G Data
Software株式会社(本社:東京都千代田区、日本支社長:Jag
山本)は、セキュリティラボにおいて収集された2011年10月度のコンピュータ・マルウェア動向情報の分析を行いました。その結果、脆弱性チェックツール「エクスプロイトキット」の利用が目立ったことから、この機会に、パソコンにインストールしている各種ソフトのアップデートの確認と実行を推奨します。

2011年10月度に、上位を占めたマルウェア(=拡散の度合いが高かったマルウェア種)の目立った特徴は、二点ありました。

1)アドウェアの活発な活動
10月に出現したマルウェアの1位と5位に、アドウェアが含まれていました。昨年と比べると若干落ち着いてはいるものの、引き続き毎月上位に登場し続けており、予断を許しません。もちろんアドウェアはマルウェアではなく、潜在的に疑わしいプログラム(=PUP)なので、直接的な被害を与えるものではありませんが、場合によってはユーザーにとって不利益な事態を引き起こしかねませんので、継続して注意を怠らないようにしてください。

2)エクスプロイトキットによる攻撃
マルウェア攻撃を行う前に脆弱性をチェックして突破口を切り開くのに用いられるエクスプロイトを各種集めたキットのなかでも、かなりポピュラーな「フェニックス・エクスプロイトキット」に含まれているエクスプロイトのうち、Trojan.Exploit.ANSHが7位に入りました。また、トップ10には入っていませんが、10位台にも別のエクスプロイトがランクインしていました。まずエクスプロイトキットを仕掛けて、それから使えるマルウェアを侵入させるという手口が増えており、特に、国内の大企業や官公庁などに対する標的型攻撃においても使用されていることから、特に今回は、このエクスプロイトキットに焦点をあてて、注意を促します。以下、Q&Aで解説をいたします。

≪エクスプロイトキットFAQ≫

Q1 エクスプロイトキットとは何ですか?
A1 エクスプロイトは、パソコンの脆弱性をチェックし攻撃を行うプログラムまたはスクリプトのことです。エクスプロイトキットは、このエクスプロイトを複数集めてパックにしたものです。サイバー攻撃を行う者たちは、本格的な侵入を助ける偵察部隊のようにこれを使用し、突破口がないかどうかを探します。そしてもし脆弱性が見つかると、そこから最適なマルウェアを仕掛けます。このキットは裏市場で販売もしくはレンタルされています。現在の購入価格の相場は300~400
USドルくらいです。

Q2 エクスプロイトキットは、どのように使われますか?
A2 入手したサイバー攻撃者は、まずこのキットをウェブサーバー上にインストールします。もちろんこのサーバーは、グレイゾーンにある行為が可能なホスティングサービスがよく用いられます。その後、攻撃者は、できるだけ多くのユーザーをこのサーバーに誘導する必要があります。典型的なやり方は、偽装サイトへのURLを記載したメールを送るか、FacebookやTwitterなどに短縮URLを含めたメッセージをばらまくか、さらには、SEO対策を行い検索エンジンの上位に表示させることもあります。また、かつて「ガンブラー」攻撃として有名になったように、正規サイトのiFrameに不正コードを挟み込んで攻撃者が用意したサーバーにリダイレクトさせるというやり方もしばしば用いられています。何も知らずにそのサイトを訪問しているユーザーが、仕組まれたウェブサーバーにアクセスすると、このエクスプロイトキットが訪問者のコンピューター上にある脆弱性を探しはじmめます。脆弱性が一つでもあれば、攻撃が開始され、マルウェア(トロイの木馬、ワーム、ウイルス、フェイクAV(=偽装ウイルス対策ソフト)など)がコンピュ・u梹」拭爾縫瀬Ε鵐蹇璽匹気譴泙后・海譴蕕琉賚△領・譴蓮△垢戮謄皀縫拭爾気譴討、蝓・況蘯圓呂修譴鬟┘・好廛蹈ぅ肇⑤奪箸隆浜・萍未埜・襪海箸・任④泙后・・w)w)儚 エクスプロイトキットを使う攻撃者の目的は、何でしょうか?
A3
第一の目的は、明らかに、金銭です。そして、より多くの金を得るために個人情報や機密情報を盗むというのが、第二の目的です。最近の典型的なパターンとしては、フェイクAV(=偽装ウイルス対策ソフト)を使用するものがあります。これは、ただ画面上であたかもパソコンのハードディスクをスキャンして、その結果、ウイルスが検出され、そのウイルスを駆除するために製品版を買わせて利益を得るというものです。もちろん実際にはスキャンはされておらず、スキャンをしているかのような動画が再生されているだけです。また、購入してダウンロードしたプログラムもウイルス対策機能をもっておらず、むしろ脆弱性が調べられ、抜け道を見つけたならば新たにマルウェアを侵入させます。たとえばキーロガーに感染させれば、ネットバンキングのIDとパスワードを入手できるようになり、それを売ることができます。このように、エクスプロイトキットを使用すれば、さまざまな収入源となるのです。

Q4 エクスプロイトキットには、種類がありますか?
A4 あります。有名なもので、ブリーディングライフ(BleedingLife)、エレノア(Eleonore)、ネオスプロイト(Neosploit)、ラッキースプロイト(LuckySploit)、そして今回話題にしたフェニックスなどがあります。なお、フェニックス・エクスプロイトキットは、最新はバージョン2.7ですが、まだあまり使用されていません。バージョン2.5のソースコードが2011年初頭に開示されており、脆弱性をチェックする側はこのバージョンを利用しています。2.7に含まれているエクスプロイトは、大部分が古いもので、CVE-20xx番台からあります。きちんとチェックしたわけではありませんが、95パーセントくらいはすでに脆弱性が解消していると思われます。ですが実際には、なかにはアップデートをしていない人もいるために、これらの古いエクスプロイトも有用な場合があります。

≪2011年10月度マルウェア活動上位10種≫

順位 マルウェア名     比率   傾向
1 Generic.Adware.Adseo.7722145B 2.11% 同(9月1位)
2 Trojan.Wimad.Gen.1 0.88% やや上昇(9月4位)
3 Trojan.AutorunINF.Gen 0.80% やや下降(9月2位)
4 Worm.Autorun.VHG 0.79%  やや下降(9月3位)
5 Generic.Adware.Adseo.38E3FFEE 0.76% やや上昇(9月6位)
6 Trojan.Iframe.SC 0.68% 新
7 Trojan.Exploit.ANSH 0.54% 新
8 Java.Exploit.CVE-2010-0840.E 0.52% 新
9 Exploit.CplLnk.Gen 0.51% 下降(9月5位)
10
Java.Trojan.Downloader.OpenConnection.AI 0.46% 同(9月10位)

注:「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降

≪上位10種のマルウェアについて≫

1 Generic.Adware.Adseo.7722145B 
名称が示すとおり、ある特定のマルウェア・プログラムの検出ではなく、マルウェアの挙動やコードの分析から検出されたもので、通称「ジェネリック検知」と呼んでいます。複数のマルウェア・プログラムを含む場合があります。アドウェアは、PUP(潜在的に望まれていないプログラム)です。フリーウェアの様々なタイプをインストールする場合は、アドオンソフトウェアは、しばしば同様に、実際に必要なソフトウェアとしてインストールされます。「インストールしない」という選択肢をユーザーが見逃すのも、しばしばです。これは通常、ソフトウェアは、プロバイダー以外のところからダウンロードされるときに、発生します。

2 Trojan.Wimad.Gen.1 
トロイの木馬型マルウェアです。普通の音声ファイル(.wma形式)に見せかけ、特殊なコーデックがなければ聞くことができないとそそのかして、ウィンドウズのシステムにインストールさせます。実行してしまうと、攻撃者は数々のマルウェアを送り込みます。ファイル共有などのP2Pネットワークに数多く潜んでいます。

3 Trojan.AutorunINF.Gen
トロイの木馬型で、ウィンドウズOSの自動実行機能(autorun.inf)を使い、USBメモリや小型ハードディスクドライブ、CDやDVDなどを介して侵入します。これもジェネリック検知で、既知のものと未知のもの両方の自動実行機能ファイルにかかわります。

4 Worm.Autorun.VHG 
ワーム型で、ウィンドウズOSの自動実行機能(autorun.inf)を使って拡散します。USBメモリや小型ハードディスクドライブなどを介して感染します。「CVE-2008-4250」という脆弱性を悪用しています。

5 Generic.Adware.Adseo.38E3FFEE
名称が示すとおり、ある特定のマルウェア・プログラムの検出ではなく、マルウェアの挙動やコードの分析から検出されたもので、通称「ジェネリック検知」と呼んでいます。複数のマルウェア・プログラムを含む場合があります。アドウェアは、PUP(潜在的に望まれていないプログラム)です。フリーウェアの様々なタイプをインストールする場合は、アドオンソフトウェアは、同様に、実際に必要なソフトウェアとしてインストールされます。「インストールしない」という選択肢をユーザーが見逃すのも、しばしばです。これは通常、ソフトウェアは、プロバイダー以外のところからダウンロードされるときに、発生します。

6 Trojan.Iframe.SC 
このマルウェアは、いわゆる「アダルトコンテンツ」サイトにリダイレクトするものです。そのサイトには、2つの不可視のiframeが埋め込まれており、別のドメインから最初に訪問したサイトへと次々とマルウェアを送り込みます。こうすることによりマルウェアのソースを隠すことができ、かつ、感染させるサイトを変更することなく、潜ませるマルウェアの交換や更新が簡単にできるわけです。

7 Trojan.Exploit.ANSH 
このトロイの木馬は、ウェブサイトに埋め込まれているJavaアプレットを巧みに操るものです。アプレットがダウンロードされると、URLはアプレット・パラメーターから生成されます。ダウンローダーはこれを使って、ユーザーのコンピューター上に悪意ある実行ファイルをダウンロードし、かつそれを実行します。これらのファイルは、さまざまなタイプの悪意あるソフトウェアになりえます。ダウンローダーは、CVE-2010-0840脆弱性を攻撃し、Javaのサンドボックスを回避してパソコンにデータを書き込みます。

8 Java.Exploit.CVE-2010-0840.E 
このJavaベースのマルウェア・プログラムも、CVE-2010-0840脆弱性を利用しようとするダウンロード・アプレットであり、サンドボックスの保護機構の裏をかき、かつコンピューター上に新たにマルウェアを追加ダウンロードします。そして、アプレットが一度サンドボックスをだましてしまえば、dllファイルのダウンロードが可能になります。このファイルは直ちには実行されませんが、Microsoft
Register Server
(regsvr32)のヘルプを伴うサービスとして登録され、後にシステムが立ち上がる際に自動的に開始されます。

9 Exploit.CplLnk.Gen 
このエクスプロイトは、ウィンドウズのショートカットのプロセスにおいて.lnkや.pifファイルが不完全であることが確認された際に実行されます。2010年半ば以降、CVE-2010-2568(Stuxnetも利用した脆弱性)して知られているものです。ショートカットリンクを正しく処理しないことで任意のコードの実行を許し、偽装ショートカットファイル(.lnk)をウィンドウズのエクスプローラーでアイコン表示することにより、攻撃者のコードが実行されます。このコードは、ローカルのファイルシステム(たとえば、リムーバブル記憶装置から)から、あるいは、インターネット上のWebDAVシェアによってロードされます。

10 Java.Trojan.Downloader.OpenConnection.AI 
ウェブサイトに仕掛けられたトロイの木馬型のマルウェアであり、その性質から「ダウンローダー」と呼ばれています。Javaアプレットがブラウザにダウンロードされる際に、アプレットのパラメーターからURLを生成し、このURLを使って不正実行ファイルをユーザーのコンピューターにアップロードし、プログラムを走らせます。「CVE-2010-0840」という脆弱性が利用され、Javaのサンドボックスから抜け出し、パソコンを乗っ取ります。

ジーデータソフトウェアとは
G Data
Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。
EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G
Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。2011年にはアンドロイド端末向けのセキュリティアプリも発売しました。

*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。

【本リリースに関する問合せ先】 
G Data Software株式会社 
101-0042
東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人 
E-mail: gdata_japan_info@gdatasoftware.com 
URL: http://www.gdata.co.jp/


個人情報が漏れたと思ったらNOCOPY.JP