2011年4月7日
株式会社Kaspersky Labs Japanより、 2011 年 3 月のウイルス状況のマンスリーレポートが発表されました。

<数字で見る3月>

3 月にカスペルスキー製品ユーザーの PC 上で検知され収集されたデータは
以下のとおりです。

* ネットワーク攻撃が阻止された回数:241,151,171
* Web サイト経由での感染の試行回数:85,853,567
* ユーザーの PC 上で検知・駆除されたマルウェア数:219,843,736
* ヒューリスティック検知数:96,702,092

<不幸を利用してひと稼ぎ>

以前にもご紹介した通り、サイバー犯罪者が不幸を悪用することが
今回の日本の大震災とエリザベス・テイラーの死去でも証明されました。

日本で起こった大震災では何千人もの人が家屋も愛しい人も失い、
福島第一原発の状況に世界中が戦慄しました。この間に詐欺師および
マルウェア作者は、マルウェアが配置された Web サイトへのリンクを
拡散させました。日本の大震災に関連する「最新のニュース」が
掲載されているかのような Web サイトを作成したり、被災者を
援助するために資金援助を求める「ナイジェリアの手紙」形式のメールを
送付したりしました。

あるスパムでは、日本からの最新のニュースへのリンクに見せかけて、
クリックすると圧縮されたエクスプロイトが起動する
ドライブバイダウンロード攻撃を受けるようなリンクが含まれており、
攻撃が成功するとユーザーの PC には Trojan-Downloader.Win32.CodecPack
がダウンロードされる仕組みになっていました。このファミリーに属する
亜種はいずれも 3 つのコマンドセンターに直結しており、
まずコマンドセンターにデータが送信されたのちコマンドセンターから
悪意あるファイルのリストを受け取り、それらのファイルが
ダウンロードされて感染した PC 上で起動します。ある Web サイトでは、
日本の大震災のビデオクリップをダウンロードするリンクがありましたが、
実際にリンクをクリックしてダウンロードされたのは震災の
ビデオクリップの代わりにバックドアでした。

最も対応の早いサイバー犯罪者は Twitter を活用しているようで、
エリザベス・テイラーの死去を悪用するリンクが出回ったのは、死去の
ニュースが発表されたその日でした。

<エクスプロイト>

エクスプロイトは依然としてサイバー犯罪者が好んで使用する
ツールであるため、IT セキュリティ企業は今後もユーザーに
ソフトウェアの定期的な更新を呼びかける必要があります。


<Java エクスプロイト>

Java エクスプロイトがエクスプロイト全体に占める割合は約 14% で、
重要な位置を占めていると言えます。今回のインターネット上で
検知されたマルウェアランキングにも、Java エクスプロイトが 3 つ
ランクインしています。そのうち 15 位の Exploit.Java.CVE-2010-0840.d と
19 位の Exploit.Java.CVE-2010-0840.c はJavaの脆弱性である
CVE-2010-0840 を悪用する新しいエクスプロイトです。この脆弱性を
悪用する初めての事例は、2 月に検知されました。

Kaspersky Security Network (KSN) の統計によると、マルウェアの
作者たちはセキュリティ製品による検知を回避するために、
ドライブバイダウンロードで使用されるエクスプロイトを
積極的に改良しています。この傾向は、Exploit.Java.CVE-2010-0840
ファミリーの検知数を示した以下のグラフからも顕著です。

■Exploit.Java.CVE-2010-0840 ファミリーの検知数
http://www.kaspersky.co.jp/images/ill/top20_march2011_pic01s_all.png

グラフの山は、このファミリーのエクスプロイトが
ドライブバイダウンロードで検知された期間と一致しており、一方で
グラフの谷は、古いバージョンのエクスプロイトが新しいバージョンに
更新されているタイミングを示しています。

<エクスプトイトと Adobe Flash Player の脆弱性>

マルウェア作者は新たな脆弱性に対して即座に反応します。好例としては、
3 月 14 日にリリースされた Adobe Flash Player の脆弱性が挙げられます。
この脆弱性は「authplay.dll」に発見されたもので、サイバー犯罪者が
ユーザーの PC を管理下に置くことも可能であったため、
「クリティカル」に分類されました。

Kaspersky Lab は 3 月 15 日にこの脆弱性を悪用するエクスプロイトを
検知しました。エクスプロイトは悪意ある SWF ファイルを含む
エクセルファイルで、カスペルスキー製品で
Trojan-Dropper.SWF.CVE-2011-0609.a の名前で検知されています。

3 月 25 日にはこのエクスプロイトの亜種がもう 1 つ検知されています。
この亜種は JavaScript のシェルコードを含み、悪意のある
flash ファイルをロードします。悪意ある SWF ファイルは
セキュリティホールを利用して、シェルコードが PC を管理下におくことを
可能にします。悪意ある HTML および SWF ファイルは
それぞれ Exploit.JS.CVE-2011-0609 および Exploit.SWF.CVE-2011-0609 の
名前で検知されています。


■Exploit.JS.CVE-2011-0609.d のコードの一部
http://www.kaspersky.co.jp/images/ill/top20_march2011_pic02.png

幸いこの事例では脆弱性が迅速に修正されました。Adobe は 3 月 22 日に
問題が解決されたことを発表しましたが、安心できるのはもちろん
ソフトウェアのアップデートに間に合ったユーザーのみということに
なります。

<悪意ある HTML ページ : 検知の回避方法>

これまで何度もご紹介したとおり、サイバー犯罪者はマルウェアを
拡散させる目的で HTML ページを利用しています。しかも、HTML ページが
アンチウイルスプログラムに検知されないように、日々新たな手法を
開発しています。