マンスリー ウイルスレポート

マンスリー ウイルスレポート

マカフィー、2013年におけるサイバー脅威の分析結果を発表

~引き続き多く発生する脆弱性攻略ツールを使用した脅威への対策が必要、 脆弱性を狙ったゼロデイ攻撃や外部メディア経由で感染するオートランワームに警戒~

セキュリティ・テクノロジー専業のリーディングカンパニー、McAfee Inc. (本社:米国カリフォルニア州、プレジデント:マイケル・デシーザー)の日本法人 マカフィー株式会社(本社:東京都渋谷区、代表取締役社長:ジャン・クロード・ブロイド、以下マカフィー)より、2013年におけるコンピュータウイルス、不審なプログラムの検知データの集計を発表します。

以下は、マカフィーのデータセンターで把握している情報をもとにウイルスと不審なプログラム(PUP)のそれぞれトップ10を算出し、マカフィーの研究機関であるMcAfee Labs(マカフィー ラボ)の研究員が分析したものです。この結果を受け、McAfee Labs東京 主任研究員の本城信輔は、以下のように分析しています。

【ウイルス】

<Drive-by-download攻撃>

2013年も脆弱性攻略ツールを使ったDrive-by-download攻撃に関連した脅威が多く見られました。この傾向は2010年から継続しておりで、今後もこの傾向は変わらないと考えています。

2013年の年間の検知会社数のランキングでも、Drive-by-download攻撃に関するプログラムが非常に多くランクインしています。

【2013年 検知会社数年間ランキング上位に入ったDrive-by-download攻撃】
1位:JS/Redirector.ar
4位:JS/Exploit!JNLP.c
5位:JS/Exploit-Blacole.ht
6位:JS/Blacole-Redirect.ae
8位:JS/Iframge.gen.k
9位:JS/Exploit!JNLP
10位:JS/Exploit-Blacole.le

このランキングでは、攻撃の最初の段階に使用される不正なRedirectorやIframeが多く見られます。これらのDrive-by-download攻撃の被害に遭うと、リダイレクトの後、不正なJRE(Java Runtime Environment)、PDFファイル、Flashファイルなどの脆弱性攻撃を経て、最終的にオンライン金融サイトのアカウントを盗むZeus、高度なルートキットおよび遠隔操作機能を持つZeroAccess、偽セキュリティソフトウェアなどに感染します。

実際のユーザー環境では、最初の攻撃段階で使われるファイルがきちんと検知されていることや、脆弱性が修正されていることなどから、感染プロセスの途中や最終段階における脅威はランクインしていませんが、実際にはリダイレクターの多様さと同様に、これらの脅威も非常に多く存在していることに注意が必要です。

また、2013年もゼロデイ脆弱性がいくつか発見され、実際に攻撃に悪用されました。このうちJREに関する脆弱性が最も多く発見・悪用されており、攻撃者からJavaが狙われる傾向が高いことが伺えます。また、Internet Explorerの脆弱性も多数発見されています。

今後もこれまで同様、ゼロデイ攻撃が行われることを想定する必要があるでしょう。ゼロデイ攻撃を防ぐのは簡単ではありませんが、重要な情報資産を扱うシステムでは、例えばTempフォルダからの実行ファイルを制御するなど、システムに対する意図しない改変や変更を防ぐように設定することも有効な手段になります。マカフィーの製品もこれらの保護機能を提供しています。

ゼロデイ攻撃対策は年間に数件から数十件発生していますが、ほとんどのDrive-by-download攻撃は、修正プログラムが存在する既存の脆弱性を狙っていることに注意が必要です。利用しているアプリケーションが最新のものになっているか、確認することが重要です。

<オートランワーム>

外部メディア経由で感染するオートランワームは、近年非常に多く発見されてきましたが、2013年もその傾向は変わらないと考えています。年間検知会社数2位にランクインしたGeneric!atrは、オートランワームが利用する不正なAutorun.infを対象とした検知名です。オートランワームの本体の亜種は多数あるため、それぞれがランクインすることはありませんが、不正なAutorun.infの数の多さがこの種類のワームの多様さを物語っています。最近の傾向としては、日本ではさほど感染事例は多くありませんが、海外ではAutorun.infの感染手法に加えて、多様なソーシャルエンジニアリングを駆使したワームが非常に多く発見されています。例えば、拡張子を偽装してOfficeファイルに見せかけたり、フォルダに偽装した不正なショートカットファイルを作成したり、同様にフォルダに偽装した実行ファイルを作成するものがあります。Autorun.infだけに注意するのではなく、外部メディアに存在するフォルダ・アイコンには注意する必要があるでしょう。

<標的型攻撃>

標的型攻撃の性質上、関連した脅威の検知数が他の脅威ほど突出して多いというわけではないため、上位にランクインしていませんが、引き続き十分な注意が必要です。実際、2013年も標的型攻撃が世界中でよく見られ、日本でも多くの攻撃が発見されています。また、TIFFファイルの処理に関する脆弱性CVE-2013-3906が発見されており、不正TIFFファイルをOfficeファイルに埋め込むといった攻撃が見られました。また、CVE-2012-0158の脆弱性は発見されてから一年以上経過していますが、いまだにこの脆弱性に対する攻撃が多く見られます。これらの脆弱性への攻撃に加え、最近ではスクリプトを埋め込んだショートカットファイルのような形態の攻撃も見られます。また、拡張子とアイコンをOfficeファイルに偽装した実行ファイル型のバックドアも数年前から比較的多く発見されています。

標的型攻撃の形態は徐々に多様化していますが、今後もこの脅威は続いていくと考えられます。なお、標的型攻撃では感染を許してしまうと、重要な情報が漏洩する可能性があるため、特別な警戒が必要です。

検知会社数

検知会社数2 0 1 3 年
順位ウイルス件数
1 JS/Redirector.ar 3,328
2 Generic!atr 2,571
3 Generic Downloader.z 2,152
4 JS/Exploit!JNLP.c 2,092
5 JS/Exploit-Blacole.ht 1,693
6 JS/Blacole-Redirect.ae 1,644
7 W32/Conficker.worm!inf 1,533
8 JS/Iframe.gen.k 1,518
9 JS/Exploit!JNLP 1,455
10 JS/Exploit-Blacole.le 1,178

検知データ数

検知データ数2 0 1 3 年
順位ウイルス件数
1 W32/Conficker.worm!job 160,067
2 X97M/Laroux.a.gen 70,863
3 Generic!atr 53,662
4 W32/Conficker.worm.gen.a 43,299
5 W32/Conficker.worm!inf 36,131
6 W32/Ramnit.a!htm 31,514
7 W32/Conficker.worm 28,350
8 Downloader-BJM 24,989
9 X97M/Laroux.e.gen 23,425
10 Exploit-PDF.rt.gen 21,427

検知マシン数

検知マシン数2 0 1 3 年
順位ウイルス件数
1 Generic!atr 7,605
2 JS/Redirector.ar 7,136
3 Generic Downloader.z 4,884
4 W32/Conficker.worm!inf 4,593
5 W32/Conficker.worm.gen.a 3,639
6 W32/Conficker.worm!job 3,370
7 JS/Exploit!JNLP.c 3,035
8 JS/Iframe.gen.k 2,922
9 JS/Exploit-Blacole.ht 2,742
10 JS/Exploit!JNLP 2,605

【PUP】

PUP(不審なプログラム)は従来と比べて大きな変化はありません。全体的な件数は前年から大きく減少しており、PUPが従来ほど活発でないことがわかります。PUPは、インターネットからダウンロードしたフリーウェア等に付加されていることが多いため、フリーウェアの利用には引き続き十分な注意が必要です。

検知会社数

検知会社数2 0 1 3 年
順位PUP件数
1 Adware-Bprotect 3,854
2 Adware-Bprotect!CF20432D6BE6 2,393
3 Adware-Bprotect!ED0C4D3A2B8B 1,349
4 Adware-Bprotect.c 1,231
5 Adware-Bprotect!72067853C339 1,179
6 Adware-Bprotect!E5DA3B11ABBF 903
7 Adware-Bprotect!6A2C23D82FD2 817
8 Tool-PassView 680
9 Generic PUP.x 679
10 Adware-Bprotect!497B23C29355 539

検知データ数

検知データ数2 0 1 3 年
順位PUP件数
1 Adware-Bprotect 1,700,400
2 Metasploit 390,886
3 Generic PUP.x!bjg 327,809
4 Adware-Bprotect.c 273,773
5 Exploit-MIME.gen.c 108,515
6 RemAdm-VNC 105,281
7 Adware-OptServe 75,829
8 Generic PUP.x 67,779
9 Generic PUP.d 52,988
10 Adware-Bprotect!72067853C339 49,450

検知マシン数

検知マシン数2 0 1 3 年
順位PUP件数
1 Adware-Bprotect 9,329
2 Adware-Bprotect!CF20432D6BE6 4,758
3 Adware-Bprotect.c 2,707
4 Adware-Bprotect!ED0C4D3A2B8B 2,530
5 Adware-Bprotect!72067853C339 2,519
6 Tool-PassView 1,832
7 Adware-Bprotect!E5DA3B11ABBF 1,521
8 Adware-Bprotect!6A2C23D82FD2 1,191
9 Adware-Bprotect!497B23C29355 1,030
10 Generic PUP.x 1,029

1995年に設立されたMcAfee Labsは、世界30ヶ国、500名ほどの専任研究者を抱え、マルウェアやPUP、ホスト侵入、ネットワーク侵入、モバイルマルウェア、脆弱性の調査に特化した研究チームが、24時間365日、セキュリティを幅広く多面的に研究しています。またマカフィーは、既に全世界で1億台を超えるモバイルデバイスにセキュリティを提供しており、モバイルセキュリティ市場の圧倒的なリーダーであり、コンシューマ向けからエンタープライズ向けまで、最も包括的なモバイルセキュリティを確立しています。

関連情報
  • マンスリー ウイルスレポート
  • ※企業や個人にとって、より充実したセキュリティ情報を提供するため、ウイルス月報は2014年3月度分より一旦発行を停止しております。