マカフィーは、2009年第4四半期の脅威レポートを発表した。レポートの全文は、こちらである。
脅威の動向
まずは、主な動向は次のとおりである。
・スパムメールの件名には、ユーザの関心を惹くために、さまざまな仕掛けがなされている。第4四半期では、自然災害やマイケル・ジャクソンの死去などが悪用された。
・スパムメールの目的は詐欺行為の準備段階として配信される。スパム作成者は、2010年のワールドカップサッカー、新型インフルエンザの脅威、失業率の増加などの内容でユーザに興味を持たせ、金銭を盗み出そうとししている。
・第4四半期はスパム発生量が大きく減少した。第3四半期と比較して24%の減少が見られた。しかし、McAfeeでは、一時的なもの判断している。前年比では、スパム発生量は35%も増加している。
・マルウェアの増加も著しい。2008年と比較すると、2009年は増加速度が上がっている。その理由は、偽のセキュリティソフトウェア、USBの自動実行による感染、ソーシャルネットワーキングに対する攻撃などが原因である。
・11月からフィッシング詐欺、Koobface、他のトロイの木馬やPUPなどWebに対する脅威が増え始め、12月20日の週には不正なドメイン登録が急増した。
・Webサーバアプリケーションの脆弱性を狙ったSQLインジェクション攻撃が数多く確認された。クライアントアプリケーションでは、ユーザ数の多いAdobe FlashやAcrobat Readerの脆弱性が狙われている。 ・当初のボットネットは、簡単な司令センターを使用していた。しかし、現在ではP2PやHTTPを使用し、制御を分散させている。このようなボットネットの構築には手間がかかるが、ボットマスターは身元を隠しやすくなり、より多用な犯罪行為を行うことが可能になっている。
・一方で、第4四半期は、各国の捜査当局がサイバー犯罪者の摘発に成功した。FBIやルーマニアの捜査当局は多くの容疑者を逮捕し、犯罪組織を壊滅させている。
・複数の国で政治的なハクティビズムが発生している。ポーランド、ラトビア、デンマーク、スイスなどでは、政策に反対するハッカーがWebサイトの改ざんを行っている。Twitterもこのような攻撃の標的となっている。
以上が、主な動向であるが、ここから興味深い事例をいくつか紹介しよう。
ワールドカップを利用したフィッシング詐欺
今年の6月には、サッカーワールドカップが南アフリカで開催される。当然のことながら、スパム作成者にとっては格好のチャンスといえる。多くのファンがチケットの入手方法に関心を抱いている。そんな状況で、ワールドカップに関連するフィッシング詐欺もすでに発生しているのだ。
 |
図1 本文の最初の行にワールドカップのチケットに関する内容を思わせる文面がある。これは受信者に続きを読ませるための餌で、チケット販売にはまったく関係はない |
人気の高いワールドカップの開催が近づくにつれ、このような詐欺事件が増えることが予想される。さらに巧妙な手口の詐欺も増えるだろう。不正なWebサイトへのリンクを含むメールを送信したり、ワールドカップ関連の検索結果を改ざんすることは十分に考えられる。また、クレジットカードの情報を入力させたり、PCにマルウェアを感染させる攻撃も予測される。チケットやパッケージツアーを購入する際には信頼できる旅行代理店やFIFAで正しい情報を確認してほしい。FIFAによると、チケットを販売する旅行代理店は非常に限られているとのことだ。未請求メールのリンクを正規のリンクと思ってはいけない。チケットの販売が詐欺でないかどうか確認するには、情報源を直接確認すべきとMcAfeeでは注意を喚起している。
ボットネットはIRCから、P2P、HTTPに移行
ボットネットが初めて現れた頃は、IRC(Internet Relay Chat)プロトコルを使用したボットネットが主流であった。感染したPCは、ボットマスターから命令を受け取り、Webサイトに対するDoS攻撃やスクリーンショットの取得、更新したボットのダウンロードなどを行った。
 |
図2 IRCベースのボットが最初に出現。このボットは現在でもよく利用されている |
これらのツールは、ほとんどがWindowsのみで動作していたが、ブラジルのハッカーグループがPerlスクリプトを使い、UNIX上でも動作するボットを作成している。IRCボットネットは、IRCサーバに障害が発生すると機能を停止する。IRCサーバが停止することで、ボットマスターはボットの制御ができないからである。その欠点を克服したボットネットが登場する。2007年には、音楽ファイルのダウンロードに利用されていたP2Pプロトコル(Kazaa、eMuleなど)を使用する新たなボットネットが出現した。P2Pの利点は、より柔軟な分散制御が可能になり、ボットネットの停止が難しい。
最近では、さらにIRCチャンネルからWebサイトに移行し、HTTPが利用されるようになった。この変化は攻撃キットの出現に原因である。攻撃キットの大半はロシアのサイバー犯罪者によって作成されている。主なものとしては、Mpack、ICEPack、Fiestaなどがある。これらのキットを使用すると、リモートのPCにキットをインストールして、リモートのWeb サイトから制御が可能となる。
 |
図3 オンラインツールキット。不慣れな犯罪者でもボットネットの作成と配布が可能 |
HTTPを使用するボットネットとしては、銀行の認証情報を盗み出すZeusボットネットがある。
