マカフィーは、2013年4月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。
ウイルス
4月も脆弱性を悪用したドライブバイダウンロード攻撃に関連したウイルスが多数ランクインしている。改めてであるが、その流れを確認すると以下のようになる。
- なんらかの方法で、正規Webサイトを改ざんする
- ユーザーが改ざんされたWebサイトを閲覧
- 不正なWebサイトへ誘導される(リダイレクト)
- 脆弱性を悪用し、ユーザーのPCにウイルスをダウンロード
- さらに、トロイの木馬などのウイルスをダウンロード
- PC内の個人情報などが流出
3番目のリダイレクトに使われるのが、不正なHTMLやJavascriptである。4番目で、一度ウイルスに感染してしまうと、次々にウイルスがダウンロードされることも少なくない。今月のランキングをこれにあてはめてみよう。
検知会社数ランクの4位、6位、10位はExploit-StyKitで、これはStylx Exploit Kitと呼ばれる不正なJavascriptである。この流れでいえば、3番に該当するものである。8位のJS/Exploit-Blacoleは、Blackholeのリダイレクトである。さらに、1位のJS/Redirector、2位のJS/IFrame、9位のJS/Exploitなども不正なリダイレクトを行うJavaScriptである。最近では、攻撃手口によってこれらのスクリプトが使い分けられる。こうして、ユーザーが不正なWebサイトに誘導されると、Adobe Reader、Flash Player、JRE(Java Runtime Environment)などの脆弱性を悪用し(4番に該当する)、最終的に様々なトロイの木馬に感染してしまう(5番に該当する)。検知会社数7位にランクインしているFakeAlert-WinWebSecは、ドライブバイダウンロード攻撃で感染するトロイの木馬の1つである。これは、日本に限ったことではなく、世界的にも同様な脅威が見られるとのことだ。
McAfee Labs東京主任研究員の本城信輔氏は「このような攻撃を防ぐためにはInternet Explorer、Adobe Reader、Flash Player、JREなどのアプリケーションを常に最新の状態にしておくことが大切です。特にJavaに関連した脆弱性は、実際の攻撃に悪用されているものだけに限ってもほぼ毎月のペースで新たなものが発見されています。実際、最近になってInternet Explorerの脆弱性CVE-2013-1347およびJREの脆弱性CVE-2013-2423が発見され、実際の攻撃に悪用されており、十分な警戒が必要です」と対策を紹介し、注意喚起している。
表1 2013年4月のウイルストップ10(検知会社数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | JS/Redirector.ar | 2,303 |
| 2位 | JS/Iframe.gen.k | 1,391 |
| 3位 | Generic!atr | 793 |
| 4位 | JS/Exploit-Stykit.c | 447 |
| 5位 | W32/Conficker.worm!inf | 443 |
| 6位 | JS/Exploit-Stykit.a | 427 |
| 7位 | FakeAlert-WinWebSec!env.h | 334 |
| 8位 | JS/Exploit-Blacole.ld | 303 |
| 9位 | JS/Exploit.gen.b | 301 |
| 10位 | JS/Exploit-Stykit.d | 249 |
表2 2013年4月のウイルストップ10(検知データ数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | W32/Conficker.worm!job | 87,577 |
| 2位 | JS/Iframe.gen.k | 13,371 |
| 3位 | JS/Redirector.ar | 9,999 |
| 4位 | W32/Ramnit.a!htm | 9,014 |
| 5位 | X97M/Laroux.a.gen | 6,713 |
| 6位 | Generic!atr | 4,995 |
| 7位 | W32/Conficker.worm | 3,967 |
| 8位 | W32/Conficker.worm!inf | 3,049 |
| 9位 | W32/Conficker.worm.gen.a | 2,932 |
| 10位 | X97M/Laroux.e.gen | 2693 |
表3 2013年4月のウイルストップ10(検知マシン数)
| 順位 | ウイルス | 件数 |
|---|---|---|
| 1位 | JS/Redirector.ar | 4,320 |
| 2位 | JS/Iframe.gen.k | 2,574 |
| 3位 | Generic!atr | 1,501 |
| 4位 | W32/Conficker.worm!inf | 937 |
| 5位 | W32/Conficker.worm!job | 588 |
| 6位 | JS/Exploit-Stykit.c | 510 |
| 7位 | JS/Exploit-Stykit.a | 491 |
| 8位 | FakeAlert-WinWebSec!env.h | 409 |
| 9位 | JS/Exploit-Blacole.gg | 396 |
| 10位 | JS/Exploit-Blacole.ld | 355 |
PUP
PUP(不審なプログラム)は、検知データ数で先月2位のMetasploitがランク外となった。そのほかのランキングには大きな変化は見られない。フリーウェアの利用に、引き続き注意したい。
表4 2013年4月の不審なプログラムトップ10(検知会社数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x | 309 |
| 2位 | Generic PUP.x!bjg | 296 |
| 3位 | Adware-OptServe | 184 |
| 4位 | Tool-PassView | 157 |
| 5位 | Adware-Adon | 155 |
| 6位 | Adware-UCMore | 136 |
| 7位 | Generic PUP.d | 118 |
| 8位 | Generic PUP.z | 104 |
| 9位 | Obfuscated-FAS!hb | 86 |
| 10位 | Exploit-MIME.gen.c | 83 |
表5 2013年4月の不審なプログラムトップ10(検知データ数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x!bjg | 37,137 |
| 2位 | RemAdm-VNC | 10,244 |
| 3位 | Exploit-MIME.gen.c | 7,797 |
| 4位 | Adware-OptServe | 7,417 |
| 5位 | Generic PUP.x | 6,423 |
| 6位 | Generic PUP.d | 4,883 |
| 7位 | Tool-PassView | 4,078 |
| 8位 | Generic PUP.z | 3,664 |
| 9位 | Adware-OpenCandy.dll | 3,228 |
| 10位 | Spyware-eBlaster | 2,047 |
表6 2013年4月の不審なプログラムトップ10(検知マシン数)
| 順位 | PUP | 件数 |
|---|---|---|
| 1位 | Generic PUP.x!bjg | 544 |
| 2位 | Generic PUP.x | 408 |
| 3位 | Tool-PassView | 277 |
| 4位 | Adware-OptServe | 220 |
| 5位 | Adware-UCMore | 214 |
| 6位 | Adware-Adon | 202 |
| 7位 | Tool-ProduKey | 144 |
| 8位 | Generic PUP.d/td> | 132 |
| 9位 | Generic PUP.z | 123 |
| 10位 | Exploit-MIME.gen.c | 107 |
