亜種が増加し続けるボット、機密情報を狙うトロイの木馬……シマンテックが公開した「インターネットセキュリティ脅威レポート」からは、最近の脅威の傾向が見て取れる。
シマンテックは3月29日、2004年下半期のセキュリティ動向をまとめた「インターネットセキュリティ脅威レポート」の内容を明らかにした。
このレポートは、同社のマネージドサービスの顧客のほか、世界中に配置された約2万個のセンサー、さまざまな電子メールを収集する約200万個のおとりアカウントやウイルス対策システムから得られる情報を元に、新たな脆弱性や攻撃コード、ウイルス/ワームなどの悪意あるプログラムの動向をまとめたものだ。
同社ではこのレポートを半年おきに公開しており、今回は2004年7月1日から12月31日までの動きをまとめた。米国では一足先に、3月22日に概要が公開されている(関連記事)。
前回のレポートでまとめられた2004年上半期に比べると、この半年の間に発見された脆弱性の数は13%増加して1403種類。しかもその大半は、リモートからの悪用が可能で深刻度が「中」以上に分類されるものだったという。
また、クロスサイトスクリプティングやSQLインジェクションといったWebアプリケーションの脆弱性も670件に増加し、脆弱性全体のうち48%を占めるにいたった。こうした脆弱性を悪用されれば「データベースを覗き見されて情報漏えいにつながったり、フィッシングに利用される恐れがある」(同社エグゼクティブシステムエンジニアの野々下幸治氏)。
脆弱性が発見されてから悪用コードが公開されるまでの期間は、上半期の5.8日に比べて約1日長くなり、平均6.4日となった。
しかし「これは、期間が1日延びて(対応までに)余裕ができたということではなく、一週間足らずのうちに悪用コードがリリースされてしまうということ。脆弱性の深刻度が高く、しかも悪用コードが出現するまでの期間が短いことを踏まえると、これまで以上にパッチ管理が重要になる」(野々下氏)という。
引き続き、ボットおよびボットネットワークへの注意も必要という。
ボットネットワークにつながるコンピュータの数は、2004年7月後半に記録された1日当たり約3万台から、12月末には1日平均5000台以下へと減少した。
この原因としては「Windows XP Service Pack 2のリリース以降、数の減少が見られた。SP2にかなりの効果があるのでは」(同氏)と分析。一方で、ボットの作者が自らの行動を隠し、検知されにくくしようとあえて数を減らした可能性もあるという。
ただ、ボットに感染したPCの絶対数は減少したが、新種/亜種は引き続き増加している。特に「SpyBot」に関しては、2004年下半期だけで180%増加し、約4300種類もの亜種が報告されたということだ。
「しかも、ボットプログラムの通信に、これまで利用してきたIRCだけでなく独自のP2Pネットワークを利用するなど、ボット自身がより巧妙なものになってきている」(野々下氏)。
もう1つ重要な傾向として挙げられたのは、ユーザーの秘密情報を盗み取ろうとするコードの増加だ。悪意あるコードトップ50のうち54%に、秘密情報を盗み取る機能が備わっていた。その有力な手段となるトロイの木馬の数も、確実に増加しているという。
野々下氏はその背後には、ウイルス/コード作者の変質があると指摘。ただシステムを使えなくするだけのかつての愉快犯から、明確に金銭を目的とするようになり、その手段としてボットやトロイの木馬が利用される傾向がますます強まっているという。
今後は、ボットネットおよびそれがばらまくスパムやフィッシングメールが引き続き問題となるほか、サーバではなくクライアントを直接狙った攻撃が増加すると予測する。それも、いわゆる「受動的攻撃」のようなテクニックを駆使する手法ではなく、「スパムメールを使ってユーザーを悪意あるWebサイトにおびき寄せるような手法が増加するだろう」(野々下氏)。
また、Mac OSのように、これまで比較的安全とされてきたOSについても危険性は存在すると指摘した。Webブラウザの世界でも同じことが起きている。シェアの拡大に伴い、FirefoxなどInternet Explorer以外のブラウザにも、深刻度「高」のものを含む脆弱性が指摘されるようになった。
「ユーザーの利用度が上がってくれば狙われる。利用する人口が増えれば、攻撃者側もあら捜しをして脆弱性を発見するようになる」(野々下氏)。
Copyright © ITmedia, Inc. All Rights Reserved.