マカフィーは、2011年2月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。また、マカフィーセキュリティニュースを紹介しよう。今月のランキングで注目したいのは、W32/Ramnitである。
ウイルス
今月のランキングで注目したいのは、W32/Ramnitである。検知データ数で1位にW32/Ramnit.a!htmが、2位にW32/Ramnit.aと2つの亜種がランクインしている。W32/Ramnitは、EXE、DLL、HTMLファイルに感染するウイルスである。その感染活動を紹介しよう。具体的にW32/Ramnit.a!htmに感染すると、PC内のすべてのHTMLファイルに対し、感染活動が行われる。実際には、図1のように「WriteData = "4D5A…」で始まるVB Scriptが追加される。
図1 改ざんされたHTMLファイル(マカフィーのブログより) |
PC内のHTMLファイルが約200バイトほど増加する。最終的には、追加されたコードをバイナリファイルにし、不正なプログラムを実行しようとする。Webサーバーのファイルが感染した場合、閲覧したユーザーに感染する可能性がある。このようなウイルスをファイル感染型と呼ぶ。W32/Ramnitに感染すると、PC内のファイルに自身のウイルスコードをさまざまな方法で付着していく。
McAfee Labs東京・主任研究員の本城信輔氏は「このように、一度感染すると沢山のファイルに感染を広げる特性のため、W32/Ramnitは検知会社数や検知マシン数にランクインしていませんが、検知データ数としてかなりの件数が検知されています。W32/RamnitはBackDoorとしての機能も持っており、感染したPCが不正に操作されたり、重要な情報が漏えいしたりする可能性があるため、一層の注意が必要です」と注意喚起をしている。
検知会社数の3位、検知マシン数の7位にランクインしたGeneric FakeAlert.amも新顔である。Generic FakeAlert.amは、SecurityTool/Security Sheild/System Toolなどの偽セキュリティ対策ソフトである。これまで、偽セキュリティ対策ソフトが単独でランクインすることは少なかったが、いかに増加しているかが推察できる。感染経路であるが、
- 他のダウンローダ型のトロイの木馬からインストールされる
- メールの添付ファイルや脆弱性を悪用したWeb経由のDrive by Download攻撃から感染
が多い。OSやアプリケーションの脆弱性は速やかに解消するようにしてほしい。
表1 2011年2月のウイルストップ10(検知会社数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Generic!atr | 1,073 |
| 2位 | Generic PWS.ak | 393 |
| 3位 | Generic FakeAlert.am | 205 |
| 4位 | PWS-Gamania.gen.a | 132 |
| 5位 | W32/Conficker.worm.gen.a | 114 |
| 6位 | Generic.dx | 113 |
| 7位 | Generic PWS.o | 112 |
| 8位 | Exploit-CVE2011-0096 | 70 |
| 8位 | PWS-Gamania.b!l | 70 |
| 10位 | W32/Conficker.worm!job | 65 |
表2 2011年2月のウイルストップ10(検知データ数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | W32/Ramnit.a!htm | 513,942 |
| 2位 | W32/Ramnit.a | 246,471 |
| 3位 | W32/Conficker.worm!job | 58,899 |
| 4位 | Generic Dropper!dil | 21,957 |
| 5位 | W32/Conficker.worm.gen.a | 16,064 |
| 6位 | W32/Almanahe.c | 14,098 |
| 7位 | Generic!atr | 12,693 |
| 8位 | Generic.dx!vxk | 7,190 |
| 8位 | Generic.dx!vxd | 7,190 |
| 10位 | W32/Pate.b | 5,428 |
表3 2011年2月のウイルストップ10(検知マシン数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Generic!atr | 3,582 |
| 2位 | W32/Conficker.worm.gen.a | 1,376 |
| 3位 | W32/Conficker.worm!job | 1,322 |
| 4位 | Generic PWS.ak | 1,099 |
| 5位 | PWS-Gamania.gen.a | 423 |
| 6位 | W32/Conficker.worm.a!a | 301 |
| 7位 | Generic FakeAlert.am | 276 |
| 8位 | Generic PWS.o | 246 |
| 9位 | VBS/Autorun.worm.k | 233 |
| 10位 | Generic.dx | 181 |
PUP
PUP(不審なプログラム)は、いつもながら大きな変化は見られない。いずれのランキングでも、下位にわずかな変動が見られる程度である。注意すべきは、検知データ数で、 Proxy-OSSが451,817と、例月にない検知数となっている点である。フリーソフトのダウンロードなどには、くれぐれも注意してほしい。
表4 2011年1月の不審なプログラムトップ10(検知会社数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x | 1,087 |
| 2位 | Adware-OptServe | 714 |
| 3位 | Generic PUP.d | 601 |
| 4位 | ASKToolbar | 570 |
| 5位 | MySearch | 389 |
| 6位 | MWS | 372 |
| 7位 | Generic PUP.z | 314 |
| 8位 | ASKToolbar.dll | 277 |
| 9位 | FunWeb | 248 |
| 10位 | Adware-Softomate.dll | 229 |
表5 2011年1月の不審なプログラムトップ10(検知データ数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Proxy-OSS | 451,817 |
| 2位 | MWS | 60,760 |
| 3位 | Adware-OptServe | 42,807 |
| 4位 | Generic PUP.x | 40,258 |
| 5位 | MySearch | 37,665 |
| 6位 | Proxy-OSS.dll | 36,439 |
| 7位 | Generic PUP.d | 26,910 |
| 8位 | FunWeb | 17,528 |
| 9位 | Exploit-MIME.gen.c | 16,639 |
| 10位 | ASKToolbar.dll | 12,248 |
表6 2011年1月の不審なプログラムトップ10(検知マシン数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x | 2,321 |
| 2位 | Adware-OptServe | 1,342 |
| 3位 | MySearch | 1,339 |
| 4位 | ASKToolbar | 1,334 |
| 5位 | Generic PUP.d | 1,086 |
| 6位 | RemAdm-VNCView | 666 |
| 7位 | MWS | 607 |
| 8位 | ASKToolbar.dll | 503 |
| 9位 | Generic PUP.z | 501 |
| 10位 | FunWeb | 372 |
マカフィーセキュリティニュース
マカフィーでは、さまざまな情報提供を行っている。ブログなどでは、最新の脅威状況を知ることができる。今回、紹介したいのはマカフィーセキュリティニュースである。こちらの目的ももちろん脅威情報の提供とその対策などを紹介するものだ。
 |
図2 マカフィーセキュリティニュース |
ブログなどと比較すると、より初心者にも親しみやすい構成となっている。最新記事では、フェイスブックで個人情報が狙われている状況を紹介している。
 |
図3 狙われているFacebook「フェイスブック」の個人情報 |
先月の2011年のサイバー脅威予測でも、SNSは悪意を持った攻撃者の攻撃対象となりやすいと指摘した。その具体例などが紹介されている。また興味を引いたのは、脅威もさることながら、SNSの中毒性や情報漏えいなどについても言及して、さまざまな角度から分析をしていることだ。このレポートでもコメントを付けている本城氏も、記事を執筆している。興味ある方は、ぜひご覧になっていただきたい。
