世界の最新事情ナナメ読み! セキュリティWatchers

    小松 優介
    Yusuke Komatsu
    トレンドマイクロ株式会社 Senior Threat Research Engineer
    2007年に設立されたThreat Monitoring Centerにて、国内の脅威動向の監視・調査業務に携わり、主にP2Pネットワーク上の不正プログラムの収集活動を行う。現在は、顧客向け脅威分析レポートの作成に携わる。
2009/05/12
2008年〜2009年のウイルス動向

 最近報告された不正プログラムは、その使用目的に基づいて大きく2種類に分類できる。1つ目はコンピュータ・ネットワークに侵入し、拡散することを主な目的とした「侵入/拡散フェーズ」に使用される不正プログラム、2つ目は実際の「攻撃フェーズ」に使用される不正プログラムだ。もちろんこれら2つのフェーズに1つの不正プログラムが使用されるケースは存在するが、以前と比較して多機能型不正プログラム(侵入、拡散、攻撃をすべて実施するもの)の割合は減少傾向にある。これはウイルス作者が、各ウイルス対策ベンダのパターンファイル(定義ファイル)のリリース周期の短縮化に対抗するため、不正プログラムのモジュール化(単機能化)、量産化を進めた結果ともいえる。その結果、パターンファイルのリリースと新しい不正プログラム出現のいたちごっことなり、従来のウイルス対策だけでは感染被害を食い止めることが難しい状況になってきているのだ。

 表1は、2008年1月〜12月と2009年1月〜3月に日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとに、不正プログラム感染被害報告数のランキングを示したものだ。2008年のランキングを見ると、USBメモリをはじめとする外部記憶媒体を悪用した Autorun.infファイルへの検出である「MAL_OTORUN」の被害報告数が2870件と、2位の「BKDR_AGENT」の報告数818件と比べ突出して目立った1年となっている。また、2位以下10位までは、一度コンピュータに侵入した不正プログラムが、不正Webサイトから他の不正プログラムをダウンロードし、連続的な攻撃を仕掛ける「Webからの脅威」に分類される不正プログラムの感染被害が占める結果となっている。この傾向は今年に入っても継続しているが、2009年に新たにランクインした不正プログラムもいくつかある (オレンジ色は2009年に新たにランクインした不正プログラム) 。

表1 不正プログラム感染被害報告数ランキング (2008年、2009年)
表1 不正プログラム感染被害報告数ランキング (2008年、2009年)
資料提供:トレンドマイクロ

 これら新たにランクインした不正プログラムの特徴は、侵入/拡散に注力した仕様になっていることだろう。不正プログラム作成者の目的は、換金できる情報をコンピュータ・ネットワークから取得することだ。この目的を達成するための攻撃を仕掛ける事前準備として、これら侵入/拡散に注力した不正プログラムを数多く流通させていると考えられる。

 侵入/拡散フェーズで使用される不正プログラムの典型として、「WORM_DOWNAD」(ダウンアド)ファミリおよび「WORM_AUTORUN」(オートラン)ファミリが存在する。

 「WORM_DOWNAD」ファミリは2008年末から感染被害報告が寄せられ始めた不正プログラムで、Windowsのセキュリティホール(Server サービスの脆弱性により、リモートでコードが実行される(MS08-067:CVE-2008-4250))を悪用したネットワーク感染と、その被害報告数の増加により注目されている。当初の「WORM_DOWNAD.A」に続いて、「WORM_DOWNAD.AD」、「WORM_DOWNAD.KK」等、次々に亜種が出現し、2009年4月現在でも猛威を振るっている。

 もう一方の「WORM_AUTORUN」(オートラン)ファミリは、2008年、2009年の感染被害報告数トップである「MAL_OTORUN」(不正なAutorun.infファイル)が実行する不正プログラムである。図1のウイルスパターンファイルへの亜種登録数の傾向を見ると、「WORM_AUTORUN」ファミリの登録数が一定の割合で増加していることがわかる。

図1 WORM_AUTORUNファミリのウイルスパターンファイル登録数傾向
図1 WORM_AUTORUNファミリのウイルスパターンファイル登録数傾向
資料提供:トレンドマイクロ

 新しい亜種が次々と出現しているということは、これに伴う感染被害数も増加していることを示している。USBメモリ内に自身のコピーとそれを実行するためのAutorun.infファイルを作成するという、いわば単純なワーム活動を行う不正プログラムの感染被害が増加傾向にあるのだ。ただし、USBワームの感染被害については、社内でのUSBメモリの使用ルールの厳格化で大幅に抑えることが可能である。

 これらの感染被害報告から言えることは、不正プログラムは一度企業内のネットワークに侵入しさえすれば、ネットワーク内での拡散が比較的容易だということである。今後は、「侵入/拡散フェーズ」の不正プログラムに加え、本格的な「攻撃フェーズ」の役割を司る不正プログラムの出現が、より加速することが予想される。今一度、不正プログラムの侵入・拡散を食い止め、攻撃に備えるために、以下の確認を実施することをお勧めしたい。

最新のセキュリティパッチ(更新プログラム)が適用されているか

アカウントと同一のものなど、容易に推測できる脆弱なパスワードが設定されていないか

自身が管理していない、利用が許可されていない外部記憶メディア(USBメモリなど)を利用していないか

セキュリティ対策ソフト、ウイルスパターンファイルは最新の状態に保たれているか

持ち出していたコンピュータをネットワークに接続する前に、ウイルスの感染有無を確認しているか

不正URLへのアクセスをコントロールする手段(Webレピュテーションサービス等)を持っているか

 次回からは「WORM_DOWNAD」(ダウンアド)ファミリおよび「WORM_AUTORUN」(オートラン)ファミリの特徴についてもう少し詳しく見ていきたい。


このページの先頭へ
セキュリティ情報局へ登録する

セキュリティ情報局へ登録するにはキーマンズネットへの会員登録が必要です。

会員登録(無料)・ログイン

Keyman's Voice

この記事に対する読者の評価を見ることができます。

セキュリティ情報局へ登録すると、掲載された記事に対するあなたの評価を反映することができます。

あなたの評価を反映することができます。該当する評価を指定し「決定」ボタンを押して下さい。
(※評価は5段階です。「強く同意する」場合は5を、「同意しない」場合は1をお選び下さい。)

この記事を読んだアナタにおすすめします。

セキュリティ情報局へ登録する

セキュリティ情報局へ登録するにはキーマンズネットへの会員登録が必要です。

会員登録(無料)・ログイン


このページの先頭へ

キーマンズネットとは

ページトップへ