マカフィーは、2010年10月のサイバー脅威の状況を発表した。これは、日本国内におけるマカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。10月は、日本を中心にアジア諸国を中心に、Drive-by-Download攻撃が報告された。また、McAfee Blogでは、銀行のATMに感染するマルウェアなどの報告もあげられている。
ウイルス
10月は、日本を中心にアジア諸国を中心に、Drive-by-Download攻撃が報告された。その攻撃に使用されているウイルスが、3位と4位にランクインしたDownloader-BLV.gen.aとAdClicker-CRである。Drive-by-Download攻撃は、ブラウザを経由し、ユーザーが気がつかないうちにウイルスなどをダウンロードしてしまう攻撃であり、多くの場合で脆弱性が悪用される。Downloader-BLV.gen.aは、Javaの脆弱性の悪用するJS/Redirectorによってダウンロードされたウイルスからドロップ(作成)されるmstmpというファイルで、ダウンローダ型トロイの木馬である(このためmstmp攻撃などとも呼ばれる)。AdClicker-CRは、Downloader-BLV.gen.aによってダウンロードされるトロイの木馬である。
McAfee Labs東京・主任研究員の本城信輔氏によると「検知が亜種別に分かれているためランクインしていませんが、この攻撃で感染する偽セキュリティソフトSecurityToolは、FakeAlert-SecurityTool.a、FakeAlert-SecurityTool.b、…、FakeAlert-SecurityTool.sと、aからsまで亜種名の接尾語が付いた形で検知されます。このSecurityToolは、亜種が日々多量に作成されている偽セキュリティソフトの1つです」とのことである。偽セキュリティソフトSecurityToolは、インストール済みのセキュリティソフトを無効化、さらにはネットワークへの接続も無効化する。偽の感染警告を表示し、駆除には有料版を購入するように促される。
 |
図1 偽セキュリティソフトSecurityTool(McAfee Blogより) |
検知データ数の1位には、2位に大差をつけExploit-CVE2010-2568がランクインしている。これは、Windowsシェルの脆弱性(CVE-2010-2568)を悪用するマルウェアである。本城氏は、「この脆弱性を修正していない場合、lnkファイルが存在しているフォルダを閲覧するだけで、マルウェアに感染する可能性があります。Downloader-CJXをはじめとして、様々なマルウェアがこの脆弱性を悪用し感染させる機能を有しており、特にUSBメモリを経由して感染を広げています。パッチ適応により、早急に脆弱性を修正することが必要です」と注意喚起を行っている。
表1 2010年10月のウイルストップ10(検知会社数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Generic!atr | 1,082 |
| 2位 | Generic PWS.ak | 475 |
| 3位 | Downloader-BLV.gen.a | 446 |
| 4位 | AdClicker-CR | 395 |
| 5位 | Generic Malware.a!zip | 257 |
| 6位 | JS/Redirector | 180 |
| 7位 | PWS-Gamania.gen.a | 174 |
| 8位 | Generic.dx | 130 |
| 9位 | W32/Conficker.worm.gen.a | data |
| 10位 | Generic.dx!udw | 101 |
表2 2010年10月のウイルストップ10(検知データ数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Exploit-CVE-2010-2568 | 187,948 |
| 2位 | W32/Almanahe.c | 33,471 |
| 3位 | W32/Conficker.worm!job | 28,227 |
| 4位 | W32/Conficker.worm.gen.a | 27,879 |
| 5位 | W32/HLLP.Philis.remnants | 12,782 |
| 6位 | Generic!atr | 9,675 |
| 7位 | W32/Pate.b | 7,687 |
| 8位 | Generic PWS.ak | 7,160 |
| 9位 | W32/Sality.gen.e | 4,628 |
| 10位 | X97M/Divi.gen | 4,321 |
表3 2010年10月のウイルストップ10(検知マシン数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Generic!atr | 3,580 |
| 2位 | Generic PWS.ak | 1,469 |
| 3位 | W32/Conficker.worm.gen.a | 1,218 |
| 4位 | W32/Conficker.worm!job | 1,041 |
| 5位 | Downloader-BLV.gen.a | Downloader-BLV.gen.a |
| 6位 | AdClicker-CR | 710 |
| 7位 | PWS-Gamania.gen.a | 546 |
| 8位 | Generic Malware.a!zip | 456 |
| 9位 | JS/Redirector | 291 |
| 10位 | Generic.dx | 219 |
PUP
PUP(不審なプログラム)は、いつもながら大きな変化は見られない。検知会社数で中位にランキングの変動があった程度、検知データ数では、過剰なポップアップ広告を表示するAdware-DoubleD.dllが、Proxy-OSS.dllに代わってランクインしている。検知マシン数では、ランキングに変動はなかった。
表4 2010年10月の不審なプログラムトップ10(検知会社数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x | 1,328 |
| 2位 | Adware-OptServe | 844 |
| 3位 | Generic PUP.d | 714 |
| 4位 | MySearch | 409 |
| 5位 | MWS | 408 |
| 6位 | Generic PUP.z | 407 |
| 7位 | ASKToolbar.dll | 274 |
| 8位 | Adware-Softomate.dll | 256 |
| 9位 | RemAdm-VNCView | 232 |
| 10位 | SearchSettings | 211 |
表5 2010年10月の不審なプログラムトップ10(検知データ数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | MWS | 79,942 |
| 2位 | Adware-OptServe | 54,448 |
| 3位 | Generic PUP.x | 51,101 |
| 4位 | MySearch | 43,474 |
| 5位 | Generic PUP.d | 32,593 |
| 6位 | Exploit-MIME.gen.c | 20,118 |
| 7位 | Generic PUP.z | 15,175 |
| 8位 | Adware-DoubleD.dll | 14,914 |
| 9位 | ASKToolbar.dll | 14,874 |
| 10位 | Proxy-OSS | 13,798 |
表6 2010年10月の不審なプログラムトップ10(検知マシン数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x | 2,820 |
| 2位 | Adware-OptServe | 1,581 |
| 3位 | MySearch | 1,425 |
| 4位 | Generic PUP.d | 1,285 |
| 5位 | RemAdm-VNCView | 870 |
| 6位 | MWS | 667 |
| 7位 | Generic PUP.z | 644 |
| 8位 | ASKToolbar.dll | 515 |
| 9位 | SearchSettings | 382 |
| 10位 | Adware-Softomate.dll | 367 |
McAfee Blogより
McAfee Blogでは、日々検知される脅威などについて、最新の分析結果を知ることができる。興味深い事例などについて紹介したいと思う。今回は、銀行のATMに感染するマルウェアである。特殊なクレジットカードを何度も使い、トロイの木馬をATMに仕込む。このマルウェアに感染すると、暗証番号の表示や現金全額の強制払い戻しが行われるとのことだ。現時点では、ロシアや東欧で発生している。
 |
図2 McAfee Blog「銀行のATMに感染するマルウェア」(McAfee Blogより) |