マカフィーは、2013年2月のサイバー脅威の状況を発表している。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。

ウイルス

2月のランキングをみると、まず目につくのが、ドライブバイダウンロード攻撃とそれらに関係する脅威である。この数か月、BlackholeやRedKitなどは、必ずランクインしている。そして、その特徴は、JRE(Java Runtime Environment)やAdobe Reader、Flash Playerなどの脆弱性を悪用することだ。特に、JREの脆弱性を狙う攻撃はもっとも活発に行われているとのことである。

これについて、McAfee Labs東京主任研究員の本城信輔氏は「今年入って発見されたCVE-2013-0422やCVE-2013-0431をはじめとして、昨年の脆弱性CVE-2012-1723、 CVE-2012-0507が非常に多く使われています。また、Flash Payerの新たな脆弱性CVE-2013-0633やCVE-2013-0634も悪用されています。これらのドライブバイダウンロード攻撃で感染するのは、主に偽セキュリティソフトウェア(会社検知数5位)や、高度なルートキット機能をもつバックドアのZeroAccess(同7位)、ランクインしていませんが金融機関の認証情報を盗むZeusなどです。こういったトロイの木馬に感染しないためにも、脆弱性対策を実施するようにしてください」としている。また、今月のレポートでは、リムーバブルメディア経由で感染するワーム(検知会社数1位および6位)についても注意喚起を行っている。特に、ソーシャルエンジニアリング手法を使ったものが多い。具体的には、

・フォルダ偽装する
・ショートカットを偽装する

といった、従来のautorun.infだけを悪用する以外の手口が増えているとのことだ。前者のタイプに感染すると、自身を既存のフォルダと同じ名前を持つ実行ファイルとしてコピーし、さらに、その既存のフォルダを隠す。ここでユーザーは、既存のフォルダを開こうとして、ワームを実行してしまうのである。注意力だけでは防ぎにくいものだ。セキュリティ対策ソフトの導入やリムーバブルメディア対策が求められる。

表1 2013年2月のウイルストップ10(検知会社数)

順位 ウイルス 件数
1位 Generic!atr 795
2位 W32/Conficker.worm!inf 461
3位 JS/Exploit-Rekit.b 342
4位 SWF/Exploit-Blacole 253
5位 FakeAlert-WinWebSec!env.h 216
6位 Generic Autorun!inf.g 152
7位 ZeroAccess.b!env 152
8位 Generic PWS.ak 138
9位 JS/Exploit-Blacole.em 132
10位 JS/Exploit-Blacole.gq 104

表2 2013年2月のウイルストップ10(検知データ数)

順位 ウイルス 件数
1位 X97M/Laroux.a.gen 5,901
2位 Generic!atr 4,345
3位 W32/Conficker.worm.gen.a 3,753
4位 Tibs 3,442
5位 W32/Conficker.worm!inf 2,718
6位 X97M/Laroux.go 2,441
7位 X97M/Laroux.e.gen 2,007
8位 W32/Fujacks.remnants 1,774
9位 W32/Conficker!mem 1,196
10位 W32/WBoy.a 1,194

表3 2013年2月のウイルストップ10(検知マシン数)

順位 ウイルス 件数
1位 Generic!atr 1,502
2位 W32/Conficker.worm!inf 905
3位 JS/Exploit-Rekit.b 391
4位 FakeAlert-WinWebSec!env.h 285
5位 SWF/Exploit-Blacole 270
6位 Generic Autorun!inf.g 268
7位 W32/Conficker.worm.gen.a 265
8位 ZeroAccess.b!env 185
9位 Generic PWS.ak 177
10位 W32/Conficker.worm 161

PUP

PUP(不審なプログラム)は、ランキングでわずかな変動があるがほとんど同じ結果となった。検知数はいずれのランキングでも検出数が微増しているが、大きな変化は見られない。フリーウェアの利用に、引き続き注意したい。

表4 2013年2月の不審なプログラムトップ10(検知会社数)

順位 PUP 件数
1位 Generic PUP.x!bjg 315
2位 Generic PUP.x 309
3位 Adware-OptServe 195
4位 Adware-Adon 149
5位 Tool-PassView 137
6位 Adware-UCMore 120
7位 Generic PUP.d 117
8位 Generic PUP.z 106
9位 Adware-Adon!lnk 85
10位 Exploit-MIME.gen.c 76

表5 2013年2月の不審なプログラムトップ10(検知データ数)

順位 PUP 件数
1位 Generic PUP.x!bjg 36,021
2位 RemAdm-VNC 9,407
3位 Exploit-MIME.gen.c 7,997
4位 Adware-OptServe 7,444
5位 Generic PUP.x 6,411
6位 Generic PUP.d 4,913
7位 Metasploit 4,163
8位 Tool-PassView 4045
9位 Generic PUP.z 3,573
10位 Adware-OpenCandy.dll 2,011

表6 2013年2月の不審なプログラムトップ10(検知マシン数)

順位 PUP 件数
1位 Generic PUP.x!bjg 571
2位 Generic PUP.x 410
3位 Tool-PassView 247
4位 Adware-OptServe 232
5位 Adware-Adon 202
6位 Adware-UCMore 194
7位 Tool-ProduKey 139
8位 Generic PUP.d 133
9位 Generic PUP.z 120
10位 Exploit-MIME.gen.c 104

McAfee Blogより

冒頭でもふれたように、Javaの脆弱性を悪用する攻撃が多発している。McAfee Blogでは、最新の脅威動向などを解説する。今回は、「アップル、FacebookにJavaエクスプロイト攻撃:企業用Macを狙った過去最大のサイバー攻撃」を紹介したい。

図1 McAfee Blog「アップル、FacebookにJavaエクスプロイト攻撃:企業用Macを狙った過去最大のサイバー攻撃」

実際には、Javaソフトウェアのプラグインからハッキングを受けた。原因となったのは、従業員のコンピュータから、不正ソフトウェア(マルウェア)に感染したデベロッパーWebサイトにアクセスしたことである。同様の攻撃は、1週間前にFacebookに対しても行われていた。アップルやFacebookの社員の多くは、コンピュータリテラシーは少なくとも初心者よりははるかに高いレベルである。そのような社員らも大量に感染したことから、改めて、脅威に対する注意と対策がすべてのレベルで求められているといえよう。詳細は、ブログを参照していただくとして、マカフィーでは以下のような対策をあげている。

・メインのWebブラウザでJavaを無効にするか削除する
・「マカフィー サイトアドバイザー」をインストールする
・すべてのソフトウェアをつねに最新の状態に保っておく
・セキュリティ対策ソフトウェアをインストールする