エフセキュアは、2009年第3四半期のセキュリティ総括を発表した。
ソフトウェアの軽量化と最適化が進む
まずレポートでは、最近のソフトウェアに関連する状況分析を行っている。一言でいえば「ソフトウェアの軽量化とパフォーマンスの最適化」である。2009年8月に発売されたMac OS Xの新バージョンSnow Leopardでは、この傾向より推し進め、トロイの木馬に対応した数種のアンチウイルス機能を搭載する。一方、2009年10月には、次期Windows OSであるWindows 7がリリースの予定である。こちらも、前バージョンのWindows Vistaと比べて軽量化およびセキュリティ強化が図られている。
なかでも、Windows Vistaのユーザアカウント制御(UAC)は頻繁に警告画面が出るために、ユーザーによってはUACを無効化してしまい、セキュリティレベルが下がってしまう現象が発生した。Windows 7では、この点について、制御可能なように(メッセージを抑制するなど)改善される。
Googleでは、新しいGoogle Chrome OSがアプリケーションのほとんどをWeb上でホストすることで、余分なものをできるだけ省くという設計思想に沿って開発を行っていると発表している。Webブラウザでも、Firefoxブラウザには新規のプライベートブラウザ機能が導入され、またFirefox 3.5.3には、インターネットユーザーにとってセキュリティホールとなる可能性が大きくなっている旧バージョンのAdobe Flash Playerに対する警告機能を搭載している。このように、OS、アプリケーション共に、安全性への対応が着実に進んでいる。日ごろのアップデートだけでなく、最新のものを使うようにしたいものである。
検索エンジンの競争激化がセキュリティ強化につながる
MicrosoftとYahoo!が提携により、Yahoo!の検索エンジンは、今後MicrosoftのBingに移行する。Microsoftは、Bingにアダルトコンテンツのフィルタリングなど新しい機能を導入することにより、Googleに対抗していく予定だ。これにより、検索結果の安全性を高めることにつながることが予想される。最近では、有名人の弔報(マイケル・ジャクソン、ファラ・フォーセット、パトリック・スウェイジ)が、オンライン犯罪者によってSEO攻撃に悪用され、偽のアンチウイルス製品を購入するよう仕向けられるなどのフィッシング詐欺が頻繁に報告されている。さらに、新型インフルエンザ(H1N1)も、詐欺サイトに誘導するための、感情に訴える「わな」として悪用されているとのことだ。
ソーシャルネットワーキングサイト(SNS)が攻撃対象に
2009年9月に入り、米国SNSのFacebookのアカウント数が3億に達した。ソーシャルネットワークは、「友人」や「知り合い」といった個人的なつながりが前提となる。友人からのメールであったり、知り合いの動画といっただけで、つい信用してしまいがちである。そこを犯罪者は狙っているのである。この特徴を悪用し、悪質なサイトに誘導する手法が多発している。以前よりエフセキュアでは、インターネットユーザーにより安全で堅牢なパスワードを設定するよう呼びかけており、特にFacebookとE-Mailアカウントに使用するログイン情報に同じパスワードを使用しないよう忠告している。また、8月にはTwitterがボットネット構築に悪用され始めた。さらに、Twitterアカウントを偽のAV製品への誘導にも利用する例も報告されている。
政治的動機によるDDoS攻撃
2009年8月、グルジア人ブロガーのTwitter、Facebook、LiveJournal、Google Blogger、YouTubeのアカウントがDDoS攻撃を受けた、とCNETのElinor Mills氏が伝えた。マレーシアの独立記念日8月31日には別なDDoS攻撃が仕掛けられ、ハッカーはマレーシア国内のWebホストを標的とし、100を超えるWebサイトが改ざんされた。標的には国立の機関、大学、主要メディア、商業サイトなどが含まれていた。これらの目的はいずれも政治的な動機とみられている。
携帯電話を標的とする脅威が復活
この第3四半期には、SMSワームYxe(別名Sexy View)がSexy Spaceに形を変えて再び登場した。新しい亜種のYxe.Dでは旧種とは異なる中国の企業が、Symbian発行の証明書を取得している。つまり、ワームをインストールをしようとしても、セキュリティ警告がでないようになってしまう。これは、ワームの作者がExpress Signing手続きを使い、Sexy Spaceを提出したと考えられている。そして、電話帳のすべての連絡先に、メッセージを送信する。その費用は、被害者の負担となる。
また、古い「不在着信詐欺」も復活している。知らない番号から国際電話がかかり、応答するとすぐに切れてしまう。好奇心に駆られて、この番号に折り返し電話すると呼び出し音が聞こえるだけだが、実際にはこの通話が特別なレートで課金されている。対策としてエフセキュアでは、見慣れない電話番号の場合、折り返し電話をする前にGoogle、またはWhoCallsMe(英語)などで検索することを推奨している。
エフセキュアの2009年第3四半期セキュリティ総括の詳細(英語)は、こちらを参照のこと。