|
リージョナルトレンドラボに勤める岡本勝之氏
|
|
2001年から2007年までの感染被害報告件数
|
トレンドマイクロ株式会社は1月8日、2007年度マルウェア感染被害に関する記者説明会を開催。国内独自の脅威情報を解析するリージョナルトレンドラボの岡本勝之氏が、2007年の不正プログラムの傾向と2008年の予測を説明した。
2007年は何と言っても「Webからの脅威が猛威を振るった年。Webを経由し複合的にマルウェア感染させる手法が主流になるとともに、併用するソーシャルエンジニアリングも巧妙化が進んだ」と岡本氏は語る。
マルウェア感染被害報告件数をみると、2006年には前年比203%まで増大した感染被害は、2007年には69%と減少している。しかし、「これは脅威が減少したわけではなく、Webからの脅威という新しいトレンドの到来によって、ユーザーが感染していることに気づきにくい状況になっているためだろう」と岡本氏。
同じように2005年にも感染被害報告件数が減少したことがあった。「この時もやはり、それまでのマスメディア型のマルウェアからスパイウェアやボットなどの新しい脅威へと移りゆく中、ユーザーが被害に気づけなかったことが原因だった」としている。
もう1つ2007年の特長として、感染被害の分散化が挙げられる。「一昔前は、1つのマルウェアが世界的にアウトブレークするという被害が主流だった。それを示すように2001年には、感染被害総報告数2万5644件のうち68.3%のマルウェアがトップ10を占めていた。それだけマルウェアの総種類数は少なかったといえる。ところが2007年を見ると、6万3726件のうちわずか4.5%しかトップ10に入っていなかった」という。残り95.5%がトップ10外ということを考えると、つまり、「それだけ総種類数が増えてしまっている」というわけだ。
このためアンチウイルス製品においては、単純なパターンマッチング技術だけでは、対策としては既に限界だと岡本氏は指摘する。トレンドマイクロ製品では、パターンマッチングに加えヒューリスティックとレピュテーション技術を採用することで多段階の防御を実現している。
|
|
2007年に感染が報告されたマルウェアの上位10種
|
2001年から2007年にかけて、年々減少する感染報告ウイルスのトップ10占有率
|
■ Webからの脅威-「最も恐ろしいのは正規Webサイトの改ざん」
|
Webからの脅威-正規Webサイトの改ざん
|
|
だましの手口も巧妙化
|
“Webからの脅威”という言葉がまたたく間に広まった2007年だが、ここでもう一度、その内容について具体例とともにおさらいしてみよう。
まず、最も恐ろしいと岡本氏が語るのが、正規Webサイトを改ざんする手口。同氏によれば「Webページの一部が改ざんされ、不正なWebサイトへ誘導する一行ばかりのスクリプトが埋め込まれる。ユーザーがそのWebページにアクセスするだけで、マルウェアをダウンロードさせるために用意された別のWebサイトへと自動的にリダイレクトされてしまう。ユーザーは正規のWebサイトということで油断している上、リダイレクト、ダウンロードという一連の感染活動は徹底的に不可視化されている」という。
経由するWebサイト、ダウンロードされるマルウェアは、アンチウイルス製品でも補足できないものも多く、「パターンファイルを常に最新にしましょう」「怪しいWebサイトには近づかないようにしましょう」といったこれまでの心構えが通用しなくなってきている。
こうしたWebサイトへ誘導するためには、スパムメールにURLを記載する手口がすでに日常化している。また、URLのタイプミスから不正なWebサイトに誘導する「タイポスクワッティング」、「w」の文字を「vv」に置き換え見間違えを誘発する手口などもすでに浸透しているという。
さらに最新の手口では、検索エンジンを利用する「SEOポイゾニング」という手口も出現している。トレンドマイクロが2007年11月下旬に行った調査では、大手検索サイトで「Chrismas」や「gift」などのキーワードを検索したところ、検索上位10種の3割から4割程度が不正プログラムをダウンロードさせようとするWebサイトのリンクだったという。
新種マルウェアとしては、PCのネットワーク設定ファイルである「hostsファイル」を書き替えるものも発見されている。これは「ファーミング」と呼ばれる手口。Webからの脅威と併用することで、攻撃者にとって非常に便利な手口になり得るため、今後、同様の手口が増えてくるかもしれない。
Webからの脅威としてはもう1つ、国産ソフトの脆弱性をつく攻撃が多発したのが2007年だった。「一太郎の脆弱性をつくマルウェアは1種類しか確認できなかったが、2007年に入って3種に増えた」と岡本氏は語る。また、圧縮解凍ツール「+Lhaca」「Lhaz」の脆弱性を着いた攻撃が相次いで発生したのは記憶に新しいことだろう。このとき、Lhazへの攻撃としては、終戦記念日付近に「第二次世界大戦年表」とファイル名を偽装した不正ファイルが出回っている。
偽セキュリティソフトを装い、ウイルス感染の警告をでっち上げることでユーザーに金銭を払わせる手口においても、精巧な日本語GUIを持ったアドウェアが確認されているという。
「ソーシャルエンジニアリング的な手口も確実に進化している。これらを通していえるのは、サイバー犯罪者が日本を狙いだしているということ」(岡本氏)。
■ Webからの脅威を防ぐためには多段階の対策を
では2008年の傾向はどうか。岡本氏によれば、「今後も正規Webサイトの改ざんは多発するだろう。正規WebサイトなためURLフィルタリングでも感染は防げない。また攻撃対象のすそ野はさらに広がりをみせ、だましの手口はさらに巧妙化していくことが懸念される」という。
正規Webサイトであること、単純なパターンマッチングでは防げないことを考えると、一般ユーザーとしては、どう自分のPCを保護していけばよいのか。トレンドマイクロでは、複合的に対策手段を講じるしかないとしている。
2007年9月、国内である企業の1000台ものPCが十数種のマルウェアに感染したというインシデントが発生した。このときも感染経路は正規Webサイトからのマルウェア感染であった。このマルウェアが「ファイル感染型」「ダウンローダ」という性質を併せもっていたため、社内の共有フォルダ越しに感染が広がり、インターネットからは随時別のマルウェアがダウンロードされてしまったという事例だ。
このとき、もしトレンドマイクロの技術をフル活用していれば、最初のマルウェア感染をヒューリスティックで防御することも、リダイレクトされるWebサイトのいくつかをWebレピュテーションで特定することも可能で、1000台の感染という大惨事にはならなかったという。
それでも100%というわけにはいかないのが実情であろうが、「少なくともパターンマッチングだけでマルウェア対策とする時代は終わったのは事実。今後は、さらに用心深く対策を重ねることが必要だ」(岡本氏)としている。
■ URL
トレンドマイクロ株式会社
http://www.trendmicro.co.jp/
ウイルス感染被害レポート-2007年度(最終版)
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20080108011916.html
( 川島 弘之 )
2008/01/08 16:18
|