シマンテックは9月3日、2009年上半期のセキュリティ動向を発表した。

シマンテック セキュリティレスポンス シニアマネージャ 浜田譲治氏

シマンテック セキュリティレスポンス シニアマネージャ 浜田譲治氏によれば、シマンテックでは、毎月2億4500万以上のマルウェアを検知しているという。これらのマルウェアのほとんどは未知のもので、既知のファミリーから派生した数千の亜種だという。同社ではこれらをマルウェアの特有の動きによって、定義ファイルにないものも検知するヒューリスティック機能、挙動分析、レピュテーションによって、検出しているという。

浜田氏によれば、マルウェアの感染は、ほとんどがWebを介して感染したもので、それがファイル共有、電子メール、USBメモリによって拡散しているという。

そして、最近の傾向として経済危機を悪用したものや、SNSを介するものが増加しているという。

経済危機を利用したものでは、失業保険への申し込みや、政府の新たな制度への申し込みを装い個人情報を盗むケースや、自宅を差し押さえられた人に向けたローンの再融資の申し込みを装うものがあるという。

SNSを利用するケースでは、不正にIDを取得し、その友人を悪意のあるサイトに誘導する例や、ブログサイトに新しいゲームとして公開される場合もあるという。

SNSを利用するケース

高度なものでは、プラグインの脆弱性を利用するものが増えており、PDF、Flashが多く、QuickTime やWindows Media Playerを利用するケースもあるという。

この傾向について浜田氏は、最近はWindowsの自動Updateが浸透してきたため、JavaScriptやパッチ未適用のブラウザを利用するよりも効率が良いためではないかと分析する。

そのほかの動向では、個人情報を狙うのではなく、愉快犯的な攻撃手法が復活し、SNSを利用したKoobface、USBやネットワークの脆弱性を利用するConfickerが増えているという。

また、伝統的なビジネス手法を模倣する手口も継続しており、広告を悪用して悪意のあるサイトに誘導するケースや、偽の製品の購入を勧めるScarewareも増えているという。

一方、防御する側も攻撃の巧妙化に対応するため、政府、ISP、教育機関、セキュリティ企業などが協力してConficker等のワーキンググループを設ける動きもあり、これらのワーキンググループでは、攻撃対象となるURLを共同でロックしたり、情報共有を行っているという。