マカフィーは、2013年2月のサイバー脅威の状況を発表している。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。
ウイルス
2月のランキングをみると、まず目につくのが、ドライブバイダウンロード攻撃とそれらに関係する脅威である。この数か月、BlackholeやRedKitなどは、必ずランクインしている。そして、その特徴は、JRE(Java Runtime Environment)やAdobe Reader、Flash Playerなどの脆弱性を悪用することだ。特に、JREの脆弱性を狙う攻撃はもっとも活発に行われているとのことである。
これについて、McAfee Labs東京主任研究員の本城信輔氏は「今年入って発見されたCVE-2013-0422やCVE-2013-0431をはじめとして、昨年の脆弱性CVE-2012-1723、 CVE-2012-0507が非常に多く使われています。また、Flash Payerの新たな脆弱性CVE-2013-0633やCVE-2013-0634も悪用されています。これらのドライブバイダウンロード攻撃で感染するのは、主に偽セキュリティソフトウェア(会社検知数5位)や、高度なルートキット機能をもつバックドアのZeroAccess(同7位)、ランクインしていませんが金融機関の認証情報を盗むZeusなどです。こういったトロイの木馬に感染しないためにも、脆弱性対策を実施するようにしてください」としている。また、今月のレポートでは、リムーバブルメディア経由で感染するワーム(検知会社数1位および6位)についても注意喚起を行っている。特に、ソーシャルエンジニアリング手法を使ったものが多い。具体的には、
・フォルダ偽装する
・ショートカットを偽装する
といった、従来のautorun.infだけを悪用する以外の手口が増えているとのことだ。前者のタイプに感染すると、自身を既存のフォルダと同じ名前を持つ実行ファイルとしてコピーし、さらに、その既存のフォルダを隠す。ここでユーザーは、既存のフォルダを開こうとして、ワームを実行してしまうのである。注意力だけでは防ぎにくいものだ。セキュリティ対策ソフトの導入やリムーバブルメディア対策が求められる。
表1 2013年2月のウイルストップ10(検知会社数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Generic!atr | 795 |
| 2位 | W32/Conficker.worm!inf | 461 |
| 3位 | JS/Exploit-Rekit.b | 342 |
| 4位 | SWF/Exploit-Blacole | 253 |
| 5位 | FakeAlert-WinWebSec!env.h | 216 |
| 6位 | Generic Autorun!inf.g | 152 |
| 7位 | ZeroAccess.b!env | 152 |
| 8位 | Generic PWS.ak | 138 |
| 9位 | JS/Exploit-Blacole.em | 132 |
| 10位 | JS/Exploit-Blacole.gq | 104 |
表2 2013年2月のウイルストップ10(検知データ数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | X97M/Laroux.a.gen | 5,901 |
| 2位 | Generic!atr | 4,345 |
| 3位 | W32/Conficker.worm.gen.a | 3,753 |
| 4位 | Tibs | 3,442 |
| 5位 | W32/Conficker.worm!inf | 2,718 |
| 6位 | X97M/Laroux.go | 2,441 |
| 7位 | X97M/Laroux.e.gen | 2,007 |
| 8位 | W32/Fujacks.remnants | 1,774 |
| 9位 | W32/Conficker!mem | 1,196 |
| 10位 | W32/WBoy.a | 1,194 |
表3 2013年2月のウイルストップ10(検知マシン数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Generic!atr | 1,502 |
| 2位 | W32/Conficker.worm!inf | 905 |
| 3位 | JS/Exploit-Rekit.b | 391 |
| 4位 | FakeAlert-WinWebSec!env.h | 285 |
| 5位 | SWF/Exploit-Blacole | 270 |
| 6位 | Generic Autorun!inf.g | 268 |
| 7位 | W32/Conficker.worm.gen.a | 265 |
| 8位 | ZeroAccess.b!env | 185 |
| 9位 | Generic PWS.ak | 177 |
| 10位 | W32/Conficker.worm | 161 |
PUP
PUP(不審なプログラム)は、ランキングでわずかな変動があるがほとんど同じ結果となった。検知数はいずれのランキングでも検出数が微増しているが、大きな変化は見られない。フリーウェアの利用に、引き続き注意したい。
表4 2013年2月の不審なプログラムトップ10(検知会社数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x!bjg | 315 |
| 2位 | Generic PUP.x | 309 |
| 3位 | Adware-OptServe | 195 |
| 4位 | Adware-Adon | 149 |
| 5位 | Tool-PassView | 137 |
| 6位 | Adware-UCMore | 120 |
| 7位 | Generic PUP.d | 117 |
| 8位 | Generic PUP.z | 106 |
| 9位 | Adware-Adon!lnk | 85 |
| 10位 | Exploit-MIME.gen.c | 76 |
表5 2013年2月の不審なプログラムトップ10(検知データ数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x!bjg | 36,021 |
| 2位 | RemAdm-VNC | 9,407 |
| 3位 | Exploit-MIME.gen.c | 7,997 |
| 4位 | Adware-OptServe | 7,444 |
| 5位 | Generic PUP.x | 6,411 |
| 6位 | Generic PUP.d | 4,913 |
| 7位 | Metasploit | 4,163 |
| 8位 | Tool-PassView | 4045 |
| 9位 | Generic PUP.z | 3,573 |
| 10位 | Adware-OpenCandy.dll | 2,011 |
表6 2013年2月の不審なプログラムトップ10(検知マシン数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x!bjg | 571 |
| 2位 | Generic PUP.x | 410 |
| 3位 | Tool-PassView | 247 |
| 4位 | Adware-OptServe | 232 |
| 5位 | Adware-Adon | 202 |
| 6位 | Adware-UCMore | 194 |
| 7位 | Tool-ProduKey | 139 |
| 8位 | Generic PUP.d | 133 |
| 9位 | Generic PUP.z | 120 |
| 10位 | Exploit-MIME.gen.c | 104 |
McAfee Blogより
冒頭でもふれたように、Javaの脆弱性を悪用する攻撃が多発している。McAfee Blogでは、最新の脅威動向などを解説する。今回は、「アップル、FacebookにJavaエクスプロイト攻撃:企業用Macを狙った過去最大のサイバー攻撃」を紹介したい。
 |
図1 McAfee Blog「アップル、FacebookにJavaエクスプロイト攻撃:企業用Macを狙った過去最大のサイバー攻撃」 |
実際には、Javaソフトウェアのプラグインからハッキングを受けた。原因となったのは、従業員のコンピュータから、不正ソフトウェア(マルウェア)に感染したデベロッパーWebサイトにアクセスしたことである。同様の攻撃は、1週間前にFacebookに対しても行われていた。アップルやFacebookの社員の多くは、コンピュータリテラシーは少なくとも初心者よりははるかに高いレベルである。そのような社員らも大量に感染したことから、改めて、脅威に対する注意と対策がすべてのレベルで求められているといえよう。詳細は、ブログを参照していただくとして、マカフィーでは以下のような対策をあげている。
・メインのWebブラウザでJavaを無効にするか削除する
・「マカフィー サイトアドバイザー」をインストールする
・すべてのソフトウェアをつねに最新の状態に保っておく
・セキュリティ対策ソフトウェアをインストールする
