マカフィーは、2013年1月のサイバー脅威の状況を発表している。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。
ウイルス
1月のランキングでは、エクスプロイトキットであるRed Kitによって作成された不正なJava ScriptのJS/Exploit-Rekit.bが、検知会社数4位にランクインした(Red Kitについては、後述のMcAfee Blogも参照)。Red Kitは、JRE(Java Runtime Environment)の脆弱性(CVE-2012-1723、CVE-2013-0422)とAcrobat Readerの脆弱性(CVE-2010-0188)などが悪用される。結果、Downloader型のトロイの木馬(Downloader-FGE)に感染し、最後には、さまざまなトロイの木馬に感染する。同様のドライブバイダウンロード攻撃では、Blackhole関連のJS/Exploit-Blacole.ggなどもランクインしている。また、検知会社数の5位にランクインしているGeneric Exploit.fは、一般的なJREの脆弱性攻撃を行う。このように、脆弱性を悪用する攻撃に関連するウイルスなどが、多数、ランクインしており、非常に活発に脅威活動が行われていることがわかる。
McAfee Labs東京主任研究員の本城信輔氏は「このような攻撃を防ぐ一番の有効な対策は、脆弱性対策です。JREやAcrobat Reader、Flash Player、Internet Explorerなどのアプリケーションのソフトウェアが最新版であることを確認してください。加えて、これらアプリケーションのゼロディ脆弱性攻撃が頻繁に発生していることに注意してください。実際、最近になってFlashの脆弱性攻撃(CVE-2013-0633およびCVE-2013-0634)が発見されています。これらは、Flashファイル単体としてだけでなく、不正なFlashファイルがWord文書に埋め込まれていることもあるので注意が必要です。ゼロディ攻撃を防ぐのはそれほど簡単ではありませんが、重要な資産のあるシステムでは、たとえばTempフォルダからの実行ファイルを制御したりするなど、システムに対する意図しない改変を防ぐように設定するのも有効な手段です」と注意喚起している。
表1 2013年1月のウイルストップ10(検知会社数)
順位 | ウイルス | 件数 |
---|---|---|
1位 | Generic!atr | 800 |
2位 | W32/Conficker.worm!inf | 458 |
3位 | ZeroAccess.b!env | 197 |
4位 | JS/Exploit-Rekit.b | 182 |
5位 | Generic Exploit.f | 175 |
6位 | Generic Autorun!inf.g | 149 |
7位 | Generic PWS.ak | 140 |
8位 | JS/Exploit-Blacole.gg | 133 |
9位 | W32/Mariofev!mem | 105 |
10位 | Generic.dx | 90 |
表2 2013年1月のウイルストップ10(検知データ数)
順位 | ウイルス | 件数 |
---|---|---|
1位 | W32/WBoy.a | 8,603 |
2位 | X97M/Laroux.a.gen | 6,260 |
3位 | Generic!atr | 4,372 |
4位 | X97M/Laroux.go | 4,065 |
5位 | W32/Conficker.worm.gen.a | 3,096 |
6位 | W32/Conficker.worm!inf | 2,798 |
7位 | Generic BackDoor | 2,337 |
8位 | ZeroAccess.dr.gen.d | 2,248 |
9位 | X97M/Laroux.e.gen | 2,245 |
10位 | W32/Conficker.worm | 1,238 |
表3 2013年1月のウイルストップ10(検知マシン数)
順位 | ウイルス | 件数 |
---|---|---|
1位 | Generic!atr | 1,537 |
2位 | W32/Conficker.worm!inf | 914 |
3位 | W32/Conficker.worm.gen.a | 381 |
4位 | Generic Autorun!inf.g | 258 |
5位 | ZeroAccess.b!env | 242 |
6位 | Generic PWS.ak | 202 |
7位 | JS/Exploit-Rekit.b | 197 |
8位 | Generic Exploit.f | 190 |
9位 | JS/Exploit-Blacole.gg | 166 |
10位 | W32/Conficker!mem | 124 |
PUP
PUP(不審なプログラム)は、ランキング、検知数とも大きな変化なかった。マカフィーによると、全体的な件数は大きく減少しているとのことだ。攻撃方法として、活発でないことがうかがわれる。フリーウェアの利用に、引き続き注意したい。
表4 2013年1月の不審なプログラムトップ10(検知会社数)
順位 | PUP | 件数 |
---|---|---|
1位 | Generic PUP.x!bjg | 323 |
2位 | Generic PUP.x | 321 |
3位 | Adware-OptServe | 199 |
4位 | Tool-PassView | 162 |
5位 | Adware-Adon | 151 |
6位 | Adware-UCMore | 134 |
7位 | Generic PUP.d | 122 |
8位 | Generic PUP.z | 106 |
9位 | Adware-Adon!lnk | 80 |
10位 | Exploit-MIME.gen.c | 75 |
表5 2013年1月の不審なプログラムトップ10(検知データ数)
順位 | PUP | 件数 |
---|---|---|
1位 | Generic PUP.x!bjg | 39,352 |
2位 | Exploit-MIME.gen.c | 13,016 |
3位 | RemAdm-VNC | 9,014 |
4位 | Adware-OptServe | 7,568 |
5位 | Generic PUP.x | 6,142 |
6位 | Generic PUP.d | 4,863 |
7位 | Tool-PassView | 4,183 |
8位 | Generic PUP.z | 3,666 |
9位 | Adware-OpenCandy.dll | 2,888 |
10位 | MWS | 1,713 |
表6 2013年1月の不審なプログラムトップ10(検知マシン数)
順位 | PUP | 件数 |
---|---|---|
1位 | Generic PUP.x!bjg | 600 |
2位 | Generic PUP.x | 417 |
3位 | Tool-PassView | 296 |
4位 | Adware-OptServe | 238 |
5位 | Adware-UCMore | 222 |
6位 | Adware-Adon | 194 |
7位 | Tool-ProduKey | 141 |
8位 | Generic PUP.d | 140 |
9位 | Generic PUP.z | 122 |
10位 | Exploit-MIME.gen.c | 107 |
McAfee Blogより
McAfee Blogでは、最新の脅威情報などをブログ形式で提供する。最近の内容を簡単に紹介しよう。まずは、1月31日に発表された「Facebookユーザーを狙うYouTube動画詐欺」である。
悪意を持った攻撃者が最近、よく悪用するものにSNSがある。FacebookやYouTubeなどは人気も高い。そこが逆に狙われているのである。McAfee Blogで紹介している事例では、まず共有動画を装う。その後、さまざまなスクリプトが背後で実行される(Cookieの詐取やウォールへの書き込みが行われる)。さらに、偽のYouTubeプラグインやFlash Playerプラグインをダウンロードしてインストールするように要求する。マカフィーでは、動画リンクが表示されたら、特に注意すべきとしている。安易に閲覧しようとして、感染を広げてしまう危険性もある。2月8日には「最新のエクスプロイトキット、Red Kit」を取り上げている。
エクスプロイトキットは、マルウェアを作成するためのツールキットである。さまざまなエクスプロイトコードをキット化し、多様な脆弱性攻撃を行う。Incognitoなど、いくつかの種類があるが、最近、注目を集めているのがRed Kitである(1月のランキングにも登場している)。Red Kitの特徴は、JavaやAdobe Readerのアプリケーションの脆弱性を悪用する。ブログでは、Red Kitによって作成されるスクリプトの例やURLパターンなどが紹介されている。時間があるときなどに、一読してみてはいかがだろうか。