シマンテックは3日、2009年上半期のセキュリティトレンドの報告を行った。発表を行ったのは、シマンテックセキュリティレスポンスのシニアマネージャー浜田譲治氏である(図1)。本稿では、その内容のいくつかを紹介したい。
マルウェアの増大が続く
まず、ワールドワイドで毎月、2億4,500万件以上の攻撃が確認されているとのことである。ほとんどのマルウェアはWebサイトを介して配布される。攻撃のほとんどはシグネチャー的には未知のものである。未知のものをどのように検出したのかは、ヒューリスティックによる悪意を持ったふるまいを検知することで行われている。また傾向として、数百万の異なる脅威を小規模に配布されている。
同様に、多くのマルウェアは、既知のファミリーから派生した数千の異なる脅威であるとのことだ。これは、ウイルス対策ソフトの検知から逃れるために、悪意を持った攻撃者が微妙な違いを持つ亜種を多数作っていることがうかがわれる。ちなみに、大元となる既知のファミリーは、シマンテックの見解では、数百という単位(千は越えない)ではないかと分析している。Webサイトをはじめに配布されたマルウェアは、ファイル共有、電子メール、リムーバブルメディア(特にUSBメモリなど)を介し、拡散していく。
そして、これらの脅威に対抗するためには、従来のシグネチャーベースの対策では不充分である。ヒューリスティック、挙動分析、レピュテーションによる検出技術の必要性が高まっていると指摘していた。
経済危機を悪用した攻撃
2008年のリーマンショック以来、世界中を経済危機が襲った。この世界的な経済危機もまた、2009年の攻撃の基盤になろうとしている。もっともよく見られるものは、失業者などを対象したスパムメールやフィッシング詐欺である。また、借金などで苦しむ人々に、偽のローンや融資話をもちかけるという手口も頻繁に使われている。図3の左下のメールは、米国IRS(歳入庁)を騙るもので、添付されたファイルを開くとマルウェアに感染する。
また、図3の右下は、自動車の購入費用の助成をするという偽のWebサイトである。必要な項目(個人情報)などを入力させ、それらの情報を盗み出す。当然のことながら、被害者には、何も行われない。また「在宅勤務」を勧める手口では、悪意を持った攻撃者がマネーロンダリングを行うことを目的としている。不正な方法で入手した盗品やそのままでは使用しにくいもの(犯行が露見する)を現金化しようとするものだ。一般のユーザーに自身の口座を使い、振り込みなどを行ってもらい、数パーセントの手数料を支払うという誘いをするものである。実際には、手数料どころかさらなる被害に遭うこともある。
ソーシャルネットワークを使った攻撃
最近、ソーシャルネットワーク(SNS)を利用するユーザーが急増している。悪意を持った攻撃もまた急増している。ソーシャルネットワークでは、「知り合い」、「知人」といった人間関係があり、つい信用してしまう。そこを悪用することで、これまでにない被害の拡大が発生することがある。具体的な事例では、不正に取得されたユーザーアカウントから、そのユーザーの「友人」を狙うものだ。
たとえば「このビデオを見て!」といった内容のメールを、登録された知人に送る。知人からのメールであるので、つい安心してリンクをクリックし、動画を再生しようとする。その際にプレーヤーのダウンロードが必要などと偽りマルウェアをダウンロードさせる。マルウェアは、そのユーザーの個人情報を盗み出し、さらにそのまた知人に同じようなメールを送りつける。こうして感染を広げていくのである。また、ご存知の方も多いだろうが、Twitterという一種のソーシャルネットワークのサービス(「つぶやき」でリアルタイムにメッセージなどをやりとりする)で、非常に人気を集めている。図4の左の図は、まさにそれを悪用したものである。
まず、スパムメールからこの不正なWebサイトに誘導される。Twitterユーザーならば、簡単にお金儲けができると誘い、登録のために個人情報の入力などを求められる。しかし、登録しても何も起きず、個人情報が盗まれるだけである。
増大するスパムメール
シマンテックの調査によると、2009年には全メールに占めるスパムメールの割合は、再び75%から85%に達すると予測している。2009年6月にはインターネットサービスプロバイダのPrincewert LLCが停止したことにより若干の減少もみられたが、6月末には90%という子高い比率にいたっている。これは正しいメールがわずか10%しかないということである。
図5にもあるが、スパマーは最近の旬な出来事をスパムメールの件名や内容に使うことが多い。最近では、
- マイケル・ジャクソンの死去
- 新型インフルエンザ
- イタリア大地震
などが使われているとのことである。
Webサイトへの攻撃
悪意を持った攻撃者は、ユーザーを自らの悪質なコンテンツをホストするWebサイトに誘導するために、正規のWebサイトを改ざんするという手口を使っている。このように改ざんされたWebサイトは、有名企業や検索サイトなどにも広がり、もはや「有名である」とか「訪問者が多い」といったことが、安全に繋がらないことを示している。
悪意を持った攻撃者は、ユーザーを自身の悪意のあるWebサイトに誘導すると、ドライブバイダウンロードという手口を使い、ユーザーのPCにマルウェアをダウンロードさせる。この際に、ユーザーには知られないように、ひそかに、かつ無断で行うのである。冒頭で述べたように、このような手口を使うことで、最初のマルウェアの感染が行われる。
また最近の傾向として、JavaScriptやパッチ未適用のブラウザを利用するものよりも、プラグインアプリケーションやクロスサイトスクリプティングに対する脆弱性を利用するものが増加している。この理由として、ブラウザなどのバッチは、最近ではほとんど自動で当たることが多い。それに対し、プラグインアプリケーションの場合、まず自動アップデートといった機能を持つものが少なく、種類も多い。ユーザーによっては、きちんと管理されていなことが少なくない。その点を狙っているのである。最近では、PDFや動画を再生するプラグインが狙われる機会が多いとのことである。
図6は、Webサイトへの侵入を許してしまった原因となる脆弱性について分析したものである。2009年はWebサイト固有の脆弱性についてはやや減少が見られる。しかし、悪意を持った攻撃者はつねに脆弱性を狙っており、Web管理者は、アップデートなどの漏れがないようにすべきである。
2009年上半期に見られた傾向
2009年の上半期に見られた特徴をいくつか紹介する。まず、旧式の攻撃手法が復活したことがあげられる。例として、koobfaceとconficker(ダウンアドとも呼ばれる)をまずあげている。koobfaceはソーシャルネットワークを介して拡大するマルウェアである。confickerは最初はWindowsの脆弱性を利用してその感染を拡大した。その後、さまざまな亜種が登場し、攻撃手法も変化していった。koobfaceでは個人情報の盗難、confikerではアカウントの乗っ取りなどの被害が発生する。しかし、感染能力の強さ、配布の多さなどから、非常に多くの感染が報告されている。かつてのマスメールを利用した感染に近い状況となっている。シマンテックではこれらのマルウェアが、今後、一斉に活動を開始するか注視している。
また、2009年には、韓国や米国の政府機関を狙ったDDoS攻撃が発生した。これはTrojan.Dozerというマルウェアが行うDoS攻撃である。結果、いくつかのWebサイトが利用できなくなるといった被害が発生した。攻撃元などがいくつか噂されたが、この攻撃の特徴は「金銭目的ではない」という点である。攻撃元などと合わせ、どのようのな目的であったのかが、注目された。
最後に、Scarewareを紹介しよう。図7の右下の画面は、シマンテックのセキュリティ対策ソフトを真似た偽のセキュリティ対策ソフトである(つい最近発見されたものだそうだ)。このような偽ソフトウェアをScareware(スケアウェア)と呼ぶ。これも2009年になって流行の傾向があるとのことだ。ただし、ほとんどが、英語で作成されている。数年前には、日本語になったScarewareも少なからず存在した。しかし、最近では少ないという。これは攻撃者や作成者に日本人がいないのではないと推察される。結果、翻訳機程度のつたない日本語のScarewareでは欺くことができず、利用価値がないと攻撃者も判断していると思われる。同様に、日本語や特に日本をターゲットとした攻撃もさほど多くはないとのことであった。フィッシング詐欺サイトなどで日本語を表示することがあるくらいとのことだ。
これ以外には、「グリーン」や「エコ」を騙り、売上の一部は環境保護に使われる、といった広告使う手口などもあるとのことだ。いつものことであるが、つねにソフトウェアを最新の状態にし、不審なWebサイトや怪しいメールなどには注意を怠ってはならない。脅威は、増大し続けている。