マカフィーは、2011年7月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。同時に、モバイル環境の動向も発表される。
ウイルス
7月の脅威の傾向は、ランキングに多少の変動はあるもの、脅威傾向に大きな違いは見当たらない。リムーバブルメディア経由で感染するワーム(Generic!atr)が、検知会社数とマシン数で1位となっている。このワームからダウンロードさせられる、オンラインゲームのパスワードスティーラー(Generic PWS.k、 Generic PWS.o、PWS-OnlineGames)なども同時にランクインしている。その他の脅威としては、ランキングには入っていないが、PDFの脆弱性攻撃(Exploit-PDF)、RTFファイルの脆弱性攻撃(Exploit-CVE2010-3333)、偽セキュリティ対策ソフト、Zbot、BackDoor-EXIなどのボットネット、リムーバブルメディアおよびP2Pネットワークで感染するRimecudなどが活発な活動をしているとのことである。
また、検知データ数の2位、3位に、検知会社数と検知マシン数でも比較的上位にランクインしたウイルスでW32/Conficker.worm関連がある。これに関して、McAfee Labs東京 主任研究員の本城信輔氏は「W32/Concficker.wormは、Windowsのセキュリティパッチの適用やリムーバブルメディア対策を施すなど、基本的なセキュリティ対策で感染を防止することが可能です。攻撃者にとって、外部接続メディアとWindowsやアプリケーションの脆弱性は、非常に魅力的な感染経路であり、多くの企業において、基本的な対策が遅れている様子が伺えます。今一度、基本的なセキュリティ対策を徹底することを推奨します」と注意喚起している。ウイルス対策の基本でもある脆弱性の解消を怠りなく実施してほしい。
表1 2011年7月のウイルストップ10(検知会社数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | Generic!atr | 851 |
| 2位 | Generic PWS.ak | 202 |
| 3位 | Generic.grp!i | 105 |
| 4位 | W32/Conficker.worm.gen.a | 94 |
| 5位 | Generic.dx | 81 |
| 6位 | Downloader-UA | 79 |
| 7位 | PWS-Gamania.gen.a | 60 |
| 8位 | X97M/Laroux.a.gen | 51 |
| 9位 | W32/Conficker.worm!job | 48 |
| 10位 | Generic.tfr!c | 42 |
表2 2011年7月のウイルストップ10(検知データ数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | W32/Conficker.worm!job | 37,836 |
| 2位 | W32/Conficker.worm.gen.a | 34,427 |
| 3位 | W32/Almanahe.c | 29,276 |
| 4位 | Generic!atr | 8,743 |
| 5位 | W32/Conficker.worm.a!a | 7,702 |
| 6位 | W32/Pate.b | 5,456 |
| 7位 | W32/Fujacks.remnants | 5,008 |
| 8位 | W32/HLLP.Philis.remnants | 3,635 |
| 9位 | Generic PWS.ak | 2,978 |
| 10位 | X97M/Laroux.go | 2,664 |
表3 2011年7月のウイルストップ10(検知マシン数)
PUP
PUP(不審なプログラム)は、いつもながら大きな変化は見られない。検知データ数で、Proxy-OSSが、先月の1/3程度の検知数となった。この数ヶ月、検知数の変動が大きいので、注意してほしい。それ以外のランキングに関しては、特に大きな変動は見られなかった。
表4 2011年7月の不審なプログラムトップ10(検知会社数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x | 870 |
| 2位 | Adware-OptServe | 579 |
| 3位 | Generic PUP.d | 473 |
| 4位 | Generic PUP.z | 260 |
| 5位 | MWS | 184 |
| 6位/th> | Adware-Softomate.dll | 177 |
| 7位 | Adware-OpenCandy.dll | 166 |
| 8位 | RemAdm-VNCView | 128 |
| 9位 | Adware-UCMore | 124 |
| 10位 | generic!bg.fmx | 116 |
表5 2011年7月の不審なプログラムトップ10(検知データ数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Proxy-OSS | 319,219 |
| 2位 | Adware-OptServe | 32,415 |
| 3位 | Generic PUP.x | 29,865 |
| 4位 | Exploit-MIME.gen.c | 24,150 |
| 5位 | Generic PUP.d | 20,581 |
| 6位 | Adware-DoubleD.dll | 8,623 |
| 7位 | MWS | 8,173 |
| 8位 | Generic PUP.z | 8,071 |
| 9位 | Adware-Softomate.dll | 6,175 |
| 10位 | RemAdm-VNCView | 4,981 |
表6 2011年7月の不審なプログラムトップ10(検知マシン数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x | 1,857 |
| 2位 | Adware-OptServe | 1,109 |
| 3位 | Generic PUP.d | 898 |
| 4位 | RemAdm-VNCView | 432 |
| 5位 | Generic PUP.z | 391 |
| 6位 | Adware-OpenCandy.dll | 345 |
| 7位 | Adware-UCMore | 272 |
| 8位 | MWS | 270 |
| 9位 | Adware-Softomate.dll | 245 |
| 10位 | Tool-PassView | 221 |
モバイル(スマートフォン含む)
6月に新たに報告された、モバイルマルウェア(PUP、亜種を含む)は15件であった。いずれも、Androidを攻撃目標とするもので、まずはこの点に注意をしたい。そして、最多を記録している。Androidを使うユーザーは、より一層の注意をすべきであろう。確認されたAndroidマルウェアの内訳は、新種の悪質ソフトウェアが8件、亜種が5件、新種のPUPが1件、亜種が1件であった。また6月は、Android OSの脆弱性を突いてroot権限奪取を行うAndroid/DroidKungFuの亜種が引き続き報告された。
 |
図1 Android/DroidKungFuの亜種、root権限を奪い、アプリケーションをインストールする |
Android/DroidKungFu以外では、Android/Toplank.Aに注意したい。Android/Toplank.Aは、確認された。ゲームアプリの海賊版として配布される。しかし、外部サーバーから悪質な動作を行うDEXファイルをダウンロードし、DexClassLoaderを使用して動的に実行するという巧妙なテクニックが使用されていた。Android/Toplank.Aは無害なアプリケーションを装うことで、その配布時における各種マーケットでのアプリケーションチェックをすり抜けていたことも確認されている。
McAfee Labs東京 主任研究員の本城信輔氏は「マルウェアが混入されたアプリケーションには、ダウンロードした悪質な実行ファイルが使用する権限が含まれることから、アプリケーションに直接関係のないパーミッションが多数記載されています。アプリケーションをダウンロードする際には、必ずパーミッションをよく確認するように注意してください」と注意喚起している。
セキュリティブログからの話題
マカフィーでは、最新の脅威やセキュリティ動向をMcAfee Blogで紹介している。
 |
図2 McAfee Blog |
今回は「スパムメールの解除トラップ」を紹介しよう。一度でもオンラインショッピングをすると、そのショッピングサイトから、さまざまなメールが届くようになる。これを悪用するのが、登録解除トラップである。本物のサイトに見せかけ、多数のメールを送信する。ユーザーはそのわずらわしさから、送信を拒否しようとする。指定した登録解除の手続きの案内があるが、実はスパマーが仕掛けたわなであり、ログインID、パスワード、クレジットカード情報が奪取されるのである。
詳細は、ブログを参照してほしいが、取引を行っていないようなショッピングサイトでは、登録解除を行わないことが第一である。あとは、不審なメールには細心の注意をもって対処することである。万が一、登録解除を行った場合は、すみやかにIDやパスワードの変更を行うべきである。
