2011/11/09 15:35
情報・通信
G Data Software株式会社(本社:東京都千代田区、日本支社長:Jag 山本)は、セキュリティラボにおいて収集された2011年10月 度のコンピュータ・マルウェア動向情報の分析を行いました。その結果、脆弱性チェックツール「エクスプロイトキット」の利用が目立ったことから、この機会に、パソコンにインストールしている各種ソフトのアップデートの確認と実行を推奨します。
2011年10月 度に、上位を占めたマルウェア(=拡散の度合いが高かったマルウェア種)の目立った特徴は、二点ありました。
1)アドウェアの活発な活動
10月に出現したマルウェアの1位と5位に、アドウェアが含まれていました。昨年と比べると若干落ち着いてはいるものの、引き続き毎月上位に登場し続けており、予断を許しません。もちろんアドウェアはマルウェアではなく、潜在的に疑わしいプログラム(=PUP)なので、直接的な被害を与えるものではありませんが、場合によってはユーザーにとって不利益な事態を引き起こしかねませんので、継続して注意を怠らないようにしてください。
2)エクスプロイトキットによる攻撃
マルウェア攻撃を行う前に脆弱性をチェックして突破口を切り開くのに用いられるエクスプロイトを各種集めたキットのなかでも、かなりポピュラーな「フェニックス・エクスプロイトキット」に含まれているエクスプロイトのうち、Trojan.Exploit.ANSHが7位に入りました。また、トップ10には入っていませんが、10位台にも別のエクスプロイトがランクインしていました。まずエクスプロイトキットを仕掛けて、それから使えるマルウェアを侵入させるという手口が増えており、特に、国内の大企業や官公庁などに対する標的型攻撃においても使用されていることから、特に今回は、このエクスプロイトキットに焦点をあてて、注意を促します。以下、Q&Aで解説をいたします。
≪エクスプロイトキットFAQ≫
Q1 エクスプロイトキットとは何ですか?
A1 エクスプロイトは、パソコンの脆弱性をチェックし攻撃を行うプログラムまたはスクリプトのことです。エクスプロイトキットは、このエクスプロイトを複数集めてパックにしたものです。サイバー攻撃を行う者たちは、本格的な侵入を助ける偵察部隊のようにこれを使用し、突破口がないかどうかを探します。そしてもし脆弱性が見つかると、そこから最適なマルウェアを仕掛けます。このキットは裏市場で販売もしくはレンタルされています。現在の購入価格の相場は300~400 USドルくらいです。
Q2 エクスプロイトキットは、どのように使われますか?
A2 入手したサイバー攻撃者は、まずこのキットをウェブサーバー上にインストールします。もちろんこのサーバーは、グレイゾーンにある行為が可能なホスティングサービスがよく用いられます。その後、攻撃者は、できるだけ多くのユーザーをこのサーバーに誘導する必要があります。典型的なやり方は、偽装サイトへのURLを記載したメールを送るか、FacebookやTwitterなどに短縮URLを含めたメッセージをばらまくか、さらには、SEO対策を行い検索エンジンの上位に表示させることもあります。また、かつて「ガンブラー」攻撃として有名になったように、正規サイトのiFrameに不正コードを挟み込んで攻撃者が用意したサーバーにリダイレクトさせるというやり方もしばしば用いられています。何も知らずにそのサイトを訪問しているユーザーが、仕組まれたウェブサーバーにアクセスすると、このエクスプロイトキットが訪問者のコンピューター上にある脆弱性を探しはじmめます。脆弱性が一つでもあれば、攻撃が開始され、マルウェア(トロイの木馬、ワーム、ウイルス、フェイクAV(=偽装ウイルス対策ソフト)など)がコンピューターにダウンロードされます。これらの一連の流れは、すべてモニターされており、攻撃者はそれをエクスプロイトキットの管理画面で見ることができます。
Q3 エクスプロイトキットを使う攻撃者の目的は、何でしょうか?
A3 第一の目的は、明らかに、金銭です。そして、より多くの金を得るために個人情報や機密情報を盗むというのが、第二の目的です。最近の典型的なパターンとしては、フェイクAV(=偽装ウイルス対策ソフト)を使用するものがあります。これは、ただ画面上であたかもパソコンのハードディスクをスキャンして、その結果、ウイルスが検出され、そのウイルスを駆除するために製品版を買わせて利益を得るというものです。もちろん実際にはスキャンはされておらず、スキャンをしているかのような動画が再生されているだけです。また、購入してダウンロードしたプログラムもウイルス対策機能をもっておらず、むしろ脆弱性が調べられ、抜け道を見つけたならば新たにマルウェアを侵入させます。たとえばキーロガーに感染させれば、ネットバンキングのIDとパスワードを入手できるようになり、それを売ることができます。このように、エクスプロイトキットを使用すれば、さまざまな収入源となるのです。
Q4 エクスプロイトキットには、種類がありますか?
A4 あります。有名なもので、ブリーディングライフ(BleedingLife)、エレノア(Eleonore)、ネオスプロイト(Neosploit)、ラッキースプロイト(LuckySploit)、そして今回話題にしたフェニックスなどがあります。なお、フェニックス・エクスプロイトキットは、最新はバージョン2.7ですが、まだあまり使用されていません。バージョン2.5のソースコードが2011年初頭に開示されており、脆弱性をチェックする側はこのバージョンを利用しています。2.7に含まれているエクスプロイトは、大部分が古いもので、CVE-20xx番台からあります。きちんとチェックしたわけではありませんが、95パーセントくらいはすでに脆弱性が解消していると思われます。ですが実際には、なかにはアップデートをしていない人もいるために、これらの古いエクスプロイトも有用な場合があります。
≪2011年10月 度マルウェア活動上位10種≫
順位 マルウェア名 比率 傾向
1 Generic.Adware.Adseo.7722145B 2.11% 同(9月1位)
2 Trojan.Wimad.Gen.1 0.88% やや上昇(9月4位)
3 Trojan.AutorunINF.Gen 0.80% やや下降(9月2位)
4 Worm.Autorun.VHG 0.79% やや下降(9月3位)
5 Generic.Adware.Adseo.38E3FFEE 0.76% やや上昇(9月6位)
6 Trojan.Iframe.SC 0.68% 新
7 Trojan.Exploit.ANSH 0.54% 新
8 Java.Exploit.CVE-2010-0840.E 0.52% 新
9 Exploit.CplLnk.Gen 0.51% 下降(9月5位)
10 Java.Trojan.Downloader.OpenConnection.AI 0.46% 同(9月10位)
注:「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降
*上位10種のマルウェアについての詳しい情報は、弊社ホームページをご覧ください。
http://www.gdata.co.jp/press/
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。2011年にはアンドロイド端末向けのセキュリティアプリも発売しました。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人
E-mail:
URL: http://www.gdata.co.jp/
2011年10月 度に、上位を占めたマルウェア(=拡散の度合いが高かったマルウェア種)の目立った特徴は、二点ありました。
1)アドウェアの活発な活動
10月に出現したマルウェアの1位と5位に、アドウェアが含まれていました。昨年と比べると若干落ち着いてはいるものの、引き続き毎月上位に登場し続けており、予断を許しません。もちろんアドウェアはマルウェアではなく、潜在的に疑わしいプログラム(=PUP)なので、直接的な被害を与えるものではありませんが、場合によってはユーザーにとって不利益な事態を引き起こしかねませんので、継続して注意を怠らないようにしてください。
2)エクスプロイトキットによる攻撃
マルウェア攻撃を行う前に脆弱性をチェックして突破口を切り開くのに用いられるエクスプロイトを各種集めたキットのなかでも、かなりポピュラーな「フェニックス・エクスプロイトキット」に含まれているエクスプロイトのうち、Trojan.Exploit.ANSHが7位に入りました。また、トップ10には入っていませんが、10位台にも別のエクスプロイトがランクインしていました。まずエクスプロイトキットを仕掛けて、それから使えるマルウェアを侵入させるという手口が増えており、特に、国内の大企業や官公庁などに対する標的型攻撃においても使用されていることから、特に今回は、このエクスプロイトキットに焦点をあてて、注意を促します。以下、Q&Aで解説をいたします。
≪エクスプロイトキットFAQ≫
Q1 エクスプロイトキットとは何ですか?
A1 エクスプロイトは、パソコンの脆弱性をチェックし攻撃を行うプログラムまたはスクリプトのことです。エクスプロイトキットは、このエクスプロイトを複数集めてパックにしたものです。サイバー攻撃を行う者たちは、本格的な侵入を助ける偵察部隊のようにこれを使用し、突破口がないかどうかを探します。そしてもし脆弱性が見つかると、そこから最適なマルウェアを仕掛けます。このキットは裏市場で販売もしくはレンタルされています。現在の購入価格の相場は300~400 USドルくらいです。
Q2 エクスプロイトキットは、どのように使われますか?
A2 入手したサイバー攻撃者は、まずこのキットをウェブサーバー上にインストールします。もちろんこのサーバーは、グレイゾーンにある行為が可能なホスティングサービスがよく用いられます。その後、攻撃者は、できるだけ多くのユーザーをこのサーバーに誘導する必要があります。典型的なやり方は、偽装サイトへのURLを記載したメールを送るか、FacebookやTwitterなどに短縮URLを含めたメッセージをばらまくか、さらには、SEO対策を行い検索エンジンの上位に表示させることもあります。また、かつて「ガンブラー」攻撃として有名になったように、正規サイトのiFrameに不正コードを挟み込んで攻撃者が用意したサーバーにリダイレクトさせるというやり方もしばしば用いられています。何も知らずにそのサイトを訪問しているユーザーが、仕組まれたウェブサーバーにアクセスすると、このエクスプロイトキットが訪問者のコンピューター上にある脆弱性を探しはじmめます。脆弱性が一つでもあれば、攻撃が開始され、マルウェア(トロイの木馬、ワーム、ウイルス、フェイクAV(=偽装ウイルス対策ソフト)など)がコンピューターにダウンロードされます。これらの一連の流れは、すべてモニターされており、攻撃者はそれをエクスプロイトキットの管理画面で見ることができます。
Q3 エクスプロイトキットを使う攻撃者の目的は、何でしょうか?
A3 第一の目的は、明らかに、金銭です。そして、より多くの金を得るために個人情報や機密情報を盗むというのが、第二の目的です。最近の典型的なパターンとしては、フェイクAV(=偽装ウイルス対策ソフト)を使用するものがあります。これは、ただ画面上であたかもパソコンのハードディスクをスキャンして、その結果、ウイルスが検出され、そのウイルスを駆除するために製品版を買わせて利益を得るというものです。もちろん実際にはスキャンはされておらず、スキャンをしているかのような動画が再生されているだけです。また、購入してダウンロードしたプログラムもウイルス対策機能をもっておらず、むしろ脆弱性が調べられ、抜け道を見つけたならば新たにマルウェアを侵入させます。たとえばキーロガーに感染させれば、ネットバンキングのIDとパスワードを入手できるようになり、それを売ることができます。このように、エクスプロイトキットを使用すれば、さまざまな収入源となるのです。
Q4 エクスプロイトキットには、種類がありますか?
A4 あります。有名なもので、ブリーディングライフ(BleedingLife)、エレノア(Eleonore)、ネオスプロイト(Neosploit)、ラッキースプロイト(LuckySploit)、そして今回話題にしたフェニックスなどがあります。なお、フェニックス・エクスプロイトキットは、最新はバージョン2.7ですが、まだあまり使用されていません。バージョン2.5のソースコードが2011年初頭に開示されており、脆弱性をチェックする側はこのバージョンを利用しています。2.7に含まれているエクスプロイトは、大部分が古いもので、CVE-20xx番台からあります。きちんとチェックしたわけではありませんが、95パーセントくらいはすでに脆弱性が解消していると思われます。ですが実際には、なかにはアップデートをしていない人もいるために、これらの古いエクスプロイトも有用な場合があります。
≪2011年10月 度マルウェア活動上位10種≫
順位 マルウェア名 比率 傾向
1 Generic.Adware.Adseo.7722145B 2.11% 同(9月1位)
2 Trojan.Wimad.Gen.1 0.88% やや上昇(9月4位)
3 Trojan.AutorunINF.Gen 0.80% やや下降(9月2位)
4 Worm.Autorun.VHG 0.79% やや下降(9月3位)
5 Generic.Adware.Adseo.38E3FFEE 0.76% やや上昇(9月6位)
6 Trojan.Iframe.SC 0.68% 新
7 Trojan.Exploit.ANSH 0.54% 新
8 Java.Exploit.CVE-2010-0840.E 0.52% 新
9 Exploit.CplLnk.Gen 0.51% 下降(9月5位)
10 Java.Trojan.Downloader.OpenConnection.AI 0.46% 同(9月10位)
注:「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降
*上位10種のマルウェアについての詳しい情報は、弊社ホームページをご覧ください。
http://www.gdata.co.jp/press/
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。2011年にはアンドロイド端末向けのセキュリティアプリも発売しました。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人
E-mail:
URL: http://www.gdata.co.jp/
