シマンテックのセキュリティ動向、月間2憶4500万の攻撃を検出


シマンテックの浜田譲治シニア セキュリティレスポンス マネージャ

 シマンテックは3日、2009年上半期のインターネットセキュリティに関するトレンドを発表した。同社の浜田譲治氏(シニア セキュリティレスポンス マネージャ)が、マルウェアの傾向や感染の手口などについて解説した。

 シマンテックでは、2008年に月間平均で約2憶4500万を超える悪意のあるプログラムを検出したと説明。この数値は、シマンテック製品ユーザーやハニーポッドへの攻撃を検出したもので、大部分は未知のマルウェアだという。

 また、現在はWebサイトでの感染が大半であることや、リムーバブルメディアを介した感染の拡大、ウイルスの種類(ファミリー)は少ないが、そこから数多くの亜種が生まれ、セキュリティベンダーが検出できないように進化させていることを紹介した。

 浜田氏は、セキュリティ対策ソフトについて、「従来の定義ファイルでは検出しにくくなってきており、ヒューリステック、挙動分析、レピュテーションによる検出技術を強化していかなければいけない」と話す。

マルウェアの最新トピック攻撃検出数の推移を示すグラフ

ゲームを装って個人情報を盗む手口

 マルウェアの感染、および個人情報を盗む手口について浜田氏は、「世界的な経済危機が今年の多くの新しい攻撃の基盤になっている」と説明。失業者に対するフィッシングやスパムメールのほか、案内広告や求人掲示板をターゲットにした例もあり、「さまざまな手口が経済危機を発端に出てきている」とした。

 また、SNSの利用者拡大に伴い、ソーシャルネットワーク上での攻撃も昨今のトレンドだという。「人気のプラットフォームがあると、そこを攻撃者が狙うのは基本」とのこと。例として、Twitterユーザーだとお金をかせげると誘う手口や、SNSのユーザーアカウントを不正に取得し、悪用する手口を紹介した。

 SNSを悪用する手口としては、1人のユーザーのアカウントを盗み、そのユーザーの友人へ悪意のあるサイトへのリンクをSNS内のメール機能などで送る。友人から届いたメッセージなので信用してクリックし、サイトに誘導される。そのサイトでマルウェアに感染するという流れだ。「マルウェアに感染した場合は、個人情報を盗まれることも。感染したユーザーのアカウントも盗まれ、鼠算式に被害が増える」。

 このほか、ブログ上で新しいゲームとして公開される攻撃もあるという。ゲームの参加者は、ゲームの進行中に子供のころに住んでいた街の名前や母親の旧姓などを入力するように求められる。参加者は単なる遊びのように感じるが、ゲーム運営者(攻撃者)は個人情報を収集している。「こうして盗まれたクレジットカード情報や口座番号は、闇社会へ流れて悪用される」。

経済危機に便乗したスパムの例Twitterユーザーを狙ったスパム

大量配布型の攻撃方法が復活

 シマンテックでは、2009年には、メールトラフィック全体に占めるスパムの比率が約75%から80%に上昇すると予測している。スパム配信者が利用する最近のトピックとしては、マイケルジャクソンの死去や新型インフルエンザ、イタリアの地震に関するものが多いという。

 また、高度なWeb脅威として、正規のサイトの一部が書き換えられ、アクセスしたユーザーが感染するケースを紹介した。浜田氏は、「昔だと怪しいサイトやクラックソフトで感染するのが当たり前だったが、今は一般企業のサイトで感染することもある」と話す。狙われるサイトとしてはSNSや、SNSからの招待メールを装い、ワームを添付したメールを送信する例もあったという。

 さらに、悪意のあるJavaScriptやパッチ未適用のブラウザを利用するよりも、ブラウザのプラグインやクロスサイトスクリプティングに対する脆弱性を利用するケースが増加していると説明。狙われるプラグインは、Adobe ReaderやFlashが圧倒的に多いという。「マイクロソフト製品のパッチは自動更新があるため、攻撃しにくくなった。プラグインは自動更新がないものも多くある。しかも、利用者が多く、脆弱性が知られていないことも。これがゼロデイ攻撃につながる」とした。

 そのほか、かつてのような大量配布型の攻撃方法が復活していることにも言及した。これは、1種類のマルウェアおよびその亜種が爆発的に広まることで、SNSやUSB経由、ネットワークの脆弱性で広まるものがあるという。「Koobface」や「Conficker」を代表的な例として挙げた。加えて、金銭目的以外の攻撃として、「Trojan.Dozer」による米国や韓国政府サイトへのDoS攻撃を挙げた。浜田氏は、「攻撃の巧妙化に対処するため、セキュリティ業界内の協力が必要」だと述べた。


Webアプリケーションの脆弱性Koobfaceの地域分布図


関連情報


(野津 誠)

2009/9/3 18:35