Subscriptions | RSS | ディスカッション | アンケート   




全ての脅威

ウイルス

ハッカー

スパムメール
サイト全体    ウイルスについて
   
ウイルス百科事典
リスクウェア 警告
分析
ニュース
用語集

 
アーカイブ

<< 2013  
Jan Feb Mar
Apr May  
     
     
最新レポート



スパムレポート:2013 年 第一四半期



スパムレポート:2013 年 3 月



Wiper の模倣版、Shamoon の出現
 
分析者への可能性
Contact us!

私たちの作者のひとりになって、あなたの分析をViruslist.comに掲載してみませんか? 興味がある方は 連絡してください!

 		 

  ホーム / 分析

マルウェアマンスリーレポート:2011 年 10 月

Nov 30 2011

Kaspersky Lab のエキスパートは、ユーザーの PC 上およびインターネット上における悪意のある活動に関する月次レポートを発表いたします。

10 月の統計- 10 月にカスペルスキー製品ユーザーの PC 上で検知され収集されたデータは以下のとおりです:

  • ネットワーク攻撃が阻止された回数:161,003,697
  • Web サイト経由での感染の試行回数:72,207,273
  • ユーザーの PC 上で検知・駆除されたマルウェア数:205,822,404
  • ヒューリスティック検知数:80,900,079

サイバー犯罪者が仕掛ける新しい策略の数々

Duqu – 新型の Stuxnet

この月の最大の話題は、トロイの木馬プログラム Duqu が発見されたこと、そしてこの Duqu と最初のサイバー兵器として知られる Stuxnet との間に明らかな関連が確認されたことです。ハンガリーのリサーチラボ CrySyS のアナリストは、Duqu と Stuxnet のコーディングに数々の類似点を発見しました。このことは、双方のプログラムが同じグループの人間によって書かれたか、または Stuxnet のソースコードが流用されたことを示唆しています。さまざまな噂に反して、Stuxnet のコードは公には入手できません。

高周波コンバータドライブの動作変更を可能にするコードを含みイランのウラン濃縮プラントを標的にしたとされる Stuxnet とは異なり、Duqu には産業システムを標的とする機能がありません。ハンガリーで最初に発見されたインシデントを調査した際、Duqu ファイルのメインモジュールは、トロイの木馬プログラムの動作とコマンドサーバーへの接続を確実にするよう設計されていることがわかりました。さらにDuqu のファイルには、また別のスパイウェア型トロイの木馬モジュールが含まれていました。このモジュールは、キーボードから入力されたデータの傍受、スクリーンショットのキャプチャ、システム情報の収集などを可能にします。盗んだデータはこのトロイの木馬を操るコマンドサーバー(この時にはインドに所在)に送信されていました。Dequ の主な目的が、Stuxnet のような産業妨害工作ではなく産業スパイ活動であることは明らかですが、その最終目的が何であるのかについては、多くの疑問が巻き起こっています。

調査を進めるうちに、カスペルスキーのアナリストは、主にイランでの(この点でも Stuxnet と類似)新たな Duqu の被害者を突き止めただけでなく、それまで見つかっていなかった Duqu のファイルを発見することに成功しました。このことは、Duqu を操る人間がいまだ活動を続けていること、そして、(大量感染をもたらした Stuxnet とは異なり)攻撃の対象を注意深く選定しているという我々の推理を裏づける結果をもたらしました。さらに、攻撃の標的ひとつひとつに対しそれぞれ異なるファイルセットが使用されていたことが判明しました。スパイウェア型トロイの木馬だけでなく、他の各種機能を含む、また別のモジュールが使用される可能性も考えられます。

我々の調査は現在進行中であり、次のレポートでは Duqu の実態について詳細を紹介できるでしょう。

個人ユーザーへの攻撃

Bundestrojan(ドイツ政府製トロイの木馬):法の容認範囲

10 月には、ドイツ警察が容疑者のコンピューターから音声トラフィックおよびメッセージを傍受するためのバックドアを使用していたことが明らかになり、大きなスキャンダルとなりました。5 つの連邦州がトロイの木馬を使用したと認めたこと、さらにドイツの連邦法が当局に傍受を容認しているのは容疑者の Skype トラフィックのみであるのにも関わらずそのトロイの木馬はそれ以外のプログラムのスパイ機能を備えていたことから、激しい抗議が起こりました。

ドイツのハッカー集団 Chaos Computer Club(カオス・コンピュータ・クラブ)が、カスペルスキー・ドイツ支社の応援を得て調査を行ったところ、あることが明らかになりました。それは、「0zapftis」としても知られる Backdoor.Win32.R2D2 が、Skypeメッセージだけでなく、広く普及しているブラウザや、ICQ・MSN Messenger・LowRateVoip・paltalk・SimpPro・sipgate X-Lite・VoipBuster・Yahoo! Messenger といった各種インスタントメッセンジャーやVoIP プログラムも対象にしていたことです。また、このバックドアは、64 ビット版の Windows 上でも動作可能であることが分かりました。

スキャンダルの渦中にあるこのトロイの木馬は、ミュンヘン空港で取調べ中の警察官によって容疑者のコンピューターにインストールされています。その後WikiLeaksが公開したある文書は、ドイツの DigiTask という会社が、このトロイの木馬を 200 万ユーロ超で受託開発していたことを示しています。

このケースは、いわゆる「政府製トロイの木馬」の存在と、その使用に関する法律上の問題を再提起しました。この問題については、他のアンチウイルスベンダーと同様に、我々カスペルスキーも断固たる姿勢を取る所存です。誰が何の目的で開発を行ったかにかかわらず、あらゆるマルウェアを検知する努力を続けます。

モバイルを狙う脅威:Androidが首位に

統計

モバイル向け脅威の世界では、10 月にも大きなインシデントがいくつか発生しました。我々の統計によると、Android向けマルウェアの総数が、ついに Java 2 Micro Edition 向けの総数を上回りました(Symbian の数は夏に追い越しています)。モバイル対象の脅威のなかでは、ここ 2 年間、J2ME 向けの脅威が最もまん延していました。この理由についてはすでに何度か記事にしているので、今回この詳細に触れることはしません。しかし、Android向け脅威の劇的な増殖は、少なくともここしばらくは、ウイルス作者達がAndroid向けマルウェアに集中するだろうということを暗示しています。

10 月末までに、我々は 92 のマルウェアファミリーに属する 1,916 種ものAndroid向けプログラムを検知しました。J2ME 向けでは 60 ファミリーの 1,610 種でした。以下のグラフは、モバイルプラットフォーム向けマルウェアの内訳です。

 拡大
モバイル向け脅威のプラットフォーム別内訳


10 月末時点におけるモバイル向け脅威の検出総数は、289 ファミリーに属する 4,053 種でした。

Antammi

残念なことに、マルウェアは Android マーケット上で頻繁に公開されています。10 月には、カスペルスキーが新たなマルウェア Trojan-Spy.AndroidOS.Antammi.b を検知したことを受け、この悪質なアプリがオンラインストアから削除されました。ちなみに、このマルウェアはロシアのユーザーを狙ったものでした。

Android マーケットでは、さまざまな着信音アプリが提供されています。Antammi.b も着信音を提供し、ユーザーが有料サービスにメッセージを送信すると着信音を受信できる仕組みになっていました。しかし、このマルウェアの機能はそれだけではありません。コンタクト情報(例えば、メモリカードのファイル /sdcard/bestringtones/contacts.txt にコピーされた情報)、SMS アーカイブ、GPS 位置情報など、スマートフォン上のあらゆる個人情報を詐取する機能を備えていました。そして得た情報を、とある Gmail のアドレスに送信し、盗まれたデータをあるサーバーにアップロードしていました。

Antammi.b が 9 月初旬に公式Androidストアに登場してから削除されるまでの間に、5,000 人以上ものユーザーがこの悪質なアプリケーションをダウンロードしました。

Mac OS を狙う脅威:その新機能

10 月中旬には、Mac OS X を標的とする偽 Flash Player 型トロイの木馬 の新バージョン Trojan-Downloader.OSX.Flashfake.d が検知されました。以前のバージョン同様に、その主な機能は、Adobe Flash Player のインストーラーを装って侵入しファイルをダウンロードすることです。しかし、OS X 向けマルウェアとしては全く新しい機能が追加されていました。

2 年前、Apple は XProtect と呼ばれるウイルス対策システムを Mac OS X に追加しました。これは基本的にはシグネチャベースの必要最小限のスキャナです。マルウェア MacDefender の出現を経て、2011 年 5 月 31 日以降 Apple は毎日マルウェアの出現をチェックし、マルウェアデータベースを更新しています。しかし、Trojan-Downloader.OSX.Flashfake.d は XProtect のメインファイルを破損させ無効化する機能を備えています。これにより、保護システムが Apple からの更新を受信できないようにし、使い物にならない状態にしてしまいます。XProtect には自己防御機能が実装されていなかったため、このようなことが可能になりました。

Trojan-Downloader.OSX.Flashfake.d がコンピューター内で起動すると、削除されないように自身を保護するだけでなく、本来内蔵の保護システムで検知されるはずの他のマルウェアがシステムを攻撃できるようにします。そのため、このトロイの木馬プログラムは他の OS X 向けマルウェアよりずっと危険性が高いのです。

 拡大
OS X 向けマルウェア発生件数の増加(2011 年)


Mac OS X を標的とした新しいマルウェアの出現は、基本的には Apple コンピューターの人気上昇と関係しています。残念なことに、Mac OS X ユーザーはセキュリティにあまり関心がなく、アンチウイルスソフトを使用していないケースが多く見られます。また、Mac OS X 内蔵の保護システムは既に時代遅れであるため、ウイルス作者にとって Apple コンピューターは絶好のターゲットとなっています。

国家組織および企業ネットワークへの攻撃

国家組織および企業ネットワークに対する攻撃に関しても、10 月はインシデント満載の月でした。

日本:格好の獲物

まず、先月の記事で取り上げた三菱重工業への攻撃に関して、その後の詳細をお伝えしましょう。

警視庁の捜査により、この攻撃の標的となった 83 台のコンピューター内に約 50 種類ものマルウェアが発見されました。そのうちのあるコンピューター上では、何と 28 種類が検知されました。また、ハッカーによる感染システムへのアクセスが 30 万回にもわたって行われたことも明らかになりました。さらに、攻撃元を追跡する過程で、日本航空宇宙工業会が所有するコンピューターの感染も判明しました。ハッカーは、このコンピューターを悪用して三菱重工および川崎重工宛に悪質な E メールを送信していました。また、米国内の匿名プロキシサーバーから SJAC のマシンにアクセスすることにより痕跡を隠していました。それでも日本の専門家たちは、ハッカーは中国から侵入したという説を曲げることはありませんでした。

当初は、機密情報の流出はないとされていました。しかし、捜査開始から約 1 か月後、ハッカーは戦闘機と原子力発電所に関する情報を詐取したという報道が流れました。

この月、日本はまた別の事件で注目を集めました。衆議院と、世界数か国に所在する日本大使館が攻撃されたのです。衆議院の所有する 32 台のコンピューターの感染が確認され、それらを使用する国会議員の内部文書とすべての E メールにアクセスできた可能性が高いことが指摘されています。また、在フランス、オランダ、ミャンマー、米国、カナダ、中国、韓国の日本大使館のコンピューターにマルウェアが発見されました。このマルウェアは、先に Google への攻撃に使用された中国の 2 台のサーバーに接続していました。

米国:古いインシデントに関する新しい情報

サイバー攻撃になじみの深いもう 1 つの国といえば米国です。10 月、上院の特別公聴会において、3 月の RSA へのハッキングに関連するケースを含む複数のインシデントが明らかにされました。世界各国の数百もの企業が、同じハッカーグループによる同様のインシデントの対象となっていることが明かされ、ここでもその矛先は中国に向けられました。

2007 年と 2008 年のアメリカの衛星に対する攻撃の詳細も公表されました。 2 基の地球観測衛星 Landsat-7 および Terra AM-1 がハッカーによる妨害を受けたとされています。犯人が何らかの情報を詐取したか、または衛星の動作を中断させたかなどは明らかにされていません。米国当局は、これらの衛星は国家保安上重要な役割は担っていないものの、攻撃を受けたこと自体が由々しき事であると述べています。理論上、ハッカーが衛星にアクセス可能な状態になれば、衛星を動作不能に陥れたり、地球に中継するデータを傍受することも可能となるはずです。

合計 4 回の攻撃の間に、サイバー犯罪者は衛星の制御システムへのアクセス権を奪取しました。この侵入は、ノルウェーの衛星地上局のコンピューターシステムが攻撃された後に実行可能になったと推測されています。

以上のケースと比べれば、米空軍基地の無人飛行機の地上制御システムにウイルスが発見された事など、大したことではないように思えてきます。9 月には、無人偵察機の制御を行うコンピューターとポータブルハードドライブ上に、機密情報を詐取するトロイの木馬プログラムが検出されました。米国防総省内の匿名の情報筋は、そのトロイの木馬は多くのオンラインゲームのユーザーデータを盗むタイプのもので、空軍のシステムを攻撃する意図はなく、偶然迷い込んでしまったのだろうという見解を述べています。事の真相がどうであれ、このケースは、特にこのような重要な軍事施設としては許し難いお粗末なセキュリティの実例だと言えます。

10 月の統計

インターネット上の脅威トップ 10


1 悪意のあるURL群 82.47% 0
2 Trojan.Script.Iframer 2.25% +1
3 Trojan.Win32.Generic 1.41% +4
4 Trojan.Script.Generic 1.18% 0
5 Exploit.Script.Generic 1.03% +2
6 AdWare.Win32.Shopper.il 0.46% 新規
7 Trojan-Downloader.Script.Generic 0.46% +1
8 AdWare.Win32.Eorezo.heur 0.32% -3
9 Trojan.JS.Popupper.aw 0.27% 新規
10 AdWare.Win32.Shopper.jq 0.23% 新規

マルウェア送信国トップ 10

1 米国 25.43% 0
2 ロシア連邦 22.68% 0
3 ドイツ 10.46% 0
4 オランダ 10.09% 0
5 ウクライナ 7.52% +1
6 英国 4.58% -1
7 英領ヴァージン諸島 3.86% +1
8 中国 3.35% -1
9 日本 1.87% 新規
10 ルーマニア 1.76% 0

マルウェアのホストサイトトップ 10

1 stats1.in 16.59%
2 ru-download.in 8.61%
3 72.51.44.90 8.39%
4 e46l.cc 8.2%
5 adult-se.com 7.88%
6 rx-downloader.in 7.88%
7 lxtraffic.com 5.1%
8 literedirect.com 4.75%
9 au.imgfarm.com 4.48%
10 tizerplatform.com 3.79%

悪質なドメインゾーントップ 10

1 com 29549282
2 ru 11275285
3 in 3229968
4 info 2284435
5 net 2096213
6 org 1625163
7 me 1382158
8 tv 962598
9 cc 649231
10 biz 387681

ユーザーコンピューターへの攻撃の割合、国別トップ 10(Web アンチウイルスによる検知率)

1 ロシア連邦 36.9% 0
2 アルメニア 33.7% 0
3 ベラルーシ 31,0% +1
4 イラク 30.8% +5
5 モンゴル 30.2% 新規
6 ウクライナ 28.8% +1
7 スーダン 27.7% +3
8 カザフスタン 26.9% -5
9 韓国 26.9% -1
10 アゼルバイジャン 26.7% -4
関連リンク
分析
マルウェアマンスリーレポート:2011 年 9 月
マルウェアマンスリーレポート:2011 年 8 月
マルウェアマンスリーレポート:2011 年 7 月
マルウェアマンスリーレポート:2011 年 6 月
マルウェアマンスリーレポート:2011 年 5 月
 

Copyright © 1996 - 2013
Kaspersky Labs Japan
All rights reserved

Email:
  お問い合わせはこちら
  新しいウイルスはこちら