Web経由の感染と多品種化が加速――2007年のウイルス動向

トレンドマイクロは、2007年の不正プログラムの傾向と2008年の予測を発表した。

[國谷武史，ITmedia]

　トレンドマイクロは1月8日、2007年の不正プログラムの傾向と2008年の予測を取りまとめ、記者向けに説明した。コンピュータウイルスのWeb経由による感染や、多品種化の傾向が強まっている。

　「2007年は、2006年から見られたWeb経由でのウイルス感染手法が本格化した。感染被害数は減ったが、亜種を含めた不正プログラムを次々にダウンロードするなど、感染の手口が複合化している。」リージョナルトレンドラボの岡本勝之氏は、2007年のウイルス動向をこのように総括した。

岡本勝之氏

　2007年は、1月に登場した「Storm Worm」に代表されるように、電子メールや添付ファイルなどで拡散するマルウェアが猛威をふるった。さらには、企業や自治体などのWebサイトの脆弱性を突いてマルウェアをダウンロードさせる手口が急増。マルウェア開発者は、電子メールなどからユーザーを不正改ざんしたWebサイトに誘導し、マルウェアを送り込むスタイルを確立させた。「添付ファイルは怪しい」というユーザーの認識が広まると、マルウェア開発者はメール本文にURLを記載する形に切り替えるなど、手口をさらに巧妙化させている。「この傾向は今後も主流となって続いていくだろう」（岡本氏）

　文書ファイルを利用するなど、一見するとマルウェアの疑いをユーザーが抱きにくい感染手法や、アプリケーションの脆弱性などを狙った手口も広まった。特に、文書作成アプリケーションの「一太郎」や、圧縮・解凍ツール「+Lhaca」「Lhaz」のように、日本のユーザーを狙い打ちしたものと思われる手口も登場。偽のセキュリティ対策ソフトによって金銭を狙うフィッシング詐欺犯罪も注目された。

　同社が確認した2007年通期のウイルス感染報告数は6万3726件。2006年に比べ、69％減少した。岡本氏は、「メーリングサービスなどを使って感染が拡大するケースが減少しているものの、Webサイトの改ざんなど、ユーザーが気付きにくい手口を取り入れつつある」と警告した。

　感染報告数全体に占める上位10種のウイルスの割合は4.5％で、2001年以降では最も少なくなった。2001年は68.3％を占めていた。「ウイルスの種類が非常に増え、『多品種少量生産』のような時代になった」と岡本氏は述べた。

　2008年は、企業など正規サイトの改ざんや、特定のアプリケーションやOS、地域など特定化された攻撃対象の増加、既存の手口を組み合わせた感染手法の巧妙化・複合化がますます進むと岡本氏は予測する。

　「一番怖いのがWebサイトの改ざんだ。正規サイトなので、不正コードが埋め込まれていてもユーザーは気付きにくく、URLフィルタリングでも防げない」（岡本氏）

　改ざんされたWebサイトでのマルウェア感染を防ぐ抜本的な対策は、現状では実現していないという。「最終的にボットネットを送り込むのが目的なので、マルウェアを仕掛けたWebに飛ぶようになる。このサイトがセキュリティベンダーの持つブラックリストに登録されていれば、被害を軽減できる可能性がある」としている。

日本だけでも1日450件

　同社は、日本国内に限定してウイルス発生などを監視する地域ラボを昨年5月に開設。同ラボは、不正プログラムのサンプル収集やパターンファイル作成、ユーザーサポート、ブログによる情報発信を担当。説明会ではThreat Monitoring Centerの平原伸昭氏が、国内の不正プログラムの状況を説明した。

平原伸昭氏

　サンプルの収集は、独自開発した検体種集システムを使って行われ、ユーザーから提供される場合もある。「2007年9〜11月だけを見ても1日当たり約450種もの不正プログラムが見つかった」と平原氏。ネットワーク上で流通している不正プログラムの42％をトロイの木馬型が占め、ワーム型が13％と続く。だが、新種に限定すればほとんどの不正プログラムがHTTP経由で感染するのを特徴にしているという。

　Winnyネットワークを対象にした調査では、新種ウイルスの数が少ないと判明したものの、実行ファイル形式の70％以上が既知の不正プログラムであったという。平原氏は、「Winnyは依然として情報漏えいのリスクが高い。さらに、愉快犯的なものから情報収集を狙った犯罪へシフトしつつある」と話した。