Internet Watch logo
記事検索
最新ニュース

サイバー犯罪者が高度なツールを駆使する傾向に、シマンテック調査


 シマンテックは27日、2007年上半期の「インターネットセキュリティ脅威レポート」を発表した。それによれば、金銭を目的とするサイバー犯罪者のプロ化が進み、専門的な攻撃手法やツールを駆使する傾向が見られたという。同レポートは、世界180カ国に設置した約4万のセンサーから収集したデータや、200万件のおとりアカウントを使って世界20カ国から収集したメールなどの情報をもとにまとめたもの。


アングラサイトで1,000ドルで販売される攻撃ツール「MPack」

 悪意のある攻撃を実行するために高度なツールキットを使う例としては、Webサーバー上で稼動する管理プログラムと、被害者のPC上で実行される攻撃コードの2つから構成される攻撃ツール「MPack」が挙げられる。

 攻撃者はなんらかの方法でWebサーバーに侵入した後、MPackを利用することで、攻撃コードを読み込ませるためのiframeをHTMLファイルに埋め込める。iframeは、ユーザーが普段閲覧しているような正規サイトに埋め込まれることも多く、これらのサイトにアクセスしただけで悪意のあるコードに感染する恐れがあるという。

 MPackは主にオンライン上のアンダーグラウンドサイトで約1,000ドル程度で販売され、これを入手した人がさらに改良を加えたものを数百ドル程度で販売しているという。なお、シマンテックによれば、MPackによる被害はイタリアをはじめ海外では多数発生しているが、日本ではまだ確認されていないとしている。

 また、金銭目的のサイバー犯罪を対象としたフィッシングツールキットも出回っている。これは、正規Webサイトを装ったフィッシング詐欺サイトを自動的に構築するスクリプトを集めたもの。2007年1月から6月までに監視した全フィッシング詐欺サイトのうち、42%は3種類のフィッシングツールキットを使用していたという。


「MPack」を利用した攻撃例 2007年1月から6月までに監視した全フィッシング詐欺サイトのうち、42%は3種類のフィッシングツールキットを使用していた

漏洩情報販売サイト市場は年間数十億円との試算も

「アンダーグラウンドエコノミーサーバー」で取り引きされている品目と販売価格
 MPackやフィッシングツールキットを使用するサイバー犯罪者は、漏洩した情報をネット上で取り引きする「アンダーグラウンドエコノミーサーバー」を活用していることも特徴だ。米Symantecセキュリティレスポンスでシニアディレクターを務めるヴィンセント・ウィーファー氏によれば、米国総務省の調べでは、年間数十億ドル規模の取引額に上るという見方もあり、麻薬取引よりも大きな市場とする声もあるという。現在までに、日本国内を対象とした同サーバーの存在は確認されていないが、「サーバー運用者に日本人がいないとも限らず、日本語のサービスが登場しないとは言い切れない」(ウィーファー氏)。

 同サーバーで広告されている品目としては、全体の22%を占めるクレジットカード情報(氏名、ID、有効期限)が最も多く、1枚あたり0.50ドルから5ドルで販売されている。次いで、30ドルから400ドルで販売される銀行口座情報が21%と僅差で続いた。また、全体の8%を占めるメールのパスワードの販売価格が、銀行口座と同程度に扱われていることを特徴として挙げるが、その理由をウィーファー氏は次のように説明する。

 「銀行口座はその口座にある金銭を詐取してしまえば終わりだが、メールのパスワードを入手すれば、そのユーザーが利用するISPのパスワードとしても活用できる。ISPのサービスにログインすれば、トロイの木馬を保管するホストサーバーとして使えるなど、さらなる犯罪の踏み台として使えるため、より多くの金銭を入手できる可能性がある」。


「多段階型ダウンローダ」の増加で新種の脅威が前期比185%増

ボットネットワークの状況
 また、2007年上半期には、ボットに感染したPCを1日平均52,771台発見しており、2006年下半期に比べて17%増加。その一方、全世界でボットに感染したPCは502万9,309台で、17%減少した。ボットに攻撃を出す指令サーバーの台数は4,622台と、2006年下半期から3%減少した。PCがボットに感染する“平均寿命”は、2006年下半期の3日から4日に伸びたが、その要因としては「ユーザーがPCの保護に時間がかかっていることも予想されるが、結論を出すには時期尚早」(ウィーファー氏)としている。ボット感染PCが減少した理由については「一時的なもの」としたが、「ボットネットはより柔軟性に富んだ小規模ネットワークになっている」と指摘。サイバー犯罪者は、目的に応じてこれらのネットワークを使い分ける傾向があるとの見解を示した。

 同社が2007年上半期に発見した新種の脅威は21万2,101件で、2006年下半期(7万4,482件)から185%増えた。増加の要因としては、最初の攻撃では直接悪意のある活動は行なわないものの、次第にユーザーが知らないうちに悪意のあるソフトウェアをダウンロードして実行する「多段階型ダウンローダ」が増加したことが挙げられる。多段階型ダウンローダは、攻撃者の目的にあわせてダウンロード可能なコンポーネントが変更されるため、新種の脅威が増えるという。

 2007年上半期に記録したWebブラウザの脆弱性としては、Internet Explorerが39件で最多。2位はMozillaの34件だった。ブラウザプラグインによる脆弱性については、2007年上半期で237件を記録。2006年通年の報告数は108件であり、急激に増えていることがわかった。ブラウザプラグインの脆弱性のうち圧倒的に多かったのはInternet ExplorerのActiveXコンポーネントで、全体の89%を占めた。2位はQuickTimeで8%。

 将来の脅威については、オンラインゲームをはじめとする仮想空間を対象とした攻撃が増えると予測。バーチャル3Dワールド「Second Life」に関しては、スパムメールなどでログイン情報を盗み取り、ゲーム内通貨を現金化する動きがあると指摘。また、Second Life内の脅威については、「誰かを追いかけたりする嫌がらせは起こっているが、ウイルスのような存在は確認されていない。ただし、ウイルスも嫌がらせの発想から生まれたものであることを考えると、油断はできない」(同社セキュリティレスポンスの濱田譲治氏)という。


「多段階型ダウンローダ」の増加で新種の脅威が前期比185%増に ブラウザプラグインによる脆弱性

関連情報

URL
  ニュースリリース
  http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20070927_01

関連記事
世界に600万台のボット感染マシンが存在、シマンテック脅威レポート(2007/03/27)


( 増田 覚 )
2007/09/27 17:12

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.