マカフィーは、2013年8月のサイバー脅威の状況を発表した。これは、マカフィーのデータセンターが捕捉したウイルスなどの集計をもとに、各項目ごとのトップ10を算出したものだ。さらに、今月は、McAfee Blogから関連する報告を紹介したい。
ウイルス
今月も、Exploit Kitによるドライブバイダウンロード攻撃に関連した脅威のランクインがめだつ。検知会社数の2位と9位にランクインしているJS/Exploit!JNLPは、JRE(Java Runtime Environment)の脆弱性を攻略するために使われる不正なスクリプトである。このスクリプトは、JREを攻撃する不正なjarファイルのための設定ファイル(JNLPファイル)のダウンロードに使われる。最近、悪用されることが多いとのことだ。
McAfee Labs東京主任研究員の本城信輔氏は「ランクインしていませんが、このドライブバイダウンロード攻撃で最終的にインストールされるトロイの木馬の主なものに、金融機関のアカウント情報を盗むZeusがあります。最近では、日本の金融機関も多く狙われていることから警戒が必要です。感染予防は、脆弱性対策が一番効果的です。各ベンダーが公開しているアドバイザリ情報や、セキュリティパッチを定期的に確認するようにしてください」と注意喚起している。
表1 2013年8月のウイルストップ10(検知会社数)
順位 | ウイルス | 件数 |
---|---|---|
1位 | JS/Exploit-Stykit.l | 833 |
2位 | JS/Exploit!JNLP.c | 669 |
3位 | Generic!atr | 622 |
4位 | JS/Exploit-Blacole.gc | 381 |
5位 | W32/Conficker.worm!inf | 353 |
6位 | JS/Blacole-Redirect.ae | 341 |
7位 | JS/Exploit-Blacole.ht | 265 |
8位 | Exploit-Rekit.gen | 130 |
9位 | JS/Exploit!JNLP | 118 |
10位 | Generic Autorun!inf.g | 107 |
表2 2013年8月のウイルストップ10(検知データ数)
順位 | ウイルス | 件数 |
---|---|---|
1位 | W32/Conficker.worm!job | 6,956 |
2位 | X97M/Laroux.a.gen | 6,444 |
3位 | Generic!atr | 3,716 |
4位 | JS/Exploit-Blacole.gc | 3,183 |
5位 | JS/Exploit-Stykit.l | 2,978 |
6位 | W32/Conficker.worm.gen.a | 2,614 |
7位 | W32/Conficker.worm!inf | 2,109 |
8位 | X97M/Laroux.e.gen | 2,087 |
9位 | JS/Exploit-Blacole.ht | 1,899 |
10位 | JS/Exploit!JNLP.c | 1,435 |
表3 2013年8月のウイルストップ10(検知マシン数)
順位 | ウイルス | 件数 |
---|---|---|
1位 | Generic!atr | 1,153 |
2位 | JS/Exploit-Stykit.l | 1,147 |
3位 | JS/Exploit!JNLP.c | 791 |
4位 | W32/Conficker.worm!inf | 712 |
5位 | JS/Exploit-Blacole.gc | 547 |
6位 | JS/Blacole-Redirect.ae | 414 |
7位 | JS/Exploit-Blacole.ht | 302 |
8位 | RDN/Generic.dx!cn3 | 282 |
9位 | W32/Conficker.worm!job | 205 |
10位 | RDN/Generic PWS.y!ua | 202 |
PUP
PUP(不審なプログラム)は、めだつほどではないが、ランキングに変化がみられる。検知データ数で、1位のAdware-Bprotectが大きく減少した。PUPの活動はさほど活発ではないが、フリーウェアの利用に引き続き注意したい。
表4 2013年8月の不審なプログラムトップ10(検知会社数)
順位 | PUP | 件数 |
---|---|---|
1位 | Adware-Bprotect | 2,923 |
2位 | Adware-Bprotect!CF20432D6BE6 | 2,325 |
3位 | Adware-Bprotect!72067853C339 | 1,108 |
4位 | Adware-Bprotect!E5DA3B11ABBF | 611 |
5位 | Adware-Bprotect!ED0C4D3A2B8B | 442 |
6位 | Adware-Bprotect!497B23C29355 | 348 |
7位 | Generic PUP.x!bjg | 258 |
8位 | Adware-Bprotect!1576B8F57F69 | 254 |
9位 | Generic PUP.x | 245 |
10位 | Generic Adware.a | 227 |
表5 2013年8月の不審なプログラムトップ10(検知データ数)
順位 | PUP | 件数 |
---|---|---|
1位 | Adware-Bprotect | 237,150 |
2位 | Adware-Bprotect!72067853C339 | 44,236 |
3位 | Adware-Bprotect!CF20432D6BE6 | 23,333 |
4位 | Generic PUP.x!bjg | 18,571 |
5位 | RemAdm-VNC | 10,188 |
6位 | Generic Adware.a | 9,808 |
7位 | Exploit-MIME.gen.c | 9,523 |
8位 | Adware-Bprotect!1576B8F57F69 | 9,271 |
9位 | Adware-Bprotect!F98214B32F2A | 7,736 |
10位 | Metasploit | 6,164 |
表6 2013年8月の不審なプログラムトップ10(検知マシン数)
順位 | PUP | 件数 |
---|---|---|
1位 | Adware-Bprotect | 5,850 |
2位 | Adware-Bprotect!CF20432D6BE6 | 4,569 |
3位 | Adware-Bprotect!72067853C339 | 2,336 |
4位 | Adware-Bprotect!E5DA3B11ABBF | 920 |
5位 | Adware-Bprotect!ED0C4D3A2B8B | 781 |
6位 | Adware-Bprotect!497B23C29355 | 619 |
7位 | Adware-Bprotect!1576B8F57F69 | 425 |
8位 | Generic PUP.x!bjg | 415 |
9位 | Adware-Bprotect!F98214B32F2A | 338 |
10位 | Generic PUP.x | 309 |
McAfee Blogより - 2つのExploit Kit
McAfee Blogでは、最新の脅威動向などを解説している(図1)。
図1 McAfee Blog |
脅威レポートにあったExploit Kitについての記事を紹介したい。上述したように、Exploit Kitには、StyxやRedKitなどが確認されている。それぞれのExploit Kitの挙動について紹介するものだ。まず、Styxである。Styxは2013年の4月にピークを記録している。その挙動を図示したのが、図2である。
第一段階は、正規のWebサイトからExploitファイルが仕込まれた不正なページへ誘導する。そこでは、さまざまな脆弱性が悪用され、PDFやJARファイルをダウンロードする。攻撃では「__applet_ssv_validated
」パラメーターの値をTrueに設定し、Javaセキュリティチェックを回避するといった手口も使われる。最終的には、リモートサーバーから追加のマルウェアを配信するダウンローダがダウンロードされる。
また、この攻撃ではExploitファイルのダウンロードに、以下のような独自のURLパターンが使われる。
・hxxp://[ドメイン名]/[ランダムな文字と数字]/jorg.html
・hxxp://[ドメイン名]/[ランダムな文字と数字]/jlnp.html
・hxxp://[ドメイン名]/[ランダムな文字と数字]/pdfx.html
・hxxp://[ドメイン名]/[ランダムな文字と数字]/fnts.html
・hxxp://[ドメイン名]/[ランダムな文字と数字]/jovf.html
したがって、防御策として、この特定のURLをブロックすることが有効となる。McAfeeによると、このようなURLは比較的短期間で変わることが多いが、ほとんどが共通であった。当然のことながら、脆弱性の解消や不審なメールのリンクをクリックしないことが求められる。 次は、RedKitである。この攻撃概要を示したのが図3である。
Exploit Kitによる攻撃は類似したものが多い。RedKitでも、正規のWebページのリンクを改ざんし、RedKitのランディングページへ誘導する。この時点で感染が始まる。改ざんされたWebページのリンクは、ユーザーをだまして有害なリンクをクリックさせるスパムキャンペーンとして、メールで送付されることもある。こちらでも、特徴的なURLが使われる。PDFやJARファイルのダウンロードには、以下のURLが使われる。
・hxxp://[domain name]/332.jar
・hxxp://[domain name]/887.jar
・hxxp://[domain name]/987.pdf
防御策は、Styxと同様である。いずれもやや専門的な内容を含むが、興味をもたれたのであれば、ぜひ一読していただきたい。