2006年前半の最大のセキュリティ脅威は?

Microsoftが集めたデータでは、2006年前半はrootkitの感染が減少し、ボットとバックドア型トロイの木馬が重大な脅威になっていることが示された。

» 2006年10月25日 17時01分 公開
[Ryan Naraine,eWEEK]
eWEEK

 米Microsoftのマルウェア対策エンジニアリングチームの最新の統計で、Windowsユーザーにとってバックドア型トロイの木馬とボットが「重大な」脅威であるという懸念が確認された(関連記事参照)

 しかし、同社のセキュリティツールが収集したデータによると、rootkitの感染は減少しているという。おそらくは、rootkit対策機能がセキュリティアプリケーションに追加されたためであろう。

 この最新のマルウェア感染データは、仏ニースで開催のRSA Europeカンファレンスで公開された。調査期間は2006年前半。Microsoftはこの期間に、営利目的のボットネットで数百万台のハイジャックされたWindowsマシンを操るボットとバックドア型トロイの木馬の新たな亜種を4万3000以上発見した。

 同社のMSRT(不正ソフト削除ツール)がクリーンアップした400万台のコンピュータのうち、約50%(200万台)は少なくとも1種のバックドア型トロイの木馬を含んでいた。高い割合だが、2005年後半と比べると減少していると同社は指摘する。昨年後半のデータでは、68%がバックドア型トロイの木馬を含んでいた。

 2005年はWindowsを狙うrootkitに対する業界の注目が高まったものの、ステルス的な手法を使って感染マシン上で検出を免れ続けるこの種の攻撃が50%も減少したことをMicrosoftは発見した。「これは注目に値する潜在的なトレンドだ」と同社の報告書には記されている。

 Microsoftは、rootkit対策ツールの増加が、大規模なrootkit攻撃の数を減らし、攻撃者をより特殊なステルス攻撃技法へと向かわせるのに一役買ったと考えている。「これらの技法はコンセプト実証の域を超えないかもしれないが、価値の高い標的を狙い撃ちにした攻撃の一部として出現することは確かだろう」と同社は報告書で警鐘を鳴らしている。

 さほど意外でもないのが、ソーシャルエンジニアリング、特に電子メールやP2Pネットワークを介して標的を引きつける手法を利用するマルウェアに関するデータだ。「例えば、MSRTとMicrosoft Windows OneCareの両方において、クリーンアップされたコンピュータの約20%が大量メール型ワームに感染していたとMicrosoftは説明する。毎月、月例パッチの日にアップデートされるMSRTでは、この割合が昨年後半よりもわずかに増えた。

 MSRTが収集したデータは、特定の言語を使うコンピュータはほかと比べて不正なソフトに感染する可能性が高いと示唆している。例えば、ある言語のOSのデータを、同じ言語のツールが実行された回数で正規化すると、MSRTがクリーンアップしたコンピュータの16%がトルコ語のものであることが分かった。

 これらデータの大半は、1400万人を超えるアクティブユーザーを有するスパイウェア対策アプリケーション「Windows Defender」から収集された。2005年1月にリリースされたMSRTの導入基盤は2億9000万台を超える。Microsoftは、2006年前半にこのツールは16億回実行され、リリース以来の実行回数は合計で36億回に達したとしている。

 同社はまた、無料のWebベースのセキュリティスキャナ「Windows Live OneCare」のデータも収集した。このツールは8月の立ち上げ以来、約700万回スキャンを実行した。この間、このツールは約300万回マルウェアあるいはスパイウェアを検出し、57万5000台以上の感染コンピュータをクリーンアップした。

 Microsoftの報告書のハイライトを以下に幾つか挙げる。

バックドア型トロイの木馬

 2006年前半には新たなバックドア型トロイの木馬が多数出現した。大半はWin32/RbotやWin32/Sdbotなどのボットファミリーに属するものだ。この傾向は、事例による業界の知見と一致する。ボットネットワークのオーナーは自分のネットワークを維持するため、そしてマルウェア対策製品による検出を避けるために絶えず新しいボットの亜種を作り出し、ばらまいている。

パスワードスティーラーとキーロガー

 これらは亜種の数という点で、2番目に大きなマルウェアのカテゴリーだ。この種のマルウェアは世界中に存在しているが、Microsoftのマルウェア対策チームが見たところではブラジルから出現した亜種が多い。2006年前半には、Win32/BankerおよびWin32/Bancosファミリーの新たな亜種が数千種発見された。これらは主にポルトガル語のユーザーインタフェースを使い、パスワードなどの銀行口座情報を盗むのに使われる。

ダウンローダとドロッパー

 3番目に大きなマルウェアのカテゴリーであり、システムの完全な乗っ取りに必要なファイルを標的のシステムにコピーするのに使われる。ダウンローダとドロッパーは、スパイウェアやアドウェアの配布に使われることも多い。このため、これらが不正な攻撃の一部であっても意外ではない。

ワーム

 各種のワームファミリーの亜種の数は比較的少なかったが、依然としてワームはまん延している。事実、大量メール送信型ワームは依然として世界中の多数のコンピュータを感染させる効果的な方法だ。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ