マカフィーは、2010年第1四半期の脅威レポートを発表した。レポートの全文は、こちらである。

脅威の動向

まずは、2010年第1四半期のおもな動向であるが、以下の通りである。

  • 最近発生した大惨事がスパムメールで悪用される。サイバー犯罪者にとって地震などの自然災害は格好の話題となっている。
  • 2009年に変化のあったスパム発生量は2008年中頃の水準に戻った。
  • 一部の地域ではマルウェアの増加率が横ばいか、下降気味となった。しかし、全体的にはその数は決して少なくない。最終的には2009年と同じ結果が予想される。
  • 2010年第1四半期で最も注目されたターゲット攻撃にOperation Auroraがあった。今後数年間、企業を狙うサイバー犯罪者に多大な影響を与える可能性がある。また、この攻撃の多くでは、Microsoft Internet Explorer、Adobe Reader、Acrobatの脆弱性が悪用された。
  • 納税の時期になり、税金関連のスパムが増加、さらに、本物の銀行や国税庁に見せかけたフィッシングサイトや電子メールが検出された。
  • 偽のセキュリティ対策ソフトを販売したり、クリック詐欺で利益を得るために、サイバー犯罪者によるWeb検索結果の改ざんが行われた。
  • サイバー犯罪者は、パスワード盗用型のトロイの木馬とポルノ画像や偽のセキュリティソフトウェアを組み合わせ、詐欺行為を行う。攻撃対象は、Facebookユーザーである。
  • マルウェアの散布にはWeb 2.0の機能が悪用された。
  • スケアウェア(偽のセキュリティ対策ソフト)に関連する詐欺行為が増加。スケアウェアによってサイバー犯罪者は多大な利益を得ている。
  • 政治的なハクティビズムも発生している。ロシアの新聞社やラトビアの国税局、オーストラリア政府機関に対してサービス拒否攻撃やページの改ざんが行われた。

以下、いくつかの具体例を見ていこう。

依然として猛威を振るうUSBワーム

最も検出数が多かったマルウェアは、ポータブルストレージデバイスに対する脅威であった。自動実行関連の感染が第1位と第3位を占めたのは、リムーバブルデバイス(おもにUSBデバイス)が広く普及していることが理由である。パスワードを盗むトロイの木馬は、Generic Downloaderや迷惑プログラム、匿名で統計値を収集するゲームソフトなど、各種が上位5位に入っている。過去の調査とは異なり、これらの脅威は、世界各地で一貫してランクインしている。

世界で流行っているマルウェアのトップ5

順位 マルウェア 解説
1位 Generic! Atr リムーバブル ディスクに感染する一般的なマルウェア
2位 Generic.dx 一般的なダウンローダ型トロイの木馬
3位 W32/Conficker.worm!inf Confickerワームを検出、リムーバブルディスクに感染
4位 Generic PUP 一般的な不審なプログラム(PUP)
5位 GameVance 匿名で統計情報を収集するオンラインゲームソフトウェア

サイバー犯罪者が悪用するソフトウェアは、Operation Auroraでも狙われたInternet Explorerが最も多かった。この攻撃では、パッチの存在しないInternet Explorerの脆弱性を悪用し、30社ほどの企業を標的に行われた。この攻撃用に特化したマルウェアが使用され、検出を回避する難読化も行われている。企業を狙ったサイバー犯罪に対して、今後数年間Operation Auroraは重大な影響を及ぼす可能性があるとマカフィーでは警告している。

国によって大きく異なるスパムメールの件名

スパムメール発生量は、2009年第4四半期とほとんど変りわなく、5%の増加となった。1月から3月までのスパムトラフィックは1日あたり約1,390億通で、電子メール全体の89%を占めてた。前回のレポートで予測したように、昨年末に確認されたスパム発生の低下傾向(24%)は、継続しなかった。スパムトラフィックは2009年中頃にピークに達した後(平均で1,750億通/1日)、現在は2008年中頃の水準に戻っている。2008年の11月にスパムホスティングプロバイダのMcColoが閉鎖される前の状態に近くなっている。

図1 世界で発生しているスパムメールの数と電子メールに占める割合(2010年第1四半期の脅威レポートより)

2010年第1四半期の発見の1つに、スパムメールの件名が国によって大きな違いが見られた。中国、韓国、ベトナムでは、学位取得スパムメールが極めて多く検出された。これらのスパムメールでは、職業欄などに資格を書けるよう、偽造文書の購入を促すものであった。その一方、シンガポールや香港、日本では、配信確認メッセージのスパムメール率が突出していた。

検索エンジンの機能を悪用する攻撃

検索エンジンもサイバー攻撃者の攻撃対象となった。サイバー攻撃者は、検索エンジンのページランキングのロジックを悪用して、不正なサイトに誘導するリンクを上位に表示しようとする。そこでは、ユーザーを騙すためにその日に起きた出来事や流行の言葉を使う。2010年第1四半期では、次のようなトピックが検索結果の上位に表示された。

  • ハイチの地震
  • 中国の地震/ハワイの津波警報
  • トヨタのリコール問題
  • Apple iPad
  • 2010 NCAAバスケット3月の狂乱
  • タイガー・ウッズのスキャンダル
  • フロリダの水族館/サメに襲われた飼育員
  • リュージュ競技での事故
  • グラウンドホッグ・デイ
  • 医療保険制度改革法案

多くの攻撃者は、Google TrendsなどのRSSフィードから抽出した人気の検索語を含むWeb ページと相互リンクを作成する。不正なリンクをクリックすると、予測したコンテンツが表示されず、部分的なテキストと大量のリンクを含むページが表示されることがよくある。最近では、PDFファイルに不正なコンテンツを埋め込む手口もある。GoogleでPDFを検索すると、不正な文書でもQuickViewで表示できるように変換される可能性があるため、被害が拡大する危険性がある。このような攻撃は、偽のウイルス対策ソフトのサイトに誘導して、偽のセキュリティ対策ソフトを購入させることを目的としている。

図2 偽のセキュリティ対策ソフトのスキャン結果