃するために改変されたものです。

ZitMo（Kaspersky Lab では、Trojan-Spy.AndroidOS.Zbot として分類）は、「mTAN コード」（リモートでの銀行取引に使用するワンタイムパスワード）を詐取する目的で設計されています。銀行の顧客は、このコードをショートメッセージサービス（SMS）で受信する仕組みで、これにより、オンラインバンキングを利用する際の二要素認証を実現しています。

Zeus のバックドアプログラムは、アンチウイルス（と見せかけた）ソフトウェアをインストールするようユーザーに促し、ユーザー自らがスマートフォンにマルウェアをインストールするように仕向けます。ユーザーのコンピューターが Zeus に感染していて、スマートフォンも ZitMo に感染していれば、犯罪者はオンライン銀行のアカウントにアクセスし、銀行からユーザーに送付されたワンタイムパスワードを傍受できます。このようなケースでは、mTAN コードを使用した認証ですら、被害者の口座からの金銭が盗まれるのを阻止できません。

オンラインバンキングにおけるセキュリティの進化に伴い、サイバー犯罪者達もスパイウェア型トロイの木馬の機能を強化することでしょう。モバイル機能を使用してユーザーのコンピューター上でトロイの木馬を動作させれば、狙った銀行口座へのアクセスがより容易になります。スマートフォンにプログラムをインストールする際には、くれぐれも細心の注意を払ってください。

モバイルプラットフォーム別の ZitMo 発生件数（出典：KSN データ）

空飛ぶフィッシング詐欺師

7 月、Kaspersky Lab のエキスパートは、興味深い動向を発見しました。ブラジルのフィッシング詐欺師達は、銀行口座の情報だけでなく、ついにマイレージプログラムサービスで獲得した「マイレージポイント」にまで手を出し始めました。彼らはマイレージポイントで航空券を購入するだけでなく、ある種の通貨としても利用しています。チャットシステムである IRC のあるメッセージでは、スパム送信を行うブラジルのボットネットへのアクセスを、6 万マイルとの交換で請け負っていました。また別のメッセージでは、盗んだクレジットカードとマイルとの交換を勧めていました。これらは、「サイバー犯罪者達はあらゆる種類の情報に興味を持ち、何でも盗みの対象とするだろう」という我々の 2011 年度の予測と一致しています。

ロシアのインターネットサイトに個人情報が流出

この月には、ロシア語のインターネットサイトにおいて史上最大級の個人情報の流出事件がありました。7 月 18 日、携帯電話事業者「メガフォン」の加入者から送信された 8,000 件のテキストメッセージが、数時間の間、ロシアの検索エンジンポータル「ヤンデックス」のキャッシュ上と、一般のドメイン内に流出しました。

この事件は、分析ツールである Yandex.Metrika がメガフォンのサイトに不適切に組み込まれていたことが原因で発生したようです。このツールは本来 Web サイトの訪問者の動向を監視するものですが、テキストメッセージが含まれるページが検索の対象となるように働いていました。

数日後、さらに悪いニュースが続きました。複雑な検索構文を用いたある検索クエリを Google、Yandex、および Mail.ru に入力すると、オンラインのアダルトショップの顧客情報と、ロシア語の Web サイト 2 件で乗車券を購入した顧客の個人情報が表示されたのです。

これらの事件で問題となったのは、検索エンジンが Web サイトのコンテンツをインデックスする（検索対象にする）際の指示を格納する「robot.txt」ファイルの不備であったことに注意すべきでしょう。このことはつまり、被害を受けたサイトの管理者にも責任の一端があることを示唆しています。

マルウェアランキング

ここ数か月の間、ユーザーのコンピューター上で検知されたマルウェアランキングの上位 20 位の顔ぶれには、ほぼ変化がありませんでした。一方、インターネット上のマルウェアのランキングには、常に新種との入れ替わりが見られました。そして、7 月も例外ではありませんでした。後者のランキングの Top 20 のうち、実に 60% が新規にランクインしたマルウェアでした。これは、ユーザーのコンピューター上にはあまり存在しないが、サイバー犯罪者が定期的に更新するリモートサーバーに存在する悪性スクリプトが、インターネット上で猛威をふるっていたためです。一方、Kido のようなネットワークワームや、Sality をはじめとしたウイルスが、ユーザー PC 上のマルウェア Top 20 をほぼ埋め尽くしました。これらのプログラムは、かなりの長時間アンチウイルスソリューションの検知を回避できます。また、ネットワークフォルダーやリムーバブルメディア経由で、他のコンピューターを次々と感染させようと試みますが、この場合、アンチウイルス製品がインストールされていれば保護機能により検知できます。

多くの犯罪者達は、頻繁にマルウェアを更新しています。各マルウェアの変種は長期間存在しないため、シグネチャーを使用して検知することは難しく、Top 20 にランクインされることはあまりありません。この種の脅威に打ち勝つために、アンチウイルス業界は、シグネチャーベースの手法だけでなくヒューリスティック分析やクラウド技術を活用して検知を行っています。

ユーザーのコンピューターをマルウェア感染させる手段としては、ドライブバイダウンロード攻撃が引き続き最も多く使われました。リダイレクター、スクリプトダウンローダー、エクスプロイトなど、毎月この種の攻撃を支援する新しいマルウェアがインターネット上のマルウェア Top 20 に登場しています。7 月には 11 位までが、この種のマルウェアに占められています。

インターネット上のマルウェアランキング Top 20

ユーザーの PC 上で検知されたマルウェアランキング Top 20