マカフィーは1月29日、2013年におけるコンピュータウイルス、不審なプログラムの検知データの集計を発表した。
発表では、ウイルスと不審なプログラム(PUP)のそれぞれトップ10が算出され、それぞれ次のように分析している。
Drive-by-download攻撃
ウイルスでは、2013年も脆弱性攻略ツールを使ったDrive-by-download攻撃に関連した脅威が多く見られたという。この傾向は2010年から継続しており、今後もこの傾向は変わらないと考えられるとしている。
このランキングでは、攻撃の初期段階で使用される不正なRedirectorやIframeが多く見られる。これらのDrive-by-download攻撃の被害に遭うと、リダイレクトの後、不正なJRE(Java Runtime Environment)、PDFファイル、Flashファイルなどの脆弱性攻撃を経て、最終的にオンライン金融サイトのアカウントを盗むZeus、高度なルートキットおよび遠隔操作機能を持つZeroAccess、偽セキュリティソフトウェアなどに感染する。
実際のユーザー環境では、最初の攻撃段階で使われるファイルがきちんと検知されていることや、脆弱性が修正されていることなどから、感染プロセスの途中や最終段階における脅威はランクインしていないが、実際にはリダイレクターの多様さと同様に、これらの脅威も非常に多く存在していることに注意が必要となる。
また、2013 年もゼロデイ脆弱性がいくつか発見され、実際に攻撃に悪用された。このうちJREに関する脆弱性が最も多く発見・悪用されており、攻撃者からJavaが狙われる傾向が高いことが伺うことができ、また、Internet Explorerの脆弱性も多数発見されている。
今後もこれまで同様、ゼロデイ攻撃が行われることを想定する必要がある。ゼロデイ攻撃を防ぐのは簡単ではないが、重要な情報資産を扱うシステムでは、例えば、Tempフォルダからの実行ファイルを制御するなど、システムに対する意図しない改変や変更を防ぐように設定することも有効な手段になる。
オートランワーム
外部メディア経由で感染するオートランワームは、近年非常に多く発見されてきたが、2013年もその傾向は変わらないと考えられる。
年間検知会社数2位にランクインしたGeneric!atrは、オートランワームが利用する不正なAutorun.infを対象とした検知名で、オートランワームの本体の亜種は多数あるという。そのため、それぞれがランクインすることはないが、不正なAutorun.infの数の多さがこの種類のワームの多様さを物語っている。
最近の傾向として、海外ではAutorun.infの感染手法に加えて、多様なソーシャルエンジニアリングを駆使したワームが非常に多く発見されている。
例えば、拡張子を偽装してOfficeファイルに見せかけたり、フォルダに偽装した不正なショートカットファイルを作成したり、同様にフォルダに偽装した実行ファイルを作成するものがある。Autorun.infだけに注意するのではなく、外部メディアに存在するフォルダ・アイコンには注意する必要があるだろうとしている。
標的型攻撃
標的型攻撃の性質上、関連した脅威の検知数が他の脅威ほど突出して多いというわけではないため、上位にランクインしていないが、引き続き十分な注意が必要だという。
2013年も標的型攻撃が世界中でよく見られ、日本でも多くの攻撃が発見されているほか、TIFF ファイルの処理に関する脆弱性CVE-2013-3906が発見されており、不正TIFFファイルをOfficeファイルに埋め込むといった攻撃が見られた。
最近ではスクリプトを埋め込んだショートカットファイルのような形態の攻撃も見られ、また、拡張子とアイコンをOffice ファイルに偽装した実行ファイル型のバックドアも数年前から比較的多く発見されている。
PUP
PUP(不審なプログラム)は従来と比べて大きな変化はなく、全体的な件数は前年から大きく減少しており、PUPが従来ほど活発でないことがわかる。
PUPは、インターネットからダウンロードしたフリーウェア等に付加されていることが多いため、フリーウェアの利用には引き続き十分な注意が必要となる。