セキュリティ企業の米Barracuda Networksは7月28日(現地時間)、マルウェアの拡散トレンドをまとめた調査データの最新版「Barracuda Labs 2010 Midyear Security Report」(PDFファイル)を公開した。Googleなどの検索エンジンやTwitterなどのSNSサービスを使ってどのようにマルウェアの配布が行われているかの傾向を示すもので、Twitterなどの拡散が早いサービスを活用して、最新トレンドやキーワードを使ったマルウェア配布が急増している様子がわかる。
これは今週末に米ネバダ州ラスベガスで開催されるセキュリティカンファレンスの「DefCON 18」に合わせてまとめられたもので、ここで詳細な解説が行われるという。最新データでのポイントは2点で、マルウェア拡散における検索エンジンの活用と、TwitterなどのSNSサービスの広がりだ。
Twitterを使ったマルウェアの拡散配布
まず同社では約2カ月間にわたる2,500万アカウントのTwitter利用動向分析を行っており、ここで「True Twitter User」と呼ばれるアクティブに利用を行っている一般ユーザーと、マルウェア配布などに同サービスを利用する悪意のあるユーザーの割合を分析している。たとえばTwitterにおけるフォロワー数とフォロー数の差、そして日々のツイート回数はこうしたユーザー傾向を見るための基準となる。同社ではフォロワー/フォロー/ツイートのそれぞれの回数が10回以上のユーザーをTrue Twitter Userとしており、この割合はわずか28.87%だという。半数のTwitterユーザーは1日1回以下のツイートしか行わず、1日5回以上のツイートを行うのは全体の1割、さらに全体の3割はアカウント作成以降一度もツイートを行っていない。
またTwitterの使い方として、ユーザーが興味ありそうな情報をキーワードとともにツイートし、短縮URLで示されるマルウェアを仕掛けたサイトへとユーザーを誘導する。Barracudaの調査報告では「@downloadheaven」などいくつかの例を紹介しているが、ツイート内容やフォロワー/フォロー数の差に特徴がみられる。これらサイトをGoogleを使って調査してみると、マルウェアが存在する可能性のあるサイトとして紹介文が出てくる。こうしたTwitterを利用した犯罪例は2010年前半で全体の1.67%にあたるという。
Googleなどの検索エンジンはどうか?
Barracudaによれば、約2カ月間の調査の間に、Bing、Google、Twitter、Yahoo!の4つのサイトに対して、2万5,000の人気なトピックを検索クエリーとして定期的に投入し、そこから出現する検索結果を調査してどの程度マルウェアが仕掛けられた悪意のあるサイトが存在するかを定点観測していたという。テクニックとして、こうした人気キーワードをサイトに仕掛けて検索エンジンからユーザーを誘導するのが狙いとなる。
その結果、これら人気キーワード検索でマルウェアが出現した割合を並べると、Googleが69%、Yahoo!が18%、Bingが12%、残り1%がTwitterとなる。利用が急増しているとはいえ、Twitterがまだまだ少ないことがわかる。ここで突出しているGoogleだが、BarracudaによればGoogleの1カ月あたりの検索リクエストが880億なのに対し、Twitterが240億、Yahoo!が90億、Bingが40億であり、それだけ利用傾向の差を反映したものといえるかもしれない。そして興味深いのが人気トピックが出現するまでの各検索エンジンの差で、最もトレンドが反映されやすいTwitterで人気トピックが出現した後、Googleが人気トピック抽出まで1.2日なのに対し、Bingが4.3日、Yahoo!が4.8日と大きな差があることがわかる。これがGoogleが突出する理由の1つかもしれない。
またBarracudaによれば、マルウェア拡散に利用されたトップ10キーワードとしてNFLプレイヤーや3人の女優の名前、プレイボーイのあるプレイメイト、ハーバード大学の入学偽装を行ったある大学生の名前がキーワードとして挙がっていたとする。Twitterの利用例は全体としてはまだ少ないものの、こうしたトレンドに敏感な検索エンジンやサービスほど、マルウェア配布者らの活動場所として今後狙われる可能性は高そうだ。