マルウェアの進化 2006 - Executive Summary
セキュリティコンテンツ管理システムの先駆的開発者であるカスペルスキーラブスは、2006年におけるウイルス進化に関する年次報告書を公開いたします。この報告書では、2006年の主なウイルス関連の出来事、具体的な傾向の分析、カスペルスキーラブスのアナリストによる今後の展望について述べていきます。
年度末結果
前年に見られたマルウェア進化の傾向は、2006 年を通じて継続されました。例によって、トロイの木馬はワームよりもはるかに数が多く、金銭的な損害を与えることを目的とした新しい悪意あるプログラムの数が増加しました。
2006年は、トロイの木馬が新しいマルウェアプログラム(新しい系統と新しい変種の両方)の90%以上を占めました。
| カテゴリ | % | 変化 |
| TrojWare | 91.79% | +2.79% |
| VirWare | 4.7% | -1.3% |
| MalWare | 3.51% | -1.49% |
悪意あるプログラムのカテゴリ別内訳 (2006年末時点)
トロイの木馬プログラムは、過去数年間にわたって着実に増加しています。これは、情報の盗用、ボットネットの作成、スパムの大量送信を実行するのに、トロイの木馬を比較的簡単に記述して利用可能であるためです。
2006年に見られた最も興味深い傾向に、トロイ型スパイプログラムの数が着実な増加を見せたことが挙げられます。これらのプログラムは、オンラインゲームのアカウントを持つユーザから情報を盗み出すことを目的としています。もうひとつの興味深い傾向は、データを暗号化するように設計されたトロイの木馬が引き続き進化を見せたことです。このようなプログラムは、データの暗号化にプロフェッショナルな暗号化アルゴリズムを使用し始めました。
Trojan-PSW に分類されるプログラムのほとんどは、オンラインゲームプレーヤーからユーザアカウント情報を盗むことを目的としており、TrojWareとして分類される全プログラムの中で最も高い伸びを見せています(+125%)。
ワームおよびウイルス(VirWareとして分類)の数は、1.3%の減少となりました。2005年に記録された-6.53%よりもかなり少ない数値ですが、これは既にこのカテゴリにおける数が非常に低下しているためです。VirWareに分類されるプログラムは、今後も減少し続けるとは考えられません。むしろ、平衡状態に達したと考えられます。
MalWareカテゴリの観点からいくと、2006年における最も重要な要因は、ウィルス作者がMS Officeに向ける関心が高まったこと、さらにその結果としてMS Officeに対する多数の攻撃が出現したことでした。
もうひとつ非常に顕著な出来事は、MacOSに対する最初の「真の」ウィルスおよびワームが登場したこと、同様にJ2MEモバイルプラットフォームに対するトロイの木馬が登場したことです。後者は、モバイルユーザのアカウントから金を盗むことを目的としていました。
全体的に、新たな悪意あるプログラムの数は、2005年から41%上昇した
ウイルス作者は、非標準の感染媒介に対し、いっそう積極的な関心を寄せています。ICQ、AOL、MSNなどのインスタントメッセージング(IM)プログラムは、最も危険なインターネットベースアプリケーションのひとつとなりました。これは当然ながら、一般的なブラウザ、主にInternet Explorerに存在する多数の脆弱性と直接結びついています。
全体的に、技術的な観点からいえば興味深い年でした。また、幸いなことに、2006年は2005年に見られたような規模の単一の世界的流行(Mytobなど)が発生することなく終わりました。その一方で、世界的流行は、特定の地域(中国、ロシアなど)を攻撃するように設計されているかまたは非常に短期間で爆発的に活動する地域的流行に、ある程度取って代わられています。
2006年には、7つの主なウイルスの流行が記録されました。これは、2005年の半数です。2006年の流行は、Nyxem.eによって引き起こされたもの、BagleおよびWarezovの変種、Gpcodeのいくつかの変種、RansomWareトロイの4つのグループに分けることができます。
メールトラフィックにおける悪意あるプログラムTOP 10 (2006年)
| 順位 | 名称 | 2006年の順位変動 |
| 1 | Net-Worm.Win32.Mytob.c | 0 |
| 2 | Email-Worm.Win32.LovGate.w | +4 |
| 3 | Email-Worm.Win32.NetSky.b | +2 |
| 4 | Email-Worm.Win32.NetSky.t | 新規 |
| 5 | Email-Worm.Win32.Nyxem.e | 新規 |
| 6 | Email-Worm.Win32.NetSky.q | -4 |
| 7 | Net-Worm.Win32.Mytob.u | +2 |
| 8 | Net-Worm.Win32.Mytob.t | +7 |
| 9 | Net-Worm.Win32.Mytob.q | -1 |
| 10 | Email-Worm.Win32.Scano.gen | 新規 |
2005年からの最も重要な変更内容
2006年、アンチウィルス業界は、多数の新しい問題や脅威に直面しました。明らかにサイバー犯罪を意図して記述されたウイルスが、さらに増加を見せました。オンラインゲームやソーシャルネットワーキングサイト(ブログおよびフォーラム)など、これまでは比較的安全だと考えられていた領域を対象とした悪意あるプログラムが、明らかに増加しています。World of Warcraftやリネージュなど人気のゲームネットワークに参加する何百万ものユーザが、プレーヤーアカウントにアクセスするための情報を盗もうとするアジアのウイルス作者のターゲットとなりました。大手ブロガーコミュニティは、ウイルスやトロイの木馬をブログ経由で広めようとする試みに、定期的にさらされました。
Microsoft Windowsシステムサービスに重大な脆弱性がないことから、ハッカーやその他悪意あるユーザは、その他の一般的なソフトウェア製品に目を向けました。Microsoft OfficeとInternet Explorerです。Word、Excel、PowerPointは、すべてブラックハットの餌食となりました。この年を通じて脆弱性の総計は2ダースを超え、そのうちのすべてが、関連の脆弱性を修正するためのパッチをMicrosoftがリリースする前に公表されました。
悪意あるユーザは2006年、被害者から金を脅し取る目的でユーザファイルの暗号化を開始したときに、大きな歩みを踏み出しました。2005年には、そのようなプログラムは、日曜大工的な原始的な暗号化アルゴリズムを使用していたため、限られた機能しか持ちませんでした。しかし2006年には、こうしたプログラムは、一般的に最も安全であると見なされている、RSAなどのプロフェッショナルな暗号化アルゴリズムを採り入れました。
アンチウイルス技術が向上を続けるにつれ、ウイルス作者は、セキュリティソリューションとの対抗の中で、より独創的である必要に迫られています。新しい悪意あるプログラムの圧倒的多数は、さまざまな方法を使用して自分のコードを圧縮します。このために、ウイルスアナリストがこれらファイルを分析することがいっそう難しくなっています。分析を妨害するため、ゴミコードのように、暗号化がますます使用されるようになっています。
前述の変化を、大規模・短期間・局地的な流行という新しい傾向とひとまとめにして考えた場合、アンチウイルス会社はこうしたタイプの脅威により早く対応する必要に迫られていると言うことができます。
2007年の展望
前述の情報から判断して、2007年には、ユーザ情報を盗むために利用されたトロイの木馬の使用をウイルス作者が継続するであろうと予測されます。さまざまなオンラインバンキングおよび支払いシステムのユーザ、同様にオンラインゲームのプレーヤーが、引き続きメインターゲットとなるでしょう。
ウイルス作者とスパマーとの共益関係から、新たな流行の展開やターゲットを定めた攻撃、スパムの送信を展開を行うために、感染済みコンピュータが使用されると考えられます。
メールおよびブラウザの脆弱性は、引き続き、コンピュータシステムへの侵入に使われる主要な感染媒介となるでしょう。直接的なポート攻撃は、一般的ではなくなり、Windowsサービス内で重大な脆弱性が特定されるかどうかによって左右されると考えられます。悪意あるプログラムがP2PネットワークおよびIRCチャネルを使用して拡散することは、局地的な攻撃の場合に限って妥当なものとなる可能性が高いでしょう(たとえば、日本で非常に一般的なWinny P2Pクライアントは、2007年にはアジアのユーザにとって深刻な問題となる可能性があります)。IMアプリケーションは、最も一般的な感染媒介のトップ3内に留まると考えられます。ただし、大幅な増加が見られるとは予測していません。
全体的に、流行やウイルス攻撃は、よりはっきりと地理的に特徴付けられていくと考えられます。たとえば、アジアでは主にウイルス機能を持つトロイおよびワームが見られ、悪意あるプログラムの大半はヨーロッパで、トロイ型スパイプログラムおよびバックドアは米国で見られることになるでしょう。中南米は引き続き、銀行取引情報を狙った広範囲のあらゆるトロイに悩まされることになると考えられます。
Microsoft’sの新しいオペレーティングシステムであるVistaは、疑いなく2007年において決定的な役割を演ずると考えられます。VistaおよびVistaの脆弱性は、今後数年間にわたり、悪意あるコードの進化における決定的要因となると予想されます。近い将来に大きな変化があるとは考えにくいとしても、この新製品は間違いなく今後の傾向を確立することでしょう。
悪意あるプログラムは引き続き、感染したシステムで自分の存在を隠すための技術改革および方法を取り入れていくと考えられます。多用型の方法である「ゴミコード」およびルートキットの技術は、いっそう拡がりを見せ、最終的には新たな悪意あるプログラムの大半で標準となると考えられます。
また、その他オペレーティングシステムに対する悪意あるプログラムの数が、著しく増加すると考えられます。何よりもまずMacOS、続いて*nixシステムが標的となるでしょう。悪意あるユーザはまた、PlayStationやNintendoなどのゲームコンソールに対する悪意あるコードの実現性について、より大規模な研究をしてくる可能性があります。こうしたデバイスの数が増え続けていること、またこれらデバイスの新機能では相互通信やインターネット通信が可能であることが、ウイルス作者の注意を引きつける可能性があります。しかし、さしあたっては、そのような攻撃は概念実証や破壊行為に限られると考えられます。「コンピュータ以外」に対するウイルスは、可能性は低いものの、2007年に急進展を見せる可能性があります。こうした進展は、多数の概念実証プログラムの発生に限定される可能性が高いと思われます。
中規模および大規模の企業に対するターゲットを定めた攻撃は、増加するであろうと考えられます。従来の情報盗難に加え、データ複合化の見返りとして金を要求するなど、こうした攻撃が被害側組織から金を脅し取ることを目的とするようになると予想されます。MS Officeファイルは、特定のOffice製品に存在する脆弱性同様、主な感染媒介のひとつとなるでしょう。
英文の詳細はKaspersky Lab’s annual analytical report(www.viruslistjp.com)にてご覧いただけます。
