Kaspersky Lab のエキスパートは、ユーザーの PC 上およびインターネット上における悪意のある活動に関する月次レポートを発表いたします。

8 月の統計 - 8 月にカスペルスキー製品ユーザーの PC 上で検知され収集されたデータは以下のとおりです：

• ネットワーク攻撃が阻止された回数：193,989,043
• Web サイト経由での感染の試行回数：64,742,608
• ユーザーの PC 上で検知・駆除されたマルウェア数：258,090,156
• ヒューリスティック検知数：80,155,498

通常 8 月は夏季休暇の時期ですが、情報セキュリティ業界にとっては非常に忙しい月です。2 つの主要なセキュリティカンファレンスである Black Hat と DEFCON も 8 月に米国で開催されます。この 2 つのイベントは最新の研究成果を発表する絶好の場所であり、一年間の総括のみならず、新たに直面した問題についても扱われます。カンファレンスでは、さまざまなハッキング技術や新しい攻撃手法について議論がおこなわれますが、残念なことに、後にその一部がマルウェアに取り入れられることもあります。さらに、休暇シーズンは、個人 PC ユーザー、企業ユーザーの双方にやっかいな問題が発生します。休暇中には、インターネットカフェや空港などの無料の WiFi ホットスポットを利用する機会が増加します。ユーザーが通常のセキュリティ環境の外にいるため、悪意のあるユーザーの被害者となる可能性が高まります。

脅威のパッケージ化

それでは、8 月に犯罪者達に利用された悪性プログラムや技術について見てみましょう。

Ice IX：ZeuS の隠し子

トロイの木馬「ZeuS」（Trojan-Spy.Win32.Zbot）は、ここ数年、オンラインバンキング利用者の間で最も蔓延した脅威です。この脅威が関与したインシデントの件数と、それによる損害規模を考えると、ZeuS はサイバー犯罪者達にとっての「神」マルウェアであることがうかがえます。ロシアをはじめとするサイバー犯罪業界全体は ZeuS を中心に構築されてきました。多くの犯罪グループが、ZeuS を直接的または間接的に利用して悪事を働いています。

昨年、ZeuS の作者が、その設計全般をトロイの木馬「SpyEye」の作者に売り渡したという情報が明らかになりました。つまり、2 つの競合するプロジェクトが誇る最高の技術が 1 つに集約されたということです。これが SpyEye の新バージョンとなり、ZeuS の後継者として現在毎日のように検知されています。

しかし、このいわゆる「合併」とほぼ同時期に ZeuS のコードの一部が流出し、結果的に誰でも手に入れることができるようになりました。SpyEye の作者はサイバー犯罪市場で自分の制作物を数千ドルの値段で販売していますが、このコード流出で、金を支払いたくはないが自分でクローンを作成したがっていた者たちは、全く同じソースコードを無料で手に入れられるようになりました。

8 月には、このクローンのうちのある 1 種類が蔓延し、IT セキュリティのプロフェッショナル達の注目を集めました。このクローンは 2011 年の春にはすでに姿を現してはいましたが、サイバー犯罪者達にもてはやされるようになったのは夏に入ってからです。この新しい変種は「Ice IX」と呼ばれ、600 〜 1,800 米ドルで売買されています。ZeuS や SpyEye と同様、ロシア語圏のサイバー犯罪者がこの作成に関与しています。Ice IX における最も注目すべき革新的な技術は、ボットネット制御用に変更された Web モジュールです。このモジュールを利用して、サイバー犯罪者のコミュニティが提供するいわゆる「防弾サーバー」を使った割高なホスティングサービスの代わりに、正規のホスティングサービスを使用できるようになるため、Ice IX オーナー側はホスティング費用の削減が見込めます。

サイバー犯罪者のコミュニティでは、このように誰かのコードをあからさまに盗む行為が日常的に発生しています。SpyEye と競合するだけでなくトロイの木馬の運営コストを大幅に削減する Ice IX の出現に続き、また新たな ZeuS の「隠し子」が生まれ、オンラインバンキング利用者への攻撃がさらに多発することが考えられます。

マルウェアと Bitcoin

この夏、電子マネーシステム Bitcoin が、コンピューターユーザーと犯罪者両方の関心を集めました。このコンピューターベースの「通貨生成」システムが新たに違法な金儲けの手段となり、その匿名性の高さで注目されています。生成するコインの数は、コンピューターの処理能力に左右されます。アクセスできるコンピューターの処理能力が高いほど、稼ぎが大きくなるというわけです。Bitcoin ウォレットの所有者への攻撃は想像以上に早く行われ、サイバー犯罪者は Bitcoin を盗むだけでなく、さらにその先を行き、被害者のマシンをボットネットに利用するようになりました。

去る 6 月、我々は Trojan.NSIS.Miner.a を初めて検知しました。これは、感染マシン上でユーザーが気付かないうちに Bitcoin を生成させるプログラムです。これを機に、我々は多くの主要な Bitcoin プール（ネットワークの参加者とそのアカウントに関するデータを保管するサーバー）との連携を開始し、いくつかの同種のボットネットの遮断に成功しました。この分野におけるアンチウイルス業界と犯罪者達の対立がこう着状態に陥った後、さらに高度な新しい Bitcoin ボットネットが登場しました。

8 月、犯罪者たちは Twitter や P2P ネットワークといった新しい技術、そしてプロキシサーバーの新しい利用法を編み出したのです。

Twitter は基本的に次のような手口で利用されていました。ボットがある Twitter アカウントにリクエストを送信してつぶやきを残し、これをボットネットの所有者からのコマンドとして認識させます。この方法で、「Bitcoin 生成プログラムをここからダウンロードし、この Bitcoin プールに参加しなさい」といった命令を与えることができます。Twitter をボットネットコマンドセンターとして利用する手口は新しいものではありません。しかし、Bitcoin システムで利用したのは、これが初めてでした。

P2P 型ボットネット自体は特段新しくはないものの、8 月にカスペルスキーのエキスパートが検知した P2P 型ボットネット Trojan.Win32.Miner.h は、控えめに見積もっても、現在約 4 万もの異なるパブリック IP アドレスを保持していると考えられています。現在ほとんどのコンピューターがファイアウォールまたはゲートウェイの後ろに存在することを考えると、本来の感染マシンの数は、これより数倍も多い可能性があります。このボットはシステムに対して 1 度に 3 つの Bitcoin マイニングツール（Ufasoft、RCP、および Phoenix）をインストールします。

上記の 2 種類のテクノロジー（Twitter と P2P）を利用することで、悪意のあるユーザーは、自分たちのボットネットをより簡単に維持できるようになりました。さらに中央集権的なボットネットコマンドセンターよりもブロックするのが難しくなるため、アンチウイルスベンダーへの対抗手段としても有効です。

悪意のあるユーザーの手に渡った Bitcoin プールのアカウントは、非合法なマイニングプログラムに積極的な措置を取るサーバー所有者に削除される危険をかかえています。8 月にカスペルスキーは、ある大規模ボットネットが Bitcoin のマイニングに使用されただけでなく、実際のアカウントを隠蔽する手段にも利用されはじめていることを発見しました。これを実現するために、ボットネットの所有者は特別なプロキシサーバーを作成して感染コンピューターと通信させ、リクエストを未知の Bitcoin プールに送信させます。ボットコードを分析する方法や、ボットネットが使用する Bitcoin プールが特定されないため、不正なアカウントを遮断することは不可能です。このような状況下でこの種の犯罪を封じるには、プロキシサーバーへのフルアクセス権を得るしか方法はありません。

8 月の終わりまでに、カスペルスキーは何らかの形で Bitcoin システムを標的とする 35 種類のマルウェアを検知しています。

リモートアクセス型ワーム

「Morto」と呼ばれるワームはなかなか興味深いプログラムです。このワームは 8 月の後半に突然蔓延し始めました。これまでに注目を集めたワームとは異なり、このワームは自己増殖を行う際に脆弱性を悪用しません。さらに、Windows RDP サービスを経由するという、これまでには見られなかった方法で拡散します。Windows RDP は、Windows デスクトップにリモートアクセスするために使用されるサービスです。このワームは基本的にはアクセス用のパスワードを探そうと試みるもので、現在までに世界中の何万台ものコンピューターを感染させたと推測されています。悪意のあるユーザーが感染コンピューターを管理できるようになるというところが、このワームの恐ろしい点です。ワームはボットネットの機能を備えており、複数のコマンドサーバーとの通信が可能です。さらに、このボットネットの主な機能として、DDoS 攻撃を仕掛けることもできます。

個人ユーザーへの攻撃：モバイル端末を狙う脅威

約 1 年前の 2010 年 8 月初頭に、Android OS を標的とした初めてのマルウェア SMS Trojan FakePlayer が検知されました（参照記事（英語））。このマルウェアの出現を境に、Android はもとよりモバイル全般向けの脅威を取り巻く世界的なマルウェアの情勢が一変しました。1 年近く前には、Android を狙うマルウェアの数が Symbian プラットフォームを狙うマルウェアの数に追いつきました（Symbian 向けの脅威は 2004 年に初めて出現）。今日検知されているモバイルプラットフォームを標的とする脅威のうちの約 24% が Android 向けに設計されたものです。FakePlayer の登場以来検知された Android を標的としたマルウェアは、これまでで 628 種類にものぼります。

 
モバイルプラットフォームを標的としたマルウェアの割合：OS 別

2010 年 8 月 1 日から 2011 年 8 月 31 日までの間に検知されたスマートフォン向け脅威の合計件数（J2ME を除く）のうち、85% が Android を標的とするものでした。

昨今検知されるモバイルプラットフォーム向け脅威の 99% が、直接的または間接的であれ、違法な金儲けを共通の目的としています。この種の脅威の中でも 8 月に注目されたのが Nickspy というトロイの木馬です。その特徴は、感染させたデバイスの所有者のすべての会話を音声ファイルに録音し、それを悪意ある者が管理するリモートサーバーにアップロードするという機能です。このトロイの木馬のある亜種は Google+ アドオンを装い、このプログラムの設定ファイルに書かれる悪質な番号からの呼びだしを受信する機能を持ちます。感染した電話がユーザーに知られることなくこのような呼びだしを受信すると、悪意のあるユーザーは、電話の持ち主の会話を含む感染デバイス上のすべての通信を傍受できるようになります。さらに、メッセージや通話履歴、GPS 座標も取得し、これらすべてを悪意のあるユーザーが所有するリモートサーバーに送信します。

モバイルデバイスを標的とした「非商業化された」マルウェアが増えてきましたが、その中には奇妙なものも存在します。8 月には「Dogwar」と呼ばれるトロイの木馬が検知されました。このプログラムは、動物愛護団体 PETA の理念を支持する人物によって開発されたと見られています。Dog Wars という闘犬を題材としたゲームのベータ版で表示される「BETA」アイコンを、悪意あるユーザーが「PETA」にすり替え、以下の悪性コードを埋め込みました。

• 当該デバイスの連絡先リストに登録されているコンタクト先全員に「I take pleasure in hurting small animals, just thought you should know that.（私は小動物を傷つけるのが大好きな人間です。知っておいてください。）」というテキストメッセージを送信する。
• ある番号（73822）に「text」というメッセージを送信する。この番号は米国内で、PETA からのテキストメッセージを受信するための登録に使用されるものです。

企業および有名組織のネットワークを標的とする攻撃

世界各国で発生しているインターネットを利用した産業スパイ活動は、従来のサイバー犯罪とは別個の情報セキュリティ問題として、大きくとりあげられるようになっています。ただし、この分野がまだ新しいことと、ほとんどのユーザーには比較的影響がないことを考えると、この手の活動のニュースが過度にセンセーショナルに扱われている感が否めません。

8 月、McAfee（1 年前に Intel が買収）が発表したニュースが IT コミュニティに衝撃を与えました。そのニュースとは、米国国防総省からベトナムのスポーツ連盟まで世界中の数々の組織をターゲットとし、5 年以上にわたって進行中の史上最大級のサイバー攻撃を検知したというものです。「Shady RAT」と名付けられたこの攻撃は、ニュースの公表がラスベガスで開催された Black Hat カンファレンスのオープニングと同時期でなかったら、また、雑誌 Vanity Fair の特集記事として取り上げられなければ、大きな問題にはならなかったかもしれません。しかし、国家機密への脅威に関するスクープ記事がファッション雑誌で取り上げられるのは、少々奇妙なことと感じざるを得ません。新しく検知された問題を一般の人々に知らせるために、セキュリティ業界がこのような方法をとることは、滅多にありません。

McAfee のレポートを詳しく読むと、さらなる混乱が生じました。第 1 に、「研究者が検知した」とされる悪質ユーザー所有のサーバーは、実際には数ヶ月も前から、多くのアンチウイルス企業の専門家に知られていました。第 2 に、この記事が公開されたときそのサーバーはまだ稼働中であり、McAfee が伝えた内容は既に公表されていたものでした。さらに、史上最も複雑で大規模な攻撃に使用されたとされる人気のスパイウェアは、多くのアンチウイルスプログラムの簡単なヒューリスティック分析ですでに検知されるものでした。これら以外にも McAfee の報告には、疑問を生じさせるものがあります。これらの疑問については、カスペルスキーの専門家を含む人々から、公開質問状が発表されています。

我々の研究では、Shady RAT は最も長く最大規模の猛威をふるった攻撃でもなければ、史上最も高度な攻撃でもないということが確認されています。さらに、いかなる攻撃情報に関しても、攻撃で使用されたすべてのコンポーネントや技術の詳細を省いて公表することは受け入れがたいと我々は考えます。なぜなら、そのような不完全な報告では、情報リソースを保護するために全力をつくすセキュリティ担当者達の役に立つことはできないからです。

いわゆる Advanced Persistent Threat（APT：高度で長期的な標的型攻撃）に関する情報の公表に関しては、さらに重い責任が問われます。昨今、APT は「サイバー戦争」や「サイバー兵器」といった言葉を伴ってメディアのヘッドラインを飾っていますが、これらの単語の本来の意味と、一般の認識には大きなへだたりがあります。ちなみに、今目の前で起こっている問題が企業スパイや特殊部隊による作戦に絡んでいる場合は、用語の意味に関する話は二の次です。ここで重要なのは、このような問題が過度に注目されたり、注意深い検討を経ずに情報公開が行われると、進行中の捜査に悪影響を与え、被害が深刻化する危険性もある、ということです。

8 月に発生したハッキング事件

ハッキングの世界では、8 月は慌ただしい月となりました。世界各地で企業や政府機関を標的とした攻撃が発生し、これまでは正体不明のグループが仕掛ける攻撃が多かったのに反して、今年は AntiSec や Anonymous と名乗るグループが仕掛けるインシデントが多く発生し、政治的意図を持った攻撃の頻度が増しています。いわゆる「ハクティビスト」がそのイデオロギーを推進する上で彼らの攻撃を周知させることを重要視しているように、これらすべてのケースは、メディアで広く取り上げられるようになりました。しかし、今年これまでに発生した事件と比較して、8 月に発生したハッキング事件は特段驚くほどのものではありませんでした。

この期間にハクティビストによる被害を受けたのは、イタリアのサイバー警察、米国内の警察当局に協力した多数の企業、米国国防総省との契約で通信システムを担当する軍事請負会社 Vanguard などでした。何ギガバイトもの個人情報が公開され、イタリアのサイバー警察のケースでは、元々は在露インド大使館の所有物と思われる機密文書が公にされました。

さらに米国では、ハッカーがサンフランシスコ湾岸地域の交通システムを攻撃して 2 千人もの乗客の個人情報を詐取し、その後公開に及びました。また、シリアとリビアでの暴動に関連してこれらの政府の公式 Web サイトが改変された事件は、8 月に発生した政治的動機に基づいたハッカー攻撃のなかでも特に目立つものでした。

8 月の統計：

インターネット上の脅威トップ 10

* ブロックされた悪意のあるURL群

マルウェア送信国トップ 10

マルウェアのホストサイトトップ 10

悪質なドメインゾーントップ 10

ユーザーコンピューターへの攻撃の割合、国別トップ 10（Web アンチウイルスによる検知率）

偽のアンチウイルスプログラムが検知された割合、国別トップ 10

関連リンク

分析 マルウェアマンスリーレポート：2011 年 7 月 マルウェアマンスリーレポート：2011 年 6 月 マルウェアマンスリーレポート：2011 年 5 月 マルウェアマンスリーレポート：2011 年 4 月 マルウェアマンスリーレポート：2011 年 3 月