マカフィーは、2013年3月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。3月もドライブバイダウンロード攻撃が活発化している。また、同社では2012年第4四半期の脅威をまとめたレポートも公開している。
ウイルス
まずは、検知会社数のランキングであるが、3位のFakeAlert-WinWebSec!env.h、4位のSWF/Exploit-Blacole、5位のJS/Redirector.ar、6位のJS/Iframe.gen.k、7位のJS/IFrame.gen.j、8位のJS/Exploit-Blacole.ggのいずれもが、ドライブバイダウンロード攻撃に関連するものである。偽セキュリティ対策ソフトであったり、脆弱性を悪用するのが特徴である。マカフィーによれば、これらの脅威の活動は非常に活発であり、日本だけでなく世界中でも同様の傾向がみられるとのことである。対策として、Java、Adobe Reader、Flash Player、Internet Explorerなどのソフトウェアが最新版かどうかを確認してほしい。
3月20日、韓国において大規模なサイバー攻撃が発生した。これについて、McAfee Labs東京主任研究員の本城信輔氏は「攻撃手法や脅威の特徴は特殊なものであり、一般性があるわけではありません。したがって、日本のユーザーが同様のマルウェアに感染する心配をする必要はないでしょう。しかし、いったん感染してしまうとシステムに破壊的な影響を及ぼす点には注目する必要があります。また、日本ではさほど見られませんが、他の国々ではオフィスファイルに感染し実行ファイル化するランサム型の脅威も比較的多く存在しています。これらの脅威に備え、万が一のためにデータのバックアップやシステム復旧方法など、被害緩和策を講じておくことをお勧めします」と注意喚起している。マカフィー製品では、その際に使用されたトロイの木馬や関連する脅威をKillMBR-FBIB、Trojan-FBIB、Dropper-FDJ、Dropper-FDK、Downloader-FJHと検知する。
表1 2013年3月のウイルストップ10(検知会社数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | W32/Conficker.worm!inf | 818 |
| 2位 | W32/Conficker.worm!inf | 460 |
| 3位 | FakeAlert-WinWebSec!env.h | 357 |
| 4位 | SWF/Exploit-Blacole | 339 |
| 5位 | JS/Redirector.ar | 316 |
| 6位 | JS/Iframe.gen.k | 278 |
| 7位 | JS/IFrame.gen.j | 199 |
| 8位 | JS/Exploit-Blacole.gg | 164 |
| 9位 | Generic Autorun!inf.g | 135 |
| 10位 | Generic PWS.ak | 132 |
表2 2013年3月のウイルストップ10(検知データ数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | X97M/Laroux.a.gen | 6,557 | 2位 | Generic!atr | 4,857 |
| 3位 | W32/Fujacks.remnants | 3,492 |
| 4位 | W32/Conficker.worm!inf | 3,164 |
| 5位 | W32/Conficker.worm.gen.a | 3,149 |
| 6位 | X97M/Toraja | 3,059 |
| 7位 | W32/Conficker.worm!job | 2,944 |
| 8位 | X97M/Laroux.e.gen | 2,206 |
| 9位 | JS/IFrame.gen.j | 2,113 |
| 10位 | VBS/Autorun.worm.k | 1,351 |
表3 2013年3月のウイルストップ10(検知マシン数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Generic!atr | 1,568 |
| 2位 | W32/Conficker.worm!inf | 936 |
| 3位 | FakeAlert-WinWebSec!env.h | 473 |
| 4位 | SWF/Exploit-Blacole | 386 |
| 5位 | JS/Iframe.gen.k | 378 |
| 6位 | JS/Redirector.ar | 366 |
| 7位 | JS/Exploit-Blacole.gg | 260 |
| 8位 | Generic Autorun!inf.g | 240 |
| 9位 | JS/IFrame.gen.j | 234 |
| 10位 | W32/Conficker.worm.gen.a | 227 |
PUP
PUP(不審なプログラム)は、検知会社数と検知データ数のランキングでやや変動があるが、検知数に大きな変化は見られない。フリーウェアの利用に、引き続き注意したい。
表4 2013年3月の不審なプログラムトップ10(検知会社数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x | 310 |
| 2位 | Generic PUP.x!bjg | 303 |
| 3位 | Adware-OptServe | 186 |
| 4位 | Tool-PassView | 165 |
| 5位 | Adware-Adon | 151 |
| 6位 | Adware-UCMore | 123 |
| 7位 | Generic PUP.d | 111 |
| 8位 | Obfuscated-FBK!hb | 106 |
| 9位 | Generic PUP.z | 101 |
| 10位 | Exploit-MIME.gen.c | 94 |
表5 2013年3月の不審なプログラムトップ10(検知データ数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x!bjg | 39,489 |
| 2位 | Metasploit | 12,155 |
| 3位 | RemAdm-VNC | 9,773 |
| 4位 | Exploit-MIME.gen.c | 9,566 |
| 5位 | Adware-OptServe | 7,679 |
| 6位 | Generic PUP.x | 6,709 |
| 7位 | Generic PUP.d | 5,066 |
| 8位 | Tool-PassView | 4,242 |
| 9位 | Generic PUP.z | 3,721 |
| 10位 | Adware-OpenCandy.dll | 3,337 |
表6 2013年3月の不審なプログラムトップ10(検知マシン数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x!bjg | 551 |
| 2位 | Generic PUP.x | 403 |
| 3位 | Tool-PassView | 309 |
| 4位 | Adware-OptServe | 223 |
| 5位 | Adware-UCMore | 206 |
| 6位 | Adware-Adon | 204 |
| 7位 | Obfuscated-FBK!hb | 136 |
| 8位 | Tool-ProduKey | 136 |
| 9位 | Exploit-MIME.gen.c | 127 |
| 10位 | Generic PUP.d | 124 |
2012年第4四半期の脅威レポート
また、2012年10月から12月のセキュリティ脅威をまとめた四半期のレポートも発表されている。
その中から、注目すべき点をピックアップすると、以下のようになった。
- 脅威は増加し、入手が容易になり、標的となる業界も増加
- Webの脅威はボットネットからURLへ移行
- OS下層領域の感染増加
- 悪意ある署名付きバイナリ、システムセキュリティを回避
- モバイルマルウェアは引き続き増加、そして進化中
2番目の項目であるが、マカフィーによると、ここにきてマルウェアの配布方法に変化が見られるとのことである。従来の配布方法では、大規模なボットネットが使われてきた。しかし、セキュリティベンダーや取り締まり機関などの努力により、ボットネットが摘発され、閉鎖に追い込まれる例が増えてきた。
結果、マルウェアの配信なども減少した。さらに、攻撃者にとってボットネットの経済的効果も薄れてきていると指摘する。代わって増加しているのが、不審なURLである。第4四半期では、新規の不審なURLの数は70%増加した。不審なURLは一カ月平均で460万件新たに検出されており、これは過去2四半期の一カ月平均の270万件のほぼ倍となった。不審なURLの95%には、PCへの不正侵入を目的に設計されたマルウェア、エクスプロイトまたはコードが確認されている。
