ファイル共有ソフトで流通するマルウェア、9割がアイコン偽装


 日立製作所インシデントレスポンスチーム(HIRT)は13日、ファイル共有ソフトのネットワーク上で流通するマルウェアの実態をとりまとめた。調査で収集したマルウェアの9割以上が、フォルダーなどの安全なコンテンツに見せかけたアイコン偽装を行っていることなどがわかった。

 調査は2010年12月から2011年1月まで、3回にわけて「Winny」と「Share」のネットワークを巡回。両ネットワークで実際に流通しているファイルを自動的に収集し、マルウェアの混入の有無を調べた。調査サンプルとなったファイルはWinnyが2万9520件、Shareが3万3169件。

 調査によれば、Winnyでダウンロードしたファイルのうち、マルウェアを含むファイルの割合は3.7%。この割合は2010年に実施した前回調査よりも若干減少したが、4年間を通じてほぼ4%前後を推移している。一方、Shareでダウンロードしたファイルについては、全体の1.3%にマルウェアが含まれており、前年から変動がなかった。

調査結果

 マルウェアを含むファイルの拡張子としては、大半がアーカイブファイルだったことも特徴。Winny環境ではzip形式が63.0%、lzh形式が27.3%だった。一方、Share環境ではlzh形式のアーカイブファイルが占める割合は0.6%にとどまり、zip形式が96.1%と圧倒的に多かった。

 「WinnyならびにShare環境ともに、zip形式のアーカイブファイルにマルウェアが含まれている割合が高く、アーカイブファイルを解凍するとフォルダーアイコンに偽装したマルウェアが表示され、フォルダーを開くつもりでマルウェアを実行してしまうことを狙ったものだと思われる。」(HIRT)

 Winny環境でマルウェアを含んでいたファイルのうち、アイコンを偽装していたのは95.2%、ファイル名を偽装していたのは29.9%だった。同様にShare環境でも、アイコン偽装率は95.5%、ファイル名偽装率は72.2%と高く、マルウェアを安全なコンテンツに見せかける偽装が多く見られた。

 アイコン偽装の方法としはフォルダーに見せかけるケースが最も多く、Winny環境では73.0%、Share環境では95.3%に上った。アイコン偽装に加えて、二重拡張子や大量スペースによるファイル名偽装も行われていると指摘。「一見、アイコンもファイル名も安全に見えるようにして、マルウェアを実行しやすくしている」として注意喚起している。

偽装の傾向

 マルウェアの種類としては、情報漏えいを引き起こす「Antinny」タイプがWinny環境で72.9%、Share環境で32.4%を占めた。Winny環境で2割(23.9%)、Share環境で6割(60.7%)を占めるファイル感染型のほとんどは、「PE_PARITE.A」(Winny環境:100%、Share環境:98.3%)だった。

 PE_PARITE.Aは、初めて確認されたのが2002年5月以前。最新の亜種が確認されたのは2006年9月と比較的古いウイルスだが、最近でも感染被害が数多く報告されているという。HIRTでは、「Winny環境などのP2Pファイル交換ソフト環境内で広く流通し、セキュリティ対策の万全ではないPCで駆除されずに生き残り続けている可能性がある」とみている。

 マルウェアに付与されているファイル名の傾向としては、Winny環境で「同人誌」「18禁ソフト」という単語が多く、クラスタワードがファイル名に付いていることが多かったと指摘。一方、Share環境ではコミックと思われるファイル名が多く、クラスタワードにファイル名が付いていることはまれだったという。


関連情報


(増田 覚)

2011/9/15 06:00