2011年3月7日
フォーティネットジャパン株式会社

フォーティネット ウイルス対処状況レポート (2011年2月度)

下記のランキングは、2011年1月21日〜2月20日までのフォーティネットのFortiGate™ネットワークセキュリティ アプライアンス とインテリジェンス システムが検知した情報をもとに作成されています。

目次:


FortiGuard Global Threat Research
  • 脅威と侵入防御
    • 脅威トップ10
    • 新たな脆弱性の追加
  • マルウェアの現況
    • 変種トップ10
    • 地域と数量
  • スパムの流通
    • スパムの出現率と上位地域
    • 実環境でのトップ3
  • Webからの脅威
    • 脅威トラフィックおよび拡大
  • 活動の要約

脅威と侵入防御

脅威トップ10

下記のランキングは、今月検知された攻撃のトップ10を、有効な攻撃の活動量で順位付けしたものです。有効な攻撃は、フォーティネットのFortiGuard Centerに掲載されるThreat Outbreak (最新脅威) の脅威一覧に基づいて定義されています(RSSフィードはこちらをご覧ください)。「%」は、その攻撃活動が、今月報告された日ごとの攻撃の累積総数に占める割合を示しています。また「深刻度」は、その脆弱性への攻撃に関する全般的な危険度を示しており、「注意」から「緊急」までのランクがあります。「緊急」に相当する攻撃は、太字で示されています。トップ100シフトは、前号レポートのトップ100と比較した順位の変動を示し、「new」はトップ100に初登場したマルウェアです。図1aは、今回レポートのトップ5にランクされる攻撃の、日ごとの攻撃状況を示しています。図1bは、今回レポートされたすべての攻撃活動との対比で、最も攻撃が検知された上位5地域を示しています。

順位脅威深刻度トップ100シフト
1MS.DCERPC.NETAPI32.Buffer.Overflow44.3緊急-
2Hiloti.Botnet15.3重要-
3AWStats.Rawlog.Plugin.Logfile.Parameter.Input.Validation9.5重要+1
4Apache.Expect.Header.XSS7.8警告+2
5MS.Windows.LSASS.Buffer.Overflow7.6重要-
6MS.IE.Userdata.Behavior.Code.Execution6.6緊急+1
7FTP.USER.Command.Overflow5.6重要+1
8MS.IE.Deleted.DOM.Object.Access.Memory.Corruption5.2緊急-5
9Sasfis.Botnet2.7重要+5
10SMB.Malformed.DataOffset2.7緊急-

図1a:攻撃トップ5の日ごとの活動状況

図1b:攻撃が最も検知された上位5地域

新たな脆弱性の追加


図1c:深刻度で分類した今月度の新しい脅威

今月、FortiGuard IPSが新たに追加した脆弱性の合計は81件です。追加されたこれらの脆弱性のうち、37.0%に相当する30件については、活発な攻撃を受けたことが報告されています。

下記の図1cは、新たに追加された脆弱性について、実環境での深刻度ごとに脆弱性の数、攻撃活動量を示しています。詳しくは、下記のWebサイトに掲載された今月の詳細レポートをご覧ください。


マルウェアの現況

変種トップ10

下記のランキングは、変種ごとに分類したマルウェア活動トップ10を示しています。パーセンテージは、そのマルウェア変種の活動が、今月報告されたすべてのマルウェア脅威に占める割合を示しています。トップ100シフトは、前号レポートのトップ100と比較した順位の変動を示し、「new」はトップ100に初登場したマルウェアです。図2は、トップ5以内のマルウェア変種の検知量を示しています。

順位マルウェア変種トップ100シフト
1HTML/Iframe.DN!tr.dldr14.0-
2JS/Feebs.A@mm9.42
3W32/Injector.fam!tr9.1-1
4W32/Netsky.P@mm2.91
5Data/SpyeyeCon.fam2.9new
6W32/MyDoom.M@mm2.4new
7W32/ALMANAHE.Z!tr1.9new
8W32/Virut.A1.8-2
9Adware/PlatriumSA1.31
10JS/Crypt.CRA!tr0.9-2


図2: マルウェア変種トップ5の活動カーブ

地域と数量

以下は、個別マルウェアの報告数量でランク付けした、今月の上位5地域です。個別マルウェア数量は、特定地域で検知された個別ウイルス名 (変種) 数の、マルウェア総数 (報告された全マルウェアの累積数量) に対する割合を示しています。過去6カ月間のマルウェア総数量および個別マルウェア数のトレンドが、図3a〜3bに示されています。


図3a: 個別マルウェア数量による上位5地域

図3b: 明確に識別できるマルウェア数量の6カ月間のトレンド

 地域別の日ごとの活動状況については、当社のウイルス世界地図をご覧ください。

スパムの流通

スパムの出現率と上位地域

以下に、今号レポート期間での全世界のスパム出現率が、日次単位で示されています。スパム出現率は、スパムと認識されたEメール累計数の、Eメール総トラフィック量に対する割合です。スパム流通の上位5地域は、地域内で受信されたスパム数の、全世界のスパム総数に対する割合からランク付けされています。統計を営業日ごとにグラフ化し、以下の図4aおよび図4bに示しています。


図4a: 全世界のEメール総数に対するスパム出現率

図4b: スパム受信数最多の上位5地域

実環境でのトップ3

以下に、今号レポート期間に検知されたEメール脅威のトップ3を示します。ランク付けされるメールは、類似のメールおよび未承諾広告を除外し、異なるキャンペーンの特徴に応じて分類されています。これにより、スパムメールにどのような詐欺的または悪意的な意図があるかがわかります。以下の図5aから図5cの代表的なスパムメールには、最近のスパムキャンペーンで多用されているメッセージ手法が示されています。


図5a: スパムキャンペーンその1

図5b: スパムキャンペーンその2


図5c: スパムキャンペーンその3

Webからの脅威

脅威トラフィックおよび拡大

以下の表は、今号レポート期間にブロックされた脅威活動の割合を、Webのカテゴリーごとに分類したものです。活動量のパーセンテージは、4つのカテゴリー全体における各活動の割合を示しています。図6aは別の切り口で、マルウェア、スパイウェア、フィッシングに限り各脅威トラフィックを比較したものです。図6aにあるパーセンテージは、これら3つの脅威カテゴリー全体における各活動の割合を示しています。図6bは、Web脅威カテゴリーごとの活動の増減を、前月比で示しています。

Web脅威カテゴリー
ポルノ50.7%
マルウェア46.4%
スパイウェア1.7%
フィッシング1.2%

図6a: カテゴリーごとの脅威トラフィック量

図6b: 各期間の脅威トラフィックの増減率

活動の要約

FortiGuard Labsは今月、シスコ (FGA-2011-03)、アドビ (FGA-2011-06)、およびマイクロソフト (FGA-2011-04) の各社と共同で、各社製品の5つのゼロデイ脆弱性への対処について公表しました。フォーティネットは長年にわたってこの重責たる公表プロセスに則り、全部で125個以上のゼロデイ脆弱性を発見してきました。その大半は重要度が緊急に属し、潜在的なリモートコード実行につながるものでした。我々の理念はもちろん、悪意のあるハッカーがソフトウェアのセキュリティ ホールを見つけて悪用する前に、それらを発見、保護して報告することにあります。大部分についてはこれで効果を上げることができますが、それでも完全ではありません。時には、既にベンダが報告済みであっても修正が施されていない問題をハッカーが発見し、攻撃することがあります。こうした事態は、2009年にさかのぼるMS Office Webコンポーネントの脆弱性で起こっています (FortiGuard Advisoryはこちら)。より大きな問題となっているのは、パッチが施された脆弱性に対しても、通常しばらくの間はハッカーの攻撃が依然として成功していることです。こうした事態が発生しないよう、すべて最新のパッチが適用され、また適切なIPSソリューションが整備されていることを確認してください。ゼロデイ攻撃については、マイクロソフトは1月末、IEとMHTMLの情報公開脆弱性に関するセキュリティ勧告を発行しました。これに関しては、こちらのFortiGuard Advisorをご覧ください。本記事執筆時点で、この脆弱性は依然としてゼロデイのまま残されており、パッチはいまだに提供されていませんが、FortiGuardは2月1日にIPSシグネチャ "MS.Windows.MHTML.XSS" をリリースし、この脅威の緩和に貢献しています。

本レポートのマルウェア トップ10では、'Data/ SpyeyeCon.fam' という名称の脅威が新たに検出されました。このシグネチャは、SpyEyeボットネットが送信する暗号化されたコンフィグレーション ファイルを検出します。コンフィグレーション ファイルには、このボットネットが日常的に活動を続けられるよう、更新されたパラメータ/タスクが含まれています。SpyEyeはZeusボットネットの後継として最近注目を集めており、世界中の多数の犯罪組織に使用されている極めてポピュラーなクライムウェアであることは間違いありません。Zeusの開発者は、コンフィギュレーション ファイルのデータ構造の先頭に意味のない20バイト ヘッダーを付加するなど、検出を免れるための方策を施しています。昨年、Zeus (Zitmo) のモバイル コンポーネントが現れたことがわかっています。最近ではZitmo.Bが、SymbianとWindows Mobileの両バージョンで再び姿を表しました。今回は、ポーランドのING Directが標的となっています。おそらく、データ/指令制御伝送のルーチン難読化のように、SpyEyeグループによる同様の継続的な活動が発生するでしょう。FortiGuard Labsでは、SpyEyeなどのボットによる最新の開発状況を常に把握するべく、日常的にボットネットを監視しています。SpyEyeやそのコミュニケーション ルーチンの詳細については、フォーティネットのDoug Macdonaldが最近投稿したブログ記事をお読みください。SpyEyeの開発者は、自分のプロダクトを管理と自動化の面でより効率化することに力を注いでおり、ATS (自動転送システム) はそうした機能の一つとなっています。

最近のレポートでは、マネー ミュールの求人キャンペーンEメールに注目してきました。マネー ミュールに対する需要は引き続き存在しているようです。図5aおよび5bは今月配信された2通の新しいEメールで、不正に得た資金のマネーロンダリングを目的に被害者を詐欺の仕事に誘い込もうとするものです。実際、攻撃者の間ではフィッシングが極めて活発な作戦になっているため、今になってEメールの脅威がレーダーに映らなくなるようなことはありませんでした。図5cは、今月FortiGuard Labsが発見した、アメリカン・エクスプレスの名をかたるフィッシングEメールです。このメールでは、アカウントが規約に違反していると通知する脅しの戦術が用いられています。このようなケースに遭遇したら、まずはよく考えてメモの送り主を確認し、自分が利用している金融機関に直接連絡を取ってください。また、アメリカン・エクスプレスのものではない不正なドメインへのリンクには注意が必要です。リンクをクリックする前に、常にこのような特徴を確認してください。このケースでは、リンクをクリックするとユーザはバンコクのデータセンターに位置するサイトに接続され、さらにこのサイトから中国のサーバにリダイレクトされます。このリダイレクト先のサーバは、アメックスの正規サイトのコンテンツを中継するプロキシとして機能し、途中でログイン認証情報を傍受します。もちろん、犯罪者がこれらの認証情報を入手すれば、匿名の伝送サービスやマネーミュールなどを通じて盗んだ資金のマネーロンダリングを簡単に実行できるようになります。

ソリューション
 フォーティネットのFortiGuardサブスクリプションサービスを導入済みのお客様は、適切な設定パラメータにより、今回のレポートで概説した脅威から既に保護されています。脅威の活動については、フォーティネットのFortiGuard Labが、同社のインテリジェンスシステムと世界中で販売されているFortiGate™複合脅威セキュリティアプライアンスから収集したデータに基づいて集計しています。FortiGuardサブスクリプションサービスは、アンチウイルス、侵入防御、Webコンテンツフィルタリング、アンチスパム機能などを含めた包括的な セキュリティソリューションを提供します。このサービスによって、アプリケーション層とネットワーク層の両方における脅威から保護することができます。FortiGuardサービスはFortiGuardグローバルセキュリティリサーチチームによって常にアップデートされており、これを通じてフォーティネットは、マルチレイヤセキュリティインテリジェンスと新たに台頭する脅威に対する真のゼロデイ保護を提供することが可能となっています。これらのアップデートは、FortiGate、FortiMail、FortiClientの全製品に配信されます。

フォーティネットについて (www.fortinet.com)
 フォーティネットは (NASDAQ: FTNT) ネットワーク セキュリティ アプライアンスのワールドワイド プロバイダであり、統合脅威管理 (UTM) のマーケット リーダーでもあります。フォーティネットの製品とサブスクリプション サービスは、ダイナミックなセキュリティ脅威に対抗する広範で高性能な統合プロテクション機能を提供しつつ、ITセキュリティ インフラの簡易化も実現します。フォーティネットの顧客には、米フォーチュン誌が選出する2009 Fortune Global 100の大部分を含む世界中の大規模企業、サービスプロバイダ、行政機関が名を連ねています。フォーティネットのフラグシップであるFortiGate製品はASICによる高速なパフォーマンスを誇り、アプリケーションやネットワークの脅威から保護する多層セキュリティ機能が統合されています。フォーティネットの幅広い製品ラインはUTMにとどまらず、エンドポイントからデータベースやアプリケーションなどの境界やコアに至る大規模エンタープライズのセキュリティを保護します。フォーティネットは本社をカリフォルニア州サニーベールに構え、世界中にオフィスを展開しています。

Copyright © 2010 Fortinet, Inc. All rights reserved.® と™のマークはいずれも、Fortinet, Inc.、その子会社および関連団体の米国における登録商標および未登録の商標であることを示します。フォーティネットの商標には、Fortinet、FortiGate、FortiGuard、FortiManager、FortiMail、FortiClient、FortiCare、FortiAnalyzer、FortiReporter、FortiOS、FortiASIC、FortiWiFi、FortiSwitch、FortiVoIP、FortiBIOS、FortiLog、FortiResponse、FortiCarrier、FortiScan、FortiAP、FortiDB、FortiWebなどがありますが、これだけにとどまりません。その他の商標は、各所有者に帰属します。フォーティネットは、サードパーティに帰する本書での声明や認可について中立的な立場で実証してはおらず、またフォーティネットはそのような声明を保証することもありません。本ニュースリリースには、不確実性や仮説を伴う前向きな内容が含まれている場合があります。不確実性が現実になったり、あるいは仮定が正しくないことが判明したりした場合、そうした前向きな声明や仮説で表明または暗示された内容とは実質的に結果が異なる場合があります。史実に関する声明を除くすべての声明は、前向きな声明であると判断されるべきものです。フォーティネットは、どの前向きな声明についても改正する義務を負わず、またこれらの前向きな声明を改正する方針もありません。

 

フォーティネットについて

設立

2000年

NASDAQ上場

FTNT(銘柄名)

本社

カリフォルニア州サニーベール

従業員数

5,400人以上

財務経営

  • 2017年度の売上:
    14.95億ドル
  • 無借金経営

最初の製品出荷

2002年5月

出荷実績

4,000,000台以上

顧客数

360,000社以上

市場での実績

出荷台数 世界第1位
(IDC調べ)

特許数

  • 536件の特許取得
  • 240件の特許出願

@FortinetJapanをTwitterでフォローしよう!