トレンドマイクロは、2010年のインターネット脅威年間レポートを発表した。2010年の不正プログラム感染被害の総報告数は16,908件で、2009年の45,310件の4割弱となった。

表1 不正プログラム感染被害報告数ランキング[2010年度]

順位 検出名 通称 種別 件数 前年順位
1位 WORM_DOWNAD ダウンアド ワーム 491件 2位
2位 MAL_OTORUN オートラン その他 417件 1位
3位 TROJ_FAKEAV フェイクエイブイ トロイの木馬 178件 10位
4位 TROJ_DLOAD ディロード トロイの木馬 145件 圏外
5位 BKDR_AGENT エージェント バックドア 139件 3位
6位 JS_ONLOAD オンロード JavaScript 133件 圏外
7位 MAL_HIFRM ハイフレーム その他 132件 9位
8位 WORM_AUTORUN オートラン ワーム 120件 圏外
9位 JS_IFRAME アイフレーム JavaScript 109件 6位
10位 JS_GUMBLAR ガンブラー JavaScript 100件 圏外

ランキングにもその傾向が表れている。1位の「WORM_DOWNAD(ダウンアド)」は昨年の2位1,538件から、2位の「MAL_OTORUN(オートラン)」は1位の3,617件から大きく減少した。しかし、その猛威は継続中ともいえよう(こちらの記事を参照)。2010年の特徴はガンブラー攻撃に代表されるように、Webサイトの改ざんによる攻撃があげられる。実際に、「JS_ONLOAD(オンロード)」「MAL_HIFRM(ハイフレーム)」「JS_IFRAME(アイフレーム)」「JS_GUMBLAR(ガンブラー)」の4種がランクインしている。図1は、2006年以降の感染報告の種別割合を示したものだ。

図1 不正プログラムの感染被害報告数の上位10位種の、種別割合(2006~2010年)、脅威年間レポートより

Webサイト改ざんに絡む不正なJavaSciptの比率が、17.4%と増大していることがわかる。また図2は、2001年からの月別の感染報告をまとめたものだ。

図2 2001年以降の月別の感染報告数、脅威年間レポートより

ここでも減少傾向が見てとれる。今回の年間レポートに関し、その分析、将来の脅威懸念などを、リージョナルトレンドラボ(こちらの記事を参照)の原良輔氏、平原伸昭氏、コーポレートコミュニケーション課の多賀谷一央氏にインタビューした。

2010年の脅威を分析

まずは、2010年の脅威について、原氏にうかがった。

リージョナルトレンドラボ原良輔氏

まず、1位となったダウンアドであるが、2009年は2位であった。感染で脆弱性を悪用することから、依然として企業などでの脆弱性の解消が進んでないことが原因でもあると指摘する。2位と8位のオートランは、USBメディアを介して感染する。かつてはフロッピーディスクなどを介した感染が行われたが、その後、物理デバイスを介する感染は減ってきた。しかし、安価・大容量で使いやすいといった理由でUSBメモリの普及が進み、攻撃者にとって、かつてのフロッピーのような有効な感染手口として再認識されてきたと分析する。

2010年にはガンブラー攻撃も多かった。正規のWebサイトから、悪意あるWebサイトにリダイレクトされウイルスに感染、さらにそのウイルスがさらなるウイルスをダウンロードするという感染の連鎖が確認された。原氏はこのような脅威がごく一般的になってきていると指摘する。そして、ダウンロードされるウイルスの1つに、3位に入った偽セキュリティ対策ソフト(フェイクエイブイ)がある。偽の感染情報を表示し、偽のセキュリティ対策ソフトを購入するように促される。

ここに明確な金銭目的が見て取れる。直接的には、購入費用を振り込んでしまう。さらには、クレジットカード番号などの個人情報が奪取される。非常に種類も多く、日本語に対応したものも少なくないとのことだ。

レポートのトピックについては、以下のようなコメントがあった。Webサイト運営側では、脆弱性対策が何よりも急務となる。ガンブラー攻撃では、FTPサーバのアカウント情報を利用してWebサイトを改ざん、ダウンロードされる不正プログラムもアカウント情報を外部に盗み出す機能を持っている。アカウント情報の管理の徹底も行うべきとする。

実際、「123456」といった安易なパスワードやデフォルトのままで使用することも少なくない。この点について多賀谷氏は、社内のPCはファイアウォールで守られているということで、つい隙がでてしまう。弱いパスワードにより、ガンブラーだけでなく、ダウンアド、オートランも防御壁を乗り越えて感染してしまう可能性があり、一度、感染拡大すると除去が非常に困難であると指摘する。そして、閲覧者側でも、OS、アプリケーションの脆弱性の解消が根本の対策となる。

脆弱性を放置すると、ウイルスなどのダウンロードの確認画面が表示されず、感染に気がつかないという事態も考えられるとのことだ。ウイルスの多くは、ユーザーに見つからぬよう、長期間潜伏しようとする。そこで、脆弱性が悪用されるのだ。

コーポレートコミュニケーション課多賀谷一央氏

金銭を目的とした攻撃も偽セキュリティ対策ソフトにとどまらない。フィッシング詐欺などでは、見ただけでは見極めることができないと原氏は警告する。対策は、Webの評価を行い、事前に遮断する機能を持つセキュリティ対策ソフトが求められるとのことだ。ターゲット攻撃も2010年の特徴の1つであった。国内では一太郎やPDFの脆弱性なども狙われた。

また、シーメンスの業務アプリを狙ったスタスクネット(Stuxnet)なども確認された。真偽は定かではないが、金銭目的ではなく政治的意図から攻撃が行われたという説もあるとのことだ。注意すべきは、目的によって、その攻撃対象も変化する点である。

脅威の被害件数の減少について

表1、図2をみると、この数年被害件数は減少傾向にある。この点について原氏は、まずは「見えない化」があると指摘する。ウイルスの多くが、見つからないように潜んで活動を行い、発見されにくくなっている。さらには、ウイルスを使わないフィッシング詐欺なども一因となっているとのことだ。そして、対策によって未然に脅威を防いでいることも大きな理由としている。表2は、トレンドマイクロの企業向け製品がどのくらいの脅威を防いだかを統計的に示すものである。

表2 トレンドマイクロ製品が未然に防ぐ脅威

平均/日 平均/月 平均/年
既知の不正プログラムの検出 4件 121件 1424件
未知の不正な通信の検出 9件 263件 3095件
不正なWebサイトへのアクセス 22件 681件 8012件

(*データは、2010年1月1日~12月31日までに、トレンドマイクロの企業向け製品「Trend Micro Threat Management Solution」を利用する国内のユーザーの総検出数を、1000台単位にして平均値を取ったもの。2011年、トレンドマイクロによる調査)

ここで注目したいのは、既知の脅威だけでなく、未知の脅威やWebレピュテーション技術により、未然に悪意あるWebサイトの閲覧をブロックしている点である。これらにより、実際のユーザーのPCがウイルスに感染する被害を大きく減らしているのである。したがって、表1は実際の脅威が減少していることを示すものではなく、あくまでも問い合わせなどの報告数であり、ウイルスの割合や順位と認識するのがよいようだ。多賀谷氏は補足として、かつてのマスメーラーのように大流行するようなウイルスは少なくなっており、ユーザーもそのような経験をすることが少ない。それをもって、脅威は減ったと勘違いしないようにすべきと注意していた。

2011年の脅威予測

2010年の脅威動向を踏まえ、2011年の脅威予測を聞いた。原氏はまず、スマートフォンが攻撃対象となる点を指摘した。攻撃者の目的は金銭にあるのだが、

  • クレジット番号などを入力する機会が多い
  • ユーザー数の拡大
  • 個人情報の取り扱いの増大

などにより、攻撃対象となると予測する。これまで日本の携帯電話は安全といわれてきた。しかし、その常識はスマートフォンには通用しない。これについて多賀谷氏は、日本携帯はこれまでは非常にクローズドであった。しかし、スマートフォンのAndroidは、OS、ネットワーク、コンテンツなどがオープンであり自由度が高い。すなわち攻撃者にも自由度が高くなってしまうと指摘する。また、平原氏は、攻撃者が従来の日本の携帯を攻撃対象にした場合、各社でOSは違うためウイルスの開発コストは高くなる。それがオープンな環境になれば開発コストも下がり、ウイルスなどの開発が増加するのは、当然のこととして予測できるだろうと語った。

リージョナルトレンドラボ平原伸昭氏

多賀谷氏は、スマートフォンの場合、フルブラウザでWebツールが利用可能になる。Webサイトにおいてコンテンツで人を騙すという点が今までの携帯とは異なってくるだろうと予測する。最近では、Twitterなどをスマートフォン経由で使用する機会が増えている。当然、攻撃者もそれを見逃さない。短縮URLを悪用するなどし、悪意あるWebサイトに誘導しようとする。対策は、ユーザー自身が注意深く行動すること、そしてセキュリティ対策ソフトが不正なWebサイトを遮断する技術を組み合わせることが効果的と述べる。トレンドマイクロでも、よりレベルの高いWebレピュテーション技術で対応していくと述べた。

クラウド時代のセキュリティ、PCを守るからデータを守るへ

ウイルスバスターもクラウドという名を冠するように、クラウド技術を活用している。今後、クラウドは大きく普及していくだろう。利便性の一方で難しい面もある。原氏は、クラウドでは、境界線があいまいになると指摘する。社内システムでは自社の統一的なセキュリティポリシーが策定できた。しかし、一歩社外にはみ出すことで、コントロールが非常に難しくなる。また、人の意識向上もセキュリティには必要不可欠と述べる。

2010年に多発した情報流出もそこが一因であろう。多賀谷氏は、個人の意識もさることながら、組織としての情報の管理も重要になってくる。かつて個人情報保護法の施行時に、意識や管理体制も高まったかに見えたが、まだまだ検討すべき部分が多いのではないかと指摘する。

最後に多賀谷氏は、セキュリティモデルの変化もありうると指摘した。iPhoneを利用する人は、たいていが自宅にはMacを持っている。そして、Macのデータをクラウドサービスで連携し、通勤途中にiPhoneで利用する、そんな利用方法も一般的になっている。このようにPC、スマートフォンだけでなく、クラウド上のデータも含め、守るべきものは何か?どうやって守っていくのか?これまでのPCのみを対象としたセキュリティ対策と同じではありえないとする。

トレンドマイクロでは現在、クラウド上でウイルスなどの危険なファイルだけでなく、Webサイトやスパムメールなども含め、インターネット上のすべての脅威・動向を収集し、それらを組み合わせた対策を講じている。スマートフォンの脅威は、ウイルスだけではないかもしれない。本当の脅威はWebサイトのコンテンツであり、今後はそのような脅威が具体的に現れるのではないかと予測をしている。この点は、今後も注視し、適宜、情報提供や事例として注意喚起していく予定とのことである。