2011年2月10日
フォーティネットジャパン株式会社

フォーティネット ウイルス対処状況レポート (2011年1月度)

下記のランキングは、2010年12月21日〜2011年1月20日までのフォーティネットのFortiGate™ネットワークセキュリティ アプライアンス とインテリジェンス システムが検知した情報をもとに作成されています。

目次:


FortiGuard Global Threat Research
  • 脅威と侵入防御
    • 脅威トップ10
    • 新たな脆弱性の追加
  • マルウェアの現況
    • 変種トップ10
    • 地域と数量
  • スパムの流通
    • スパムの出現率と上位地域
    • 実環境でのトップ3
  • Webからの脅威
    • 脅威トラフィックおよび拡大
  • 活動の要約

脅威と侵入防御

脅威トップ10

下記のランキングは、今月検知された攻撃のトップ10を、有効な攻撃の活動量で順位付けしたものです。有効な攻撃は、フォーティネットのFortiGuard Centerに掲載されるThreat Outbreak (最新脅威) の脅威一覧に基づいて定義されています (RSSフィードはこちらをご覧ください)。「%」は、その攻撃活動が、今月報告された日ごとの攻撃の累積総数に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」に相当する攻撃は、太字で示されています。トップ100シフトは、前号レポートのトップ100と比較した順位の変動を示し、「new」はトップ100に初登場したマルウェアです。図1aは、今回レポートのトップ5にランクされる攻撃の、日ごとの攻撃状況を示しています。図1bは、今回レポートされたすべての攻撃活動との対比で、最も攻撃が検知された上位5地域を示しています。

順位脅威深刻度トップ100シフト
1MS.DCERPC.NETAPI32.Buffer.Overflow42.7緊急-
2Hiloti.Botnet12.1重要-
3MS.IE.Deleted.DOM.Object.Access.Memory.Corruption11.4緊急+15
4AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation8.9重要-
5MS.Windows.LSASS.Buffer.Overflow7.7重要-
6Apache.Expect.Header.XSS7.6警告+1
7MS.IE.Userdata.Behavior.Code.Execution7.3緊急-4
8FTP.USER.Command.Overflow5.7重要-2
9MS.Content.Management.Server.Code.Execution3.8緊急+1
10SMB.Malformed.DataOffset2.4緊急+1

図1a:攻撃トップ5の日ごとの活動状況

図1b:攻撃が最も検知された上位5地域

新たな脆弱性の追加


図1c:深刻度で分類した今月度の新しい脅威

今月、FortiGuard IPSが新たに追加した脆弱性の合計は89件です。追加されたこれらの脆弱性のうち、60.7%に相当する54件については、活発な攻撃を受けたことが報告されています。

下記の図1cは、新たに追加された脆弱性について、実環境での深刻度ごとに脆弱性の数、攻撃活動量を示しています。詳しくは、下記のWebサイトに掲載された今月の詳細レポートをご覧ください。


マルウェアの現況

変種トップ10

下記のランキングは、変種ごとに分類したマルウェア活動トップ10を示しています。パーセンテージは、そのマルウェア変種の活動が、今月報告されたすべてのマルウェア脅威に占める割合を示しています。トップ100シフトは、前号レポートのトップ100と比較した順位の変動を示し、「new」はトップ100に初登場したマルウェアです。図2は、トップ5以内のマルウェア変種の検知量を示しています。

順位マルウェア変種トップ100シフト
1HTML/Iframe.DN!tr.dldr15.8+1
2W32/Injector.fam!tr13.2+2
3W32/Buzus.XCD!tr7.2new
4JS/Feebs.A@mm7.0+3
5W32/Netsky.P@mm3.0-
6W32/Virut.A2.0+8
7Java/Openconnection.9ADE!tr1.7+32
8JS/Crypt.CRA!tr1.5new
9W32/Virut.U1.2new
10Adware/PlatriumSA0.9+1


図2: マルウェア変種トップ5の活動カーブ

地域と数量

以下は、個別マルウェアの報告数量でランク付けした、今月の上位5地域です。個別マルウェア数量は、特定地域で検知された個別ウイルス名 (変種) 数の、マルウェア総数 (報告された全マルウェアの累積数量) に対する割合を示しています。過去6カ月間のマルウェア総数量および個別マルウェア数のトレンドが、図3a〜3bに示されています。


図3a: 個別マルウェア数量による上位5地域

図3b: 明確に識別できるマルウェア数量の6カ月間のトレンド

 地域別の日ごとの活動状況については、当社のウイルス世界地図をご覧ください。

スパムの流通

スパムの出現率と上位地域

以下に、今号レポート期間での全世界のスパム出現率が、日次単位で示されています。スパム出現率は、スパムと認識されたEメール累計数の、Eメール総トラフィック量に対する割合です。スパム流通の上位5地域は、地域内で受信されたスパム数の、全世界のスパム総数に対する割合からランク付けされています。統計を営業日ごとにグラフ化し、以下の図4aおよび図4bに示しています。


図4a: 全世界のEメール総数に対するスパム出現率

図4b: スパム受信数最多の上位5地域

実環境でのトップ3

以下に、今号レポート期間に検知されたEメール脅威のトップ3を示します。ランク付けされるメールは、類似のメールおよび未承諾広告を除外し、異なるキャンペーンの特徴に応じて分類されています。これにより、スパムメールにどのような詐欺的または悪意的な意図があるかがわかります。以下の図5aから図5cの代表的なスパムメールには、最近のスパムキャンペーンで多用されているメッセージ手法が示されています。


図5a: スパムキャンペーンその1

図5b: スパムキャンペーンその2


図5c: スパムキャンペーンその3

Webからの脅威

脅威トラフィックおよび拡大

以下の表は、今号レポート期間にブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。活動量のパーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングに限り各脅威トラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bは、Web脅威カテゴリーごとの活動の増減を、前月比で示しています。

Web脅威カテゴリー
マルウェア50.1%
ポルノ46.9%
スパイウェア1.8%
フィッシング1.3%

図6a: カテゴリーごとの脅威トラフィック量

図6b: 各期間の脅威トラフィックの増減率

活動の要約

今回の期間では、新しい脆弱性に対するエクスプロイト活動が急激に落ち込みました。FortiGuard Labが対応した新しい脆弱性のうち61%に対してエクスプロイト活動が試みられたことが検出されていますが、この割合は概して30〜40%の減少率となります。図1cは、深刻度が「緊急」になっている脆弱性 (リモート コード実行) の半分近くが攻撃を受けたことを示しています。常に注意を喚起しなければならない点として、最新のパッチを適用してすべてのソフトウェアを常に最新の状態に保つこと、そして有効なIPSソリューションを配備してエクスプロイト コードから保護することで、そうしたエクスプロイトに対してシステムのセキュリティを維持することが急務となっています。FortiGuard Labsは先月、3つのゼロデイ脆弱性を発見してマイクロソフトとアドビの両社に報告しました。主要なゼロデイ脆弱性すべての概要については、当社のUpcoming Advisory ページを参照してください。そうしたゼロデイ脆弱性に対しては、可能な限り常にシグネチャが事前に作成されます。マイクロソフト社は、Internet Explorerを標的とする実環境のエクスプロイト (CVE-2010-3971) について概説したゼロデイ アドバイザリを2010年12月22日に発行しています。本記事執筆時点で、この脆弱性は依然としてゼロデイ状態のままになっています。FortiGuard IPSは、"MS.IE.CSS.Self.Reference.Remote.Code.Execution"としてこの脅威を検出しています。その情報については、当社のこのアドバイザリをご覧ください。

今回のレポートで検出された注意を要するトップ3のマルウェアは、Feebs、Buzus、Virutでした。これらは新しい脅威ではありませんが、依然として執拗で積極的な活動を続けています。FeebsはJavascriptを用いてシステムを感染させる大量メーラーです。図5aは、Feebsに感染している電子メールのサンプルです。このメールには、メール本文の情報とともに、パスワードで保護されたアーカイブが含まれます。Buzusはスパムの状況の中で引き続き活発であり、ツイッター、Facebook、Google、Hallmark、Hi5にリンクされたさまざまなスパム キャンペーンを用いて、それ自身が感染している添付ファイルを送信します。有名な企業の名前をかたることで、それらの脅威がソーシャル エンジニアリングの手口を増やそうとしていることは明らかです。図5bはBuzusに感染したメールのサンプルです。いつもの通り、すべての添付ファイルに用心してください。Buzusはサイズが非常に大きく、通常500キロバイトを越えるサイズです。Virutの2つの変種はこのレポートで表面化したものですが、本記事執筆時点では依然として、マルウェアをダウンロードおよび実行する指令をVirutコントローラから受けています。Virut.UはアップデートされたIRCチャネルを使用し、このIRCチャネルにすべてのトラフィックを暗号化し、もう一方のVirut.AはIRCサーバに接続し続けて「proxim.ircgalaxy.pl」の暗号解読を行います。両変種とも接続にポート65520を使用しています。我々はVirutについてたびたび言及してきましたが、2006年5月13日からとなると実際かなりの長期間にわたるものであり、その日以来一貫して我々のトップ10やトップ100リストに居座り続けています。Virutは、ボット コンポーネントを内包する精密なファイル インフェクタです。その駆除が非常に難しいのは、それが一旦システムに侵入するとその中の何千何万ものファイルに拡散してしまうためです。FortiGuard Labsでは、他のボットネット (VBCF) をダウンロードするVirutを確認しました。これが活動を始めたら、感染したシステムの中にまもなく多数のマルウェアが発生するということになります。Virutは、現在確認されている中でもっとも執拗なボットネットの一つです。というのも、VirutはパブリックIRCドメイン (その4年の稼動期間中にオフラインにされたこ ニはありません) を使用し、またハイブリッドな拡散能力を持っていることから、感染したシステムから除去することがきわめて困難であるためです。

また別に、2010年12月27日から2011年1月10日まで、グローバル スパム レートの大幅な下落が観測されました (図4aのとおり)。2010年11月にも大規模な低下について報告しましたが、これはBredolabボットネットがオフラインになっていたためでした。しかしスパム レートは12月中ごろには再び通常の状態へと上昇を始めました。今回Rustockと見受けられるボットネットは、スパム レートの減少のおかげで、その期間中にスパム キャンペーンではなくアフィリエイト型のビジネスモデルによって儲けを生み出すことに専念していましたが、Rustockがそのスパム ルーチンを再開させる指令を受けた後で、再びスパム レートが上昇し始めました。BredolabとRustockの両方のケースで、グローバル スパム レートに顕著な影響がありました。スパム レートはBredolabによっておよそ12%、またRustockによっておよそ20%、それぞれ低下しており、一つのボットネットが世界中のスパムに与えうる影響の大きさが実際に認識されたのです。

ソリューション
 フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、適切な設定パラメータにより、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuard Labが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的な セキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

フォーティネットについて (www.fortinet.com)
 フォーティネットは (NASDAQ: FTNT) ネットワーク セキュリティ アプライアンスのワールドワイド プロバイダであり、統合脅威管理 (UTM) のマーケット リーダーでもあります。フォーティネットの製品とサブスクリプション サービスは、ダイナミックなセキュリティ脅威に対抗する広範で高性能な統合プロテクション機能を提供しつつ、ITセキュリティ インフラの簡易化も実現します。フォーティネットの顧客には、米フォーチュン誌が選出する2009 Fortune Global 100の大部分を含む世界中の大規模企業、サービスプロバイダ、行政機関が名を連ねています。フォーティネットのフラグシップであるFortiGate製品はASICによる高速なパフォーマンスを誇り、アプリケーションやネットワークの脅威から保護する多層セキュリティ機能が統合されています。フォーティネットの幅広い製品ラインはUTMにとどまらず、エンドポイントからデータベースやアプリケーションなどの境界やコアに至る大規模エンタープライズのセキュリティを保護します。フォーティネットは本社をカリフォルニア州サニーベールに構え、世界中にオフィスを展開しています。

Copyright © 2010 Fortinet, Inc. All rights reserved.® と™のマークはいずれも、Fortinet, Inc.、その子会社および関連団体の米国における登録商標および未登録の商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiManager、FortiMail、FortiClient、FortiCare、FortiAnalyzer、FortiReporter、FortiOS、FortiASIC、FortiWiFi、FortiSwitch、FortiVoIP、FortiBIOS、FortiLog、FortiResponse、FortiCarrier、FortiScan、FortiAP、FortiDB、FortiWebなどがありますが、これだけにとどまりません。その他の商標は、各所有者に帰属します。フォーティネットは、サードパーティに帰する本書での声明や認可について中立的な立場で実証してはおらず、またフォーティネットはそのような声明を保証することもありません。本ニュースリリースには、不確実性や仮説を伴う前向きな内容が含まれている場合があります。不確実性が現実になったり、あるいは仮定が正しくないことが判明したりした場合、そうした前向きな声明や仮説で表明または暗示された内容とは実質的に結果が異なる場合があります。史実に関する声明を除くすべての声明は、前向きな声明であると判断されるべきものです。フォーティネットは、どの前向きな声明についても改正する義務を負わず、またこれらの前向きな声明を改正する方針もありません。

 

フォーティネットについて

設立

2000年

NASDAQ上場

FTNT(銘柄名)

本社

カリフォルニア州サニーベール

従業員数

5,400人以上

財務経営

  • 2017年度の売上:
    14.95億ドル
  • 無借金経営

最初の製品出荷

2002年5月

出荷実績

4,000,000台以上

顧客数

360,000社以上

市場での実績

出荷台数 世界第1位
(IDC調べ)

特許数

  • 536件の特許取得
  • 240件の特許出願

@FortinetJapanをTwitterでフォローしよう!