米Symantecは「Internet Security Threat Report(インターネット脅威レポート)」の2006年下半期版を19日(現地時間)に公開した。同レポートは、以下を含む情報源を基に作成されているという。

• 180カ国以上に設置された4万センサー
• 20カ国以上に用意された200万個の囮メールアドレス
• 2万件以上の登録のある脆弱性データベース

同レポートには上記の情報源から得た多彩なデータが含まれているのだが、本稿は主要3点に絞って解説したい。

1. アンダーグラウンド経済における売買品目が明らかになった

昨近、マルウェア作成の動機が金銭目的化していることについて、各種報道で度々紹介されているが、同レポートはさらに「アンダーグラウンド経済の一端を担っているサーバ」で売買されている品目を明らかにしている。

ここで取引されている主要な品目は、やはり、クレジットカード番号、電子メールアドレス、Paypalアカウントといったデータだったとされ、加えて、Yahoo! MailのCookieを盗み出す攻撃コードや、支配下にあるコンピュータ、フィッシングを行うサイトなども売買の対象となっているという。ただし、このサーバに関するBBSやフォーラム、あるいはIRCなどといった取引形式の具体的なところについては、記載がなかった。

「アンダーグラウンド経済の一端を担っているサーバ」で売買されている品目 出典: Symantec Internet Security Threat Report

2. ボットネットの統合・拡大化

同レポートはボット感染PCの数が1日平均で約63,000台観測されたと報告している。特に、MS06-040のServerサービスの脆弱性や、MS06-055のIEのVMLの脆弱性がボットに組み込まれ、活発に利用された昨年9月頃に感染の拡大がみられたとしている。

一方、ボットにコマンドを指示するCommand and Control(以下C&C)サーバの数は、2006年上半期の約6,300台から約4,700台へと減少したとする。同レポートではこの現象について、ボットネットの統合・拡大化が行われたため、と指摘している。

2006年のボット感染PCの観測数 出典: Symantec Internet Security Threat Report

3. 新たに発生したマルウェアの亜種数はStrationがトップ、感染経路が「不明」なものが上位5種を占める

同レポートでは、2006年の下半期に新たに発生したマルウェアの亜種数はStrationがトップであるとしている。Strationはメールの添付ファイルを感染経路とし、感染動作として様々な機能をダウンロードしてくる、いわゆる「ダウンローダ」。Strationの亜種は2006年下半期に150種以上登場したという。

一方、感染経路が「不明」とされているものがトップ10に5種もランク入りしているという異様さがある。その内訳として、オンラインゲームのアカウントパスワードを盗み出すGamepassが2位、スパムメールの中継をするHorstが5位、その他金銭目的とおぼしき感染動作をするマルウェアがある。残念ながら、感染経路が不明な理由についての記載はない。この点だけに依拠すべきではないだろうが、最新のマルウェアの実態動向はさらに混迷の一途をたどっているようだ。

2006年下半期に新たに発生したマルウェアの亜種数トップ10 出典: Symantec Internet Security Threat Report