1. No category

フォーティネットウイルス対処状況レポート (2007 年 4 月度)

報道発表資料
平成 19 年 5 月 10 日
フォーティネットジャパン株式会社
フォーティネットウイルス対処状況レポート
(2007 年 4 月度)
今月のサマリー:
•
監視の目を潜って悪事を働く
•
安価なポリモーフィズムで大きな効果
● 4 月の脅威の状況
フォーティネットの FortiGate が発見した脅威トップ 10
1
HTML/BankFraud.E!phish
10.68
2
HTML/Phishbank.BGU!phish
5.57
3
W32/Stration.JQ@mm
2.28
4
W32/Bagle.DY@mm
2.01
5
W32/Netsky.P@mm
1.95
6
HTML/Iframe_CID!exploit
1.67
7
W32/Grew.A!worm
1.17
8
Adware/Solutions180
1.03
9
W32/Bagle.GT@mm
1
10
W32/ANI07.A!exploit
0.94
今月のトップ 10 には 4 つの興味深い事象が含まれています。
•
フィッシングの復活: 先月は HTML/Volksbanken!phish の検知が 21 位、BankFraud.E
が 25 位、そして BankFraud.OD が 32 位へと、それぞれ下落したものの、BankFraud.E
および Phishbank.BGU の検知の合計が 16%以上になり、フィッシングが再びトップ
となりました。全体的にみると、フィッシングの検知は先月から 13.72%増加してい
ます(先月は全検知の 3.72%でしたが、今月は 17.44%となっています)。
•
Adware/Solutions180 の復活: 先月は 10 位だった悪名高いこのアドウェアは、現在
ランキング 8 位です。しかし下記の図 1 をみると、活動ピークが存在しないことが
大きな特徴です。前回のレポートでご説明した通り、活動ピークの存在は、ボット
ネットを使ったスパイウェアやアドウェアの大規模な種まきの特徴になっています。
図 1:Adware/Solutions180 の活動カーブは適度に安定しています
http://www.fortiguardcenter.com/reports/roundup_apr_2007.html
この図(図 1)は、ボットネットが動力源となっていた、かつての Adware/BetterInternet の活動
カ ー ブ と 比 較 し て み る 必 要 が あ り ま す 。 下 記 の 図 2 が 2006 年 2 月 に 観 測 さ れ た
Adware/BetterInternet の活動です。
図 2:Adware/BetterInternet の活動カーブは毎週月曜日と木曜日にインストールのピーク
がみられます
http://www.fortiguardcenter.com/reports/roundup_apr_2007.html
•
Stration の急増: 今月は、Stration の変種である W32/Stration.JQ@mm が大々的に散
布されたため、トップ 10 の 3 位となりました。この脅威の活動が 1 ヶ月間にどのよ
うに推移したか見てみると、検知のほとんどは 4 月 19 日というたった 1 日のブラッ
ク デーに集中していることがわかります。
図 3: 今月の Stration の亜種
http://www.fortiguardcenter.com/reports/roundup_apr_2007.html
•
10 位でも油断は禁物: W32/ANI07.A!exploit が今月のトップ 10 を締めくくってい
ます。この危険度の高い脆弱性(別名、MS07-017)は今月、絶え間なく攻撃され、
全体では全世界における 4 月のマルウェア活動の 1%を占めています。これは、主
に Web 上で行われる脆弱性への攻撃としては途方もなく高いスコアです。一部のユ
ーザが、いまだにパッチを当てずにネットサーフィンしていることを考えると、ぞ
っとします。
監視の目を潜って悪事を働く
今月、当社のハニーポット(おとりシステム)に面白いEメールが引っかかりました。せか
せか動き回るメディアを見て回る中で、下着を着け忘れたポップ界のスーパースターがま
た一人、パパラッチの餌食になったようにみえます。標準的なEメール クライアントを使
うと、このEメールは下記のように(ただしモザイク部分は除く)表示されます。
図 4:誰だか当ててみてください
http://www.fortiguardcenter.com/reports/roundup_apr_2007.html
これは有名人のゴシップをネタにしたブログに、今まで何度も取り上げられてきたもので
す。この画像をクリックすると怪しげなサイトに飛ばされることにご注意ください。ソー
シャル エンジニアリングの基本ですが、有名人のゴシップとヌードは、非常に効率の良い
ソーシャル エンジニアリングの 2 大要素であり、目的の場所(このケースでは、ポルノ サ
イトの登録ページ)に人々を誘導します。しかしながら、この E メールの html ソースは、
下記の図 5 に示された通り、もっと興味深いものがあります。
図 5: ソースのアップ
http://www.fortiguardcenter.com/reports/roundup_apr_2007.html
基本的に、この危険な作戦(子供たちでさえ、それが大人のメールボックスであれ、本人
のものであれ、このメールが届いているメールボックスにひょっこりと遭遇してしまうこ
とでしょう)の裏に潜むスパム作者たちは、アンチスパム フィルタというレーダーに引っ
かからないよう、おとりのテキストに画像リンクを奥深く埋め込んでいます。こうしたテ
キストはニュースグループや公開されているインターネット フォーラムから引用されて
います。引用元は写真のフォーラムからコンピュータに関するニュースグループまで多種
多様、しかも様々な言語で書かれており、生成するメールに実に「人間っぽい」(少なく
ともアンチスパムのベイジアンフィルタの目にはそう映る)タッチを添えています。そし
て、おとりのテキスト部分を標的となったユーザの目から隠し、彼らが写真から注意をそ
らさないようにするために、テキスト部分は HTML コメント、または「スタイル」タグに
埋め込まれています。
フォーティネット Global Security Research Team のマネージャーであるギョーム ラベットに
よると、この戦略は、まぎれもなく興味深いものであるものの、いくつかの弱点があると
いいます。まず第一に、インテリジェントなアンチスパム システムは、ユーザインタフェ
ースに表示されないことが明白なテキスト(HTML コメントおよびスタイルのパラメータ
は通常、表示されません)をベイジアンフィルタに送り込むことはしません。さらに、こ
の非表示のコンテンツの存在により、この E メールがまぎれもない「スパム的な」性質を
持つ疑いが高まります。高感度なフィルタなら、3,000 文字以上もある E メールを、しかも
様々な言語を混ぜて書く人など、ほとんどいないことに気が付くでしょう。
この正反対のアプローチで、「株価操作」を試みるスパムを捕捉しました。
図 6: 短いメッセージが効果的
http://www.fortiguardcenter.com/reports/roundup_apr_2007.html
メール本文は必要最小限なものとなっています。同様に、このスパム作者は、今日のスパ
ムフィルタが主として大量のおとりテキストで武装された画像ベースのスパムを防止する
ことに重点を置いていることを念頭に、このような短いメッセージでスパムフィルタには
完全に人間的なものに映ることに望みをつないでいます。これは興味深いアプローチです。
安価なポリモーフィズムで大きな効果
今月、Tibsウイルス(別名「嵐のワーム」)が新たな局面に達しました。数ヶ月前、マルウ
ェア界に鳴り物入りで出現して以来、表舞台を独り占めしてきたこのサーバ側ポリモーフ
ィズムのウイルスは、忘れかけられていた旧来のソーシャル エンジニアリング戦略を使い
だしました。このウイルスはパスワード保護された(従って、暗号化された)zipアーカイ
ブの形でEメールに添付されて送り付けられます。もちろんEメールの本文にはTibsの過去
の変種に特徴的なソーシャル エンジニアリングのように、「あなたのアカウントから感染
Eメールが送付されています、云々。クリーンアップのためにこのファイルを実行してくだ
さい。システム管理者からのお知らせ」といったメッセージが使われており、保護された
アーカイブを開くためのパスワードは画像で添付され、アンチウイルス フィルタがパスワ
ードを解析してアーカイブの抽出およびコンテンツのスキャンを行わないように仕組まれ
ています。
これは今に始まったことではなく、Bagle の初期バージョンが 3 年ほど前に同様のトリック
を使っています。しかしその当時の目的は、単にこのワームの変更を行わないで古い亜種
を再利用することでした。
それでは、なぜこの脅威が突如として再浮上してきたのでしょう?
私たちの推測では、か
つてサーバ側ポリモーフィズムを多用していた Tibs 作者たちが、この戦略を使えば非常に
安価で効果的なサーバ側ポリモーフィズムを導入できることに気づいたからだと思われま
す。パスワードを画像に埋め込むことで、こうしたアーカイブの抽出の自動化がアンチウ
イルス フィルタにとってとりわけ困難なものになります。
当社が W32/PkTibs.fam!tr として探知している、パスワード保護されたアーカイブの変種は、
今月探知された Tibs 全体の 45%を占めています。これは下記の図 7 に示す通り、4 月 11 日
に実行された、決められた時間どおりの散布が大きな原因となっています。
図 7: PkTibs 対 Tibs
http://www.fortiguardcenter.com/reports/roundup_apr_2007.html

 Download  Report
セキュリティ対策(2)

セキュリティ対策(2)

戦前期の航空機用揮発油の技術開発

戦前期の航空機用揮発油の技術開発

12年目の決戦!! 「前県都市長」vs「現職知事」

12年目の決戦!! 「前県都市長」vs「現職知事」

弊社名を騙った偽サイトについて - Neuve

弊社名を騙った偽サイトについて - Neuve

2011年度配布資料,pdf形式で約130 KB

2011年度配布資料,pdf形式で約130 KB

耳を澄ませて声を「聴く」日本人 相手の口を注視する英米人と

耳を澄ませて声を「聴く」日本人 相手の口を注視する英米人と

part 2 of 7 - The Religion of Islam

part 2 of 7 - The Religion of Islam

成果報告会プログラム (PDFファイル)

成果報告会プログラム (PDFファイル)

PWMAPR-Mシリーズのカタログ

PWMAPR-Mシリーズのカタログ

IPSエンジン手動アップデート手順 (FortiOS 5.2.3)

IPSエンジン手動アップデート手順 (FortiOS 5.2.3)

最新ウイルス事情 2002.2.16 資料

最新ウイルス事情 2002.2.16 資料

ACX-PAC(W32)

ACX-PAC(W32)

Paperzz.com

Your Paperzz

© Copyright 2024 Paperzz