マカフィーは、2013年1月のサイバー脅威の状況を発表している。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。

ウイルス

1月のランキングでは、エクスプロイトキットであるRed Kitによって作成された不正なJava ScriptのJS/Exploit-Rekit.bが、検知会社数4位にランクインした(Red Kitについては、後述のMcAfee Blogも参照)。Red Kitは、JRE(Java Runtime Environment)の脆弱性(CVE-2012-1723、CVE-2013-0422)とAcrobat Readerの脆弱性(CVE-2010-0188)などが悪用される。結果、Downloader型のトロイの木馬(Downloader-FGE)に感染し、最後には、さまざまなトロイの木馬に感染する。同様のドライブバイダウンロード攻撃では、Blackhole関連のJS/Exploit-Blacole.ggなどもランクインしている。また、検知会社数の5位にランクインしているGeneric Exploit.fは、一般的なJREの脆弱性攻撃を行う。このように、脆弱性を悪用する攻撃に関連するウイルスなどが、多数、ランクインしており、非常に活発に脅威活動が行われていることがわかる。

McAfee Labs東京主任研究員の本城信輔氏は「このような攻撃を防ぐ一番の有効な対策は、脆弱性対策です。JREやAcrobat Reader、Flash Player、Internet Explorerなどのアプリケーションのソフトウェアが最新版であることを確認してください。加えて、これらアプリケーションのゼロディ脆弱性攻撃が頻繁に発生していることに注意してください。実際、最近になってFlashの脆弱性攻撃(CVE-2013-0633およびCVE-2013-0634)が発見されています。これらは、Flashファイル単体としてだけでなく、不正なFlashファイルがWord文書に埋め込まれていることもあるので注意が必要です。ゼロディ攻撃を防ぐのはそれほど簡単ではありませんが、重要な資産のあるシステムでは、たとえばTempフォルダからの実行ファイルを制御したりするなど、システムに対する意図しない改変を防ぐように設定するのも有効な手段です」と注意喚起している。

表1 2013年1月のウイルストップ10(検知会社数)

順位 ウイルス 件数
1位 Generic!atr 800
2位 W32/Conficker.worm!inf 458
3位 ZeroAccess.b!env 197
4位 JS/Exploit-Rekit.b 182
5位 Generic Exploit.f 175
6位 Generic Autorun!inf.g 149
7位 Generic PWS.ak 140
8位 JS/Exploit-Blacole.gg 133
9位 W32/Mariofev!mem 105
10位 Generic.dx 90

表2 2013年1月のウイルストップ10(検知データ数)

順位 ウイルス 件数
1位 W32/WBoy.a 8,603
2位 X97M/Laroux.a.gen 6,260
3位 Generic!atr 4,372
4位 X97M/Laroux.go 4,065
5位 W32/Conficker.worm.gen.a 3,096
6位 W32/Conficker.worm!inf 2,798
7位 Generic BackDoor 2,337
8位 ZeroAccess.dr.gen.d 2,248
9位 X97M/Laroux.e.gen 2,245
10位 W32/Conficker.worm 1,238

表3 2013年1月のウイルストップ10(検知マシン数)

順位 ウイルス 件数
1位 Generic!atr 1,537
2位 W32/Conficker.worm!inf 914
3位 W32/Conficker.worm.gen.a 381
4位 Generic Autorun!inf.g 258
5位 ZeroAccess.b!env 242
6位 Generic PWS.ak 202
7位 JS/Exploit-Rekit.b 197
8位 Generic Exploit.f 190
9位 JS/Exploit-Blacole.gg 166
10位 W32/Conficker!mem 124

PUP

PUP(不審なプログラム)は、ランキング、検知数とも大きな変化なかった。マカフィーによると、全体的な件数は大きく減少しているとのことだ。攻撃方法として、活発でないことがうかがわれる。フリーウェアの利用に、引き続き注意したい。

表4 2013年1月の不審なプログラムトップ10(検知会社数)

順位 PUP 件数
1位 Generic PUP.x!bjg 323
2位 Generic PUP.x 321
3位 Adware-OptServe 199
4位 Tool-PassView 162
5位 Adware-Adon 151
6位 Adware-UCMore 134
7位 Generic PUP.d 122
8位 Generic PUP.z 106
9位 Adware-Adon!lnk 80
10位 Exploit-MIME.gen.c 75

表5 2013年1月の不審なプログラムトップ10(検知データ数)

順位 PUP 件数
1位 Generic PUP.x!bjg 39,352
2位 Exploit-MIME.gen.c 13,016
3位 RemAdm-VNC 9,014
4位 Adware-OptServe 7,568
5位 Generic PUP.x 6,142
6位 Generic PUP.d 4,863
7位 Tool-PassView 4,183
8位 Generic PUP.z 3,666
9位 Adware-OpenCandy.dll 2,888
10位 MWS 1,713

表6 2013年1月の不審なプログラムトップ10(検知マシン数)

順位 PUP 件数
1位 Generic PUP.x!bjg 600
2位 Generic PUP.x 417
3位 Tool-PassView 296
4位 Adware-OptServe 238
5位 Adware-UCMore 222
6位 Adware-Adon 194
7位 Tool-ProduKey 141
8位 Generic PUP.d 140
9位 Generic PUP.z 122
10位 Exploit-MIME.gen.c 107

McAfee Blogより

McAfee Blogでは、最新の脅威情報などをブログ形式で提供する。最近の内容を簡単に紹介しよう。まずは、1月31日に発表された「Facebookユーザーを狙うYouTube動画詐欺」である。

悪意を持った攻撃者が最近、よく悪用するものにSNSがある。FacebookやYouTubeなどは人気も高い。そこが逆に狙われているのである。McAfee Blogで紹介している事例では、まず共有動画を装う。その後、さまざまなスクリプトが背後で実行される(Cookieの詐取やウォールへの書き込みが行われる)。さらに、偽のYouTubeプラグインやFlash Playerプラグインをダウンロードしてインストールするように要求する。マカフィーでは、動画リンクが表示されたら、特に注意すべきとしている。安易に閲覧しようとして、感染を広げてしまう危険性もある。2月8日には「最新のエクスプロイトキット、Red Kit」を取り上げている。

エクスプロイトキットは、マルウェアを作成するためのツールキットである。さまざまなエクスプロイトコードをキット化し、多様な脆弱性攻撃を行う。Incognitoなど、いくつかの種類があるが、最近、注目を集めているのがRed Kitである(1月のランキングにも登場している)。Red Kitの特徴は、JavaやAdobe Readerのアプリケーションの脆弱性を悪用する。ブログでは、Red Kitによって作成されるスクリプトの例やURLパターンなどが紹介されている。時間があるときなどに、一読してみてはいかがだろうか。