マカフィーは、2012年のサイバー脅威の状況を発表している。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。
ウイルス
2012年の特徴として、以下の3つを取り上げている。
・Drive-by-Download攻撃-Blackhole
・オートランワームの脅威
・標的型攻撃
これら3つに共通するのが、「脆弱性の悪用」である。Drive-by-Download攻撃では、Blackholeという脆弱性攻略ツールが使われた。HTMLやJavaScriptによる不正なリダイレクトに加え、さまざまな脆弱性の攻撃によって構成される。脆弱性に関しては、JRE(Java Runtime Environment)の脆弱性などが多く悪用された。ランキングでは、検知会社数の4位のJS/Exploit-Blacole.gg、7位のJS/Exploit-Blacole.gc、10位のJS/Blacole-Redirect.iが不正なリダイレクトを行う。最終的にはトロイの木馬がインストールされるが、その中には9位にランクインした偽セキュリティ対策ソフトなどがある。
USBメモリなどを経由して感染するワームは2012年も猛威を振るった。検知会社数ランキング1位のGeneric!atr、6位のGeneric Autorun!inf.gが該当する。2位のW32/Conficker.wormも外部メディア経由で感染する機能を持っている。また、2012年の特徴として、海外では、フォルダ偽装をするタイプが多く検出された。感染すると、外部メディア上ですでに存在しているフォルダを隠し、フォルダアイコンを持つ同名のワームがコピーされる。さらに、感染するとレジストリ情報を改ざんし、拡張子や隠し属性のあるフォルダを表示しないようにする。もちろん、ユーザーに感染を気づかせないようにするのが目的である。日本やアジア各国では、3位のGeneric PWS.akが多く検出された。このワームに感染すると、オンラインゲームのパスワードスティーラーがインストールされる。
標的型攻撃は、マスコミなどでも取り上げられる機会が増え、2012年は注目を集めた。しかし、攻撃自体は過去から存在している。特定のユーザーを狙うため、検知数がそれほど多くはない。したがって、ランキングに登場する機会は、あまり多くはない。しかし、標的型攻撃を行うウイルスに感染すると、機密漏えいなどの重大な被害が発生する危険性がある。特に、2012年は、PDFの脆弱性(Exploit-PDF)やRTFファイルの脆弱性(Exploit-CVE2010-3333、Exploit-CVE2012-0158)が他の攻撃に比べ比較的多く見られたとのことである。
McAfee Labs東京主任研究員の本城信輔氏は「脆弱なFlashファイルを悪用したMicrosoftのオフィスファイルによる攻撃も続いています。数は多くはないですが、一太郎の脆弱性を悪用した攻撃もまだ存在しています。PDFファイルやMicrosoftのオフィス、一太郎などの文書ファイルがメールに添付されている場合は、決して安易にクリックしてファイルを開くことのないように注意しましょう。亜種も非常に多く存在しており、マカフィーでは、標的型攻撃に利用される脆弱性攻撃や、それらに使われるバックドアの検知強化に努めています。なお、一番の効果的な対策は脆弱性の修正と不審なメールに対する対策であることにご留意ください。標的型攻撃の傾向は今後も続くと予想されますので、一層の警戒をお願いします」と注意喚起している。
表1 2012年のウイルストップ10(検知会社数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Generic!atr | 3,459 |
| 2位 | W32/Conficker.worm!inf | 1,984 |
| 3位 | Generic PWS.ak | 892 |
| 4位 | JS/Exploit-Blacole.gg | 796 |
| 5位 | W32/Mariofev!mem | 738 |
| 6位 | Generic Autorun!inf.g | 737 |
| 7位 | JS/Exploit-Blacole.gc | 688 |
| 8位 | Generic.dx | 656 |
| 9位 | FakeAlert!grb | 556 |
| 10位 | JS/Blacole-Redirect.i | 551 |
表2 2012年のウイルストップ10(検知データ数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | W32/Conficker.worm!job | 214,400 |
| 2位 | X97M/Laroux.a.gen | 143,465 |
| 3位 | W32/Conficker.worm.gen.a | 114,737 |
| 4位 | Generic!atr | 70,507 |
| 5位 | ZeroAccess | 62,553 |
| 6位 | W32/Fujacks.remnants | 53,057 |
| 7位 | X97M/Laroux.go | 45,187 |
| 8位 | W32/Conficker.worm!inf | 37,594 |
| 9位 | W32/Conficker!mem | 20,285 |
| 10位 | W32/Conficker.worm | 19,474 |
表3 2012年のウイルストップ10(検知マシン数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Generic!atr | 11,183 |
| 2位 | W32/Conficker.worm!inf | 6,235 |
| 3位 | W32/Conficker.worm.gen.a | 6,074 |
| 4位 | W32/Conficker.worm!job | 5,457 |
| 5位 | Generic Autorun!inf.g | 2,355 |
| 6位 | Generic PWS.ak | 2,248 |
| 7位 | JS/Exploit-Blacole.gg | 2,155 |
| 8位 | W32/Mariofev!mem | 1,416 |
| 9位 | Generic.dx | 1,180 |
| 10位 | New Autorun!inf.b | 1,157 |
PUP
PUP(不審なプログラム)は、従来と比べて大きな変化はない。月次のランキングと同じような結果となった。注目すべきは、2011年と比較すると、全体的な件数が大きく減少している。これは、PUPが従来ほど活発な活動を行っていないこと示している。
表4 2012年の不審なプログラムトップ10(検知会社数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x | 1,072 |
| 2位 | Tool-PassView | 669 |
| 3位 | Adware-UCMore | 639 |
| 4位 | Adware-OptServe | 638 |
| 5位 | Generic PUP.x!bjg | 497 |
| 6位 | Adware-OpenCandy.dll | 439 |
| 7位 | Generic PUP.z | 405 |
| 8位 | Exploit-MIME.gen.c | 377 |
| 9位 | Generic PUP.d | 372 |
| 10位 | RemAdm-VNCView | 251 |
表5 2012年の不審なプログラムトップ10(検知データ数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x!bjg | 213,597 |
| 2位 | Exploit-MIME.gen.c | 162,848 |
| 3位 | Adware-OptServe | 105,927 |
| 4位 | Generic PUP.x | 100,016 |
| 5位 | Generic PUP.d | 70,693 |
| 6位 | RemAdm-VNC | 68,137 |
| 7位 | Generic PUP.z | 38,969 |
| 8位 | RemAdm-VNCView | 33,124 |
| 9位 | MWS | 29,616 |
| 10位 | Metasploit | 29,075 |
表6 2012年の不審なプログラムトップ10(検知マシン数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | RemAdm-VNCView | 2,022 |
| 2位 | Tool-PassView | 1,843 |
| 3位 | Generic PUP.x | 1,787 |
| 4位 | Generic PUP.x!bjg | 1,102 |
| 5位 | Adware-UCMore | 1,082 |
| 6位 | RemAdm-VNC | 1,057 |
| 7位 | Adware-OptServe | 933 |
| 8位 | Adware-OpenCandy.dll | 763 |
| 9位 | Exploit-MIME.gen.c | 676 |
| 10位 | Tool-ProduKey | 638 |
