マカフィーは、2013年8月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。さらに、今月は、McAfee Blogから関連する報告を紹介したい。

ウイルス

今月も、Exploit Kitによるドライブバイダウンロード攻撃に関連した脅威のランクインがめだつ。検知会社数の2位と9位にランクインしているJS/Exploit!JNLPは、JRE(Java Runtime Environment)の脆弱性を攻略するために使われる不正なスクリプトである。このスクリプトは、JREを攻撃する不正なjarファイルのための設定ファイル(JNLPファイル)のダウンロードに使われる。最近、悪用されることが多いとのことだ。

McAfee Labs東京主任研究員の本城信輔氏は「ランクインしていませんが、このドライブバイダウンロード攻撃で最終的にインストールされるトロイの木馬の主なものに、金融機関のアカウント情報を盗むZeusがあります。最近では、日本の金融機関も多く狙われていることから警戒が必要です。感染予防は、脆弱性対策が一番効果的です。各ベンダーが公開しているアドバイザリ情報や、セキュリティパッチを定期的に確認するようにしてください」と注意喚起している。

表1 2013年8月のウイルストップ10(検知会社数)

順位 ウイルス 件数
1位 JS/Exploit-Stykit.l 833
2位 JS/Exploit!JNLP.c 669
3位 Generic!atr 622
4位 JS/Exploit-Blacole.gc 381
5位 W32/Conficker.worm!inf 353
6位 JS/Blacole-Redirect.ae 341
7位 JS/Exploit-Blacole.ht 265
8位 Exploit-Rekit.gen 130
9位 JS/Exploit!JNLP 118
10位 Generic Autorun!inf.g 107

表2 2013年8月のウイルストップ10(検知データ数)

順位 ウイルス 件数
1位 W32/Conficker.worm!job 6,956
2位 X97M/Laroux.a.gen 6,444
3位 Generic!atr 3,716
4位 JS/Exploit-Blacole.gc 3,183
5位 JS/Exploit-Stykit.l 2,978
6位 W32/Conficker.worm.gen.a 2,614
7位 W32/Conficker.worm!inf 2,109
8位 X97M/Laroux.e.gen 2,087
9位 JS/Exploit-Blacole.ht 1,899
10位 JS/Exploit!JNLP.c 1,435

表3 2013年8月のウイルストップ10(検知マシン数)

順位 ウイルス 件数
1位 Generic!atr 1,153
2位 JS/Exploit-Stykit.l 1,147
3位 JS/Exploit!JNLP.c 791
4位 W32/Conficker.worm!inf 712
5位 JS/Exploit-Blacole.gc 547
6位 JS/Blacole-Redirect.ae 414
7位 JS/Exploit-Blacole.ht 302
8位 RDN/Generic.dx!cn3 282
9位 W32/Conficker.worm!job 205
10位 RDN/Generic PWS.y!ua 202

PUP

PUP(不審なプログラム)は、めだつほどではないが、ランキングに変化がみられる。検知データ数で、1位のAdware-Bprotectが大きく減少した。PUPの活動はさほど活発ではないが、フリーウェアの利用に引き続き注意したい。

表4 2013年8月の不審なプログラムトップ10(検知会社数)

順位 PUP 件数
1位 Adware-Bprotect 2,923
2位 Adware-Bprotect!CF20432D6BE6 2,325
3位 Adware-Bprotect!72067853C339 1,108
4位 Adware-Bprotect!E5DA3B11ABBF 611
5位 Adware-Bprotect!ED0C4D3A2B8B 442
6位 Adware-Bprotect!497B23C29355 348
7位 Generic PUP.x!bjg 258
8位 Adware-Bprotect!1576B8F57F69 254
9位 Generic PUP.x 245
10位 Generic Adware.a 227

表5 2013年8月の不審なプログラムトップ10(検知データ数)

順位 PUP 件数
1位 Adware-Bprotect 237,150
2位 Adware-Bprotect!72067853C339 44,236
3位 Adware-Bprotect!CF20432D6BE6 23,333
4位 Generic PUP.x!bjg 18,571
5位 RemAdm-VNC 10,188
6位 Generic Adware.a 9,808
7位 Exploit-MIME.gen.c 9,523
8位 Adware-Bprotect!1576B8F57F69 9,271
9位 Adware-Bprotect!F98214B32F2A 7,736
10位 Metasploit 6,164

表6 2013年8月の不審なプログラムトップ10(検知マシン数)

順位 PUP 件数
1位 Adware-Bprotect 5,850
2位 Adware-Bprotect!CF20432D6BE6 4,569
3位 Adware-Bprotect!72067853C339 2,336
4位 Adware-Bprotect!E5DA3B11ABBF 920
5位 Adware-Bprotect!ED0C4D3A2B8B 781
6位 Adware-Bprotect!497B23C29355 619
7位 Adware-Bprotect!1576B8F57F69 425
8位 Generic PUP.x!bjg 415
9位 Adware-Bprotect!F98214B32F2A 338
10位 Generic PUP.x 309

McAfee Blogより - 2つのExploit Kit

McAfee Blogでは、最新の脅威動向などを解説している(図1)。

図1 McAfee Blog

脅威レポートにあったExploit Kitについての記事を紹介したい。上述したように、Exploit Kitには、StyxやRedKitなどが確認されている。それぞれのExploit Kitの挙動について紹介するものだ。まず、Styxである。Styxは2013年の4月にピークを記録している。その挙動を図示したのが、図2である。

図2 Styxの攻撃概要(McAfee Blogより)

第一段階は、正規のWebサイトからExploitファイルが仕込まれた不正なページへ誘導する。そこでは、さまざまな脆弱性が悪用され、PDFやJARファイルをダウンロードする。攻撃では「__applet_ssv_validated」パラメーターの値をTrueに設定し、Javaセキュリティチェックを回避するといった手口も使われる。最終的には、リモートサーバーから追加のマルウェアを配信するダウンローダがダウンロードされる。

また、この攻撃ではExploitファイルのダウンロードに、以下のような独自のURLパターンが使われる。

 ・hxxp://[ドメイン名]/[ランダムな文字と数字]/jorg.html
 ・hxxp://[ドメイン名]/[ランダムな文字と数字]/jlnp.html
 ・hxxp://[ドメイン名]/[ランダムな文字と数字]/pdfx.html
 ・hxxp://[ドメイン名]/[ランダムな文字と数字]/fnts.html
 ・hxxp://[ドメイン名]/[ランダムな文字と数字]/jovf.html

したがって、防御策として、この特定のURLをブロックすることが有効となる。McAfeeによると、このようなURLは比較的短期間で変わることが多いが、ほとんどが共通であった。当然のことながら、脆弱性の解消や不審なメールのリンクをクリックしないことが求められる。 次は、RedKitである。この攻撃概要を示したのが図3である。

図3 RedKitの攻撃概要(McAfee Blogより)

Exploit Kitによる攻撃は類似したものが多い。RedKitでも、正規のWebページのリンクを改ざんし、RedKitのランディングページへ誘導する。この時点で感染が始まる。改ざんされたWebページのリンクは、ユーザーをだまして有害なリンクをクリックさせるスパムキャンペーンとして、メールで送付されることもある。こちらでも、特徴的なURLが使われる。PDFやJARファイルのダウンロードには、以下のURLが使われる。

 ・hxxp://[domain name]/332.jar
 ・hxxp://[domain name]/887.jar
 ・hxxp://[domain name]/987.pdf

防御策は、Styxと同様である。いずれもやや専門的な内容を含むが、興味をもたれたのであれば、ぜひ一読していただきたい。