SSLの中身やFTPに注目を、次世代ファイアウォールが捉えた脅威（2/2 ページ）

[國谷武史，ITmedia]

　次に「未知のマルウェア（ウイルス対策ソフトの定義ファイルに無い不正プログラム）」の傾向について、同社では仮想コンピュータ（サンドボックス）を使った解析を行うクラウドサービス「WildFire」を利用した1000社以上の企業での状況を取りまとめた（集計期間は2012年11月から2013年1月）。

　それによると、集計期間中に発見されたマルウェア検体は6万8047体で、未知のマルウェアは2万6363体あった。マルウェア全体ではWebブラウジング経由で侵入するタイプが66％を占め、SMTP経由は25％だった。Webブラウジング経由で侵入するマルウェアの90％は未知のマルウェアだったが、SMTP経由はわずか2％だった。

侵入経路と未知のマルウェアの検出状況　出典：パロアルトネットワークス

　未知のマルウェアが定義ファイルで検出できるようになるまでの平均日数は、Webブラウジング経由やWebアプリケーション経由、ファイル共有経由では約20日だが、メールは約5日と、4倍の開きが生じた。

　特に前項のレポートで日本での利用が多いとされたFTPは、約30日を要していた。標準ポートを使わないアプリケーションの中でも、FTPは97％と比較的高い傾向にある。同社マーケティング部長の菅原継顕氏は、FTPの利用を注意深く監視するべきとアドバイスしている。

　また、マルウェアがどのように検知システムを逃れるのかをみると、57％はコンピュータへの侵入後に長期間潜伏する（実行されない）ものであり、20％は自身を消去するもの、13％がコードを埋め込むものだった。マルウェアによる悪意のある行動は、Internet Explorerに保存されたパスワードを盗むものが24％、“攻撃者にとって魅力的”なファイルへのアクセスが23％と多数を占めた。

　こうした状況から菅原氏は、未知のマルウェアの傾向について、（1）典型ではない脅威が最も危険、（2）メールでは早期に検知されやすい――とし、特に長期間にわたって定義ファイルでは検知されないことの多いアプリケーションに注意を払う必要があると解説する。