G DATAの2008年上半期のマルウェアレポート - 増加を続けるマルウェア

G DATA Softwareは、2008年上半期におけるマルウェアレポートを発表した。

激増するマルウェア

まずは、2008年1月から6月までのマルウェアの発生件数を見てほしい(表1)。

表1 悪性コード群名別マルウェア発生数トップ5(2008年1～6月)

悪性コード群名	新種	比率(%)
バックドア	75,027	23.6%
ダウンローダ/ドロッパ	64,482	20.3%
スパイウェア	58,872	18.5%
トロイの木馬	52,087	16.4%
アドウェア	32,068	10.1%

2007年には133,253種の新種のマルウェアが発見されたが、2008年の第一四半期だけでも318,000種以上のマルウェアが発見されている(G DATAセキュリティラボの調査による)。この傾向は今後も続くと予想される。G DATAの試算によれば、今年1年で50万種以上の新種マルウェアが作成されると予測する。前年比で約4倍増となる数字である。

マルウェアの感染経路であるが、これまでは、メールに添付されたファイルを開くことで感染するものが多かった。しかし、その手法は、昨年の時点で1位ではない。悪意を持った攻撃者は、メールを使い、悪性コードを仕掛けたWebサイトにおびき寄せる手段として使っている。これは、Webページを閲覧するだけで感染する「ドライブバイダウンロード」という手法である。

これまで、マルウェアへの感染源はポルノ系のWebサイトなどが多かった。しかし、最近では、Webブラウザの脆弱性を突く、FlashやAcrobat Readerのプラグインを悪用するものなど、大きく変化してきている。

2008年上半期の傾向

2008年上半期は、サイバー犯罪の活動が非常に活発化した。特に、一度は2007年末頃に終息に向かったと考えられていたストームワームが再流行の兆しを見せた。ストームワームに感染したPCは、ルータを使用する場合はスパムのみ送信し、ルータを使用していない場合は、スパムやフィッシングサイトをホストするために使われる。ボットネットの役割を分担している。

悪性コードを埋め込んだWebサイトからマルウェアに感染するケースの増加も見られる。オンライン犯罪者は、特別なツールキットを使い、Webサーバなどに簡単にマルウェアを忍び込ませている。前節にも触れたように、マルウェアの感染経路として使われている手法である。

また、一昔前の技術が今また使用された点にも注意を払いたい。現在のブートセクタウイルスは、ファイルによる感染ではなく、ルートキットを利用している。

2008年下半期の展望

G DATAは、2008年下半期のマルウェアなどの展開を、以下のように予想する。

・マルウェアを仕組んだサイトの本格化

Web経由でのマルウェアの感染はこれからが本格的な流行段階に突入する。インターネットサービスの提供者がすべきこととして、クロスサイトスクリプティング、クロスサイトリクエストフォージェリ、SQLインジェクションのようなセキュリティホールを潰すことをあげている。これらの脆弱性については、開発段階からの十分な準備が必要となる。また、稼動中のWebアプリケーションサーバの場合、停止をすることが難しいケースが多い。脆弱性が発見されても、時間と手間隙がかかる。その間、危険にさらされることになる。

・利益重視の儲かるビジネスモデル

マルウェアの開発の集団は、プロ化されたビジネスモデルを持っている。スパムやアドウェアなどを駆使して稼ぐ年間数千億円規模の市場が存在しているのである。核となるのは、ボットネットやゾンビPCだ。今後も、スパムメールを送りコンピュータをゾンビPCに変えるダウンローダやバックドアの猛威は続くと予想される。

・盛んになるデータ交換

上述のビジネスモデルでは、マルウェア作者、スパマー、盗難データ買入人などが、お互いに協力体制を整えている。もちろんそこで取り引きされるのは、さまざまな個人データである。

スパイウェアはオンラインバンキングのアクセスデータを狙い、キーロガーは使用する人々のIDをを狙っている。これらの情報は、搾取されればたちまちのうちに、彼らの共有物となり、悪用されるのである。

・成長が最も早いアドウェア

新種のアドウェア数は、2007年にも5倍以上に増加したが、2008年の上半期だけでも、2007年と比較し、8倍以上の新種アドウェアが発見されている。ポップアップなどによる広告の表示や検索結果の操作といった手法は、今後もアドウェアで多く使われるであろう。この手法では、ヴァーチュモンド(Virtumonde)がある。ブラウザヘルパーオブジェクト(BHO)としてInernet Explorerに組み込まれ、ポップアップウィンドウで広告を表示する。こうして、偽装クリックを水増しさせてアドウェアの作者は儲けようとしているのだ。

広告入りソフトウェアの手法もある。偽装アンチウイルスプログラムのWinAntiVirusProは、インストールするだけでWebブラウザのホームページをハイジャックし、頻繁にポップアップ広告を表示させる。これで数セントの利益が入ってくる仕組みである。

重要なのは、たとえ薄利であっても量が多ければ金額は膨らむ、ということだ。新たなマルウェアの劇的な増加は、このビジネスモデルが利益を生んでいることの証拠でもある。

・新しい偽装メカニズム

シノワル(Backdoor.Win32.Sinowal)または「Mebroot」という名前のマルウェアの例を紹介する。はMBR(マスターブートレコード)を上書きし、偽装機能を使ってWindows XPのカーネル内に常駐する。この新しい偽装技術は、オンラインバンキング用の詐欺機能を隠すために使われる。

MBRに書き込みを行うものとして、一昔のブートセクタウイルスがある。そこで使われていた手法をリニューアルしたものといえる。この技術を偽装に使用するような脅威が登場するのは時間の問題とG DATAは予想する。MBRにデータを書き込む手法自体は、有害な機能ではない。Vistaでは、さらに困難になってはいる。しかし、シノワルの亜種の登場も比較的短期間に多くが発見された。同様のマルウェアの出現の危険性は高いといえるだろう。

・便乗詐欺

北京五輪のような一大イベントは、詐欺グループには絶好のチャンスとなる。スパムメール、フィッシング、マルウェア添付メールなどが、これらのイベントを利用して、ばら撒かれるのである。このようなイベントには、つい警戒心が薄くなりがちである。そこをスパマーは狙っているのである。