あらゆる脅威がまん延した上半期のセキュリティ動向、シマンテックが総括：検知は1カ月に2億4500万件

シマンテックは2009年上半期のセキュリティ動向を総括し、Webを中心にあらゆる脅威がまん延していると紹介した。

[國谷武史，ITmedia]

浜田氏

　シマンテックは9月3日、2009年上半期のセキュリティ動向を総括した記者説明会を開き、Webを中心として攻撃手法などの状況を解説した。ユーザーの個人情報や金銭を狙う脅威がまん延しているという。

　セキュリティレスポンスシニアマネジャーの浜田譲治氏によると、2008年以降に同社のセキュリティ対策製品が検知する脅威の数は、1カ月当たり2億4500万件以上に達している。同氏は、「大半の脅威はウイルス定義ファイルでは検出できない未知のものであり、ヒューリスティック検知などの機能で防御しているのが実情」と説明した。

　特に1つのマルウェアを基に開発される亜種の数が膨大となり、主要なマルウェアファミリーだけでも数百種類に上る。1つのマルウェアファミリーから数千もの脅威が発生しており、攻撃者はこうした脅威を小規模ずつ特定のユーザーを標的にして、攻撃を仕掛けている。

　マルウェアが配布されるルートは、Webや電子メール、リームバブルメディア、企業などの共有ネットワークが中心だが、最終的にはWebに誘導して感染を狙うケースが目立つ。浜田氏は、「定義ファイルを回避する狙いで多数の亜種が開発され、ヒューリスティック検知やマルウェアの挙動解析、レピュテーション（評価）など予防措置的な対策の必要性が高まっている」と指摘している。

あの手この手の攻撃手法

　上半期に見つかった脅威は、世界的な経済危機や注目度の高いニュースに便乗するスパムメール、フィッシング詐欺、SNSなどを悪用する手口が目立った。経済危機に便乗するケースでは、失業者をマネーロンダリング（資金洗浄）といった犯罪に勧誘するものや、融資や仕事をあっせんするなどとうたって個人情報やクレジットカード情報などを盗み出すものが多いという。

　SNSを悪用する手口では、2008年から人気SNSサイトのFacebookを中心に被害が続いている「koobface」ワームや、twitterのつぶやきでマルウェア感染サイトに誘導するもの、人気SNSサイトを装うフィッシング詐欺が多数確認された。

　スパムメールはメール全体の75％程度を占める状態が続いており、上半期は人気歌手マイケル・ジャクソン氏の死や新型インフルエンザ、イタリア地震などに便乗したものが多数に上った。スパムの比率は下半期に80％程度に上昇すると同社では予測している。このほかにも、ウイルス対策ソフトを装った偽セキュリティ製品による詐欺攻撃も多数見つかった。

　こうした脅威の多くが金銭狙いであることから、攻撃も密かに行われることが多いとされる。しかし、上半期は2008年末から企業を中心に大規模な感染被害をもたらした「Conficker」ワームや、米国と韓国の政府系サイトを中心にDDoS（分散型サービス妨害）攻撃を仕掛けたトロイの木馬「Dozer」の活動も注目された。

　「愉快犯的なものか、政治的な狙いがあるのかは分からないが、大規模な被害発生を狙う旧来型攻撃にも注意すべきだろう」（浜田氏）

脅威はWebに集中

　攻撃者がマルウェア感染させるための手法は年々巧妙化しているが、近年は最終的にWebを悪用するものに結びつくことが多いと浜田氏は指摘する。

　ユーザーは、スパムやSNS、改ざんされた正規サイトなど通じて悪意のあるサイトに誘導される。こうしたサイトにアクセスした時点で、ブラウザ経由でマルウェアをインストールさせる「ドライブバイダウンロード」攻撃が仕掛けられ、ユーザーのマシンにマルウェアが入り込んでしまう。

　最近までのドライブバイダウンロードは、OSやWebブラウザの脆弱性を突くものが中心だったが、上半期はブラウザのプラグインを装うものが目立つという。Adobe PDFやFlash Playerを悪用するものが圧倒的に多く、QuickTimeやWindows Media Playerを悪用するものも多い。浜田氏は、「脆弱性を悪用しようとしても、最近はベンダーが迅速に対応しつつあることから、攻撃者はユーザーの警戒がすることの少ない動画ソフトを狙っている」と解説している。

　また浜田氏は、未知の脅威が激増している現状に対処するには専門家が結集する業界横断的なセキュリティ対策の仕組みが重要になると提起する。最近ではCofickerワーム騒動に関連して、同ワームがアクセスする外部サーバのURL情報をウイルス対策ベンダー各社で共有するなどの協力を図ったという。

企業向け情報サイト「ITmedia エンタープライズ」へ

過去のセキュリティニュース一覧はこちら