Kaspersky Labのエキスパートが実施している解析調査により、 Duqu とStuxnetの類似性がまたひとつ明らかになりました。
本リリースは、2011 年 12 月 13 日にロシア モスクワにて発表されたニュースリリースの抄訳です。
Kaspersky Lab は、2011 年 11 月度のマンスリーレポートを発表します。
数字で見る 11 月
11 月にカスペルスキー製品ユーザーの PC 上で検知され収集されたデータは以下のとおりです:
- ネットワーク攻撃が阻止された回数:204,595,286
- Web サイト経由での感染の試行回数:89,001,505
- ユーザーの PC 上で検知・駆除されたマルウェア数:238,045,358
- ヒューリスティック検知数:98,047,245
Duquの調査をひきつづき継続
Kaspersky Labのエキスパートが実施している解析調査により、 Duqu とStuxnetの類似性がまたひとつ明らかになりました。どちらも攻撃を開始する際に未知の脆弱性を利用しています。Duquのケースでは、当時未知であった Windows の脆弱性を突くエクスプロイトを Microsoft Word 文書に仕込み、これを E メールに添付する手法が取られました。Kaspersky Lab はただちに、このエクスプロイトに対応するシグネチャーを製品データベースに追加しました。我々の結論としては、Duqu はイランの企業や政府機関の活動に関連するデータを収集する目的で作成されたと考えています。また、Duqu の初期バージョンが 2007 年から 2008 年の間にはすでに存在していたことや、Duqu の作成時に使用されたのと同一のプラットフォームをベースに Stuxnet ワームが作成されたことを示唆する数々の証拠が発見されています。
新しいアクティビティ
画像内にステガノグラフィーを使用したラテンアメリカ発トロイの木馬 が初めて確認されました。このトロイの木馬のファミリーはブラジルの銀行の顧客を標的としていました。この技術を使用することで、ウイルス作者は一石二鳥以上の効果を得ることができます。Kaspersky LabのGlobal Research and Analysis Team(GReAT) ラテンアメリカ地域ディレクターであるドミトリー・ベストゥージェフ(Dmitry Bestuzhev)は次のように述べています。「1 つめは、マルウェア解析システムの誤動作を誘発することです。アンチウイルスプログラムは解析の結果ファイルに問題はないと判断し、そのすべてのリンクをチェックから除外します。2 つめは、暗号化された悪性ファイルがホストされたサイトの管理者が、そのファイルを悪質と認識できずに放置することです。3 つめには、この技術に対処する時間および必要な専門知識を欠いたマルウェアアナリストもいるということです。これらすべてが、サイバー犯罪者達に有利な条件を与えています」
モバイル向け脅威
7 月中旬、「Porn SMS senders」(ポルノ SMS 自動送信プログラム)が米国、マレーシア、オランダ、英国、ケニア、南アフリカのユーザーを標的にしていました。この種のアプリはポルノ画像を餌に、ユーザーに高額のサービスを利用させて金を搾り取るというものでした。この商法はSMS型トロイの木馬へと進化し、ヨーロッパ諸国およびカナダのユーザーが被害にあっています。
Mac OS 向けの脅威
Torrent トラッカーサイトで配布されているMac 向けの海賊版ソフトウェアに悪意のあるプログラムが発見されました。Backdoor.OSX.Minerと後に命名されたこのプログラムには以下の悪質な機能があります。
- 感染コンピューターへのリモートアクセスを確立する
- Safari での閲覧履歴を収集する
- スクリーンショットを撮る
- BitCoin クライアントから wallet.dat ファイルを盗む
- ユーザーによる認証なしで BitCoin マイニングプラグラムを実行する
このマルウェアは、publicbt.com、openbittorrent.com、thepiratebay.org といった数多くの Torrent トラッカーサイトを経由して拡大します。
政府や企業ネットワークへの攻撃においては、証明書関連の問題が多発しています。
11 月にはオランダの認証機関のひとつであるKPN 社がハッカー被害に遭い、やむを得ず証明書の発行業務を停止すると発表しました。KPN 社の PKI 認証に関連する Web サーバー上で情報流出が発見されましたが、この攻撃は4 年以上も前に実行されており、この長い期間DDoS ツールがいかにして検知を逃れていたのか、という問題が浮上しました。
以前に不正アクセス問題が発覚したDigiNotar 社と同様、KPNはオランダ政府や公共サービス向けに「特別な」証明書発行業務を行う権利を取得しています。実際、DigiNotar のケースで被害を受けた多くの組織が KPN 発行の証明書に切り替えていました。
しかし、マレーシアの認証局である Digicert(CA Digicert Malaysia)社は、さらに深刻な事態に巻き込まれました。全てのブラウザベンダーおよび Microsoft 社が、信頼する認証局のリストから同社を除外したのです。Digicert は、脆弱な 512 ビットのキーを使用した 22 件もの証明書と、使用用途を示す拡張情報および失効情報を含まない証明書を発行したため、このような強硬手段が必要であると判断されました。
11 月の統計
インターネット上の脅威トップ 10
| 1 | 悪意のある URL | 81.41% | 0 |
| 2 | Trojan.Script.Iframer | 4.57% | 0 |
| 3 | Trojan.Script.Generic | 1.67% | 1 |
| 4 | Trojan.Win32.Generic | 0.74% | -1 |
| 5 | Trojan-Downloader.Script.Generic | 0.61% | 2 |
| 6 | Trojan.JS.Popupper.aw | 0.37% | 3 |
| 7 | Exploit.Script.Generic | 0.36% | -2 |
| 8 | Trojan.JS.Agent.bwi | 0.24% | 新規 |
| 9 | Exploit.Java.CVE-2010-4452.a | 0.21% | 新規 |
| 10 | AdWare.Win32.Screensaver.i | 0.16% | 新規 |
2011 年 11月度のマルウェアマンスリーレポート全文は次のページでご覧いただけます:
http://www.viruslistjp.com/viruses/analysis/?pubid=204792148
【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Lab は、ウイルス・スパイウェア・クライムウェア・不正侵入・フィッシング詐欺・スパムといった IT 上の脅威に対抗する世界で最も迅速かつ高品質な保護を提供する、ヨーロッパ最大のアンチウイルスベンダーです。エンドポイント向けソリューションにおいては、全世界でもトップ4のシェアを持っています。個人/SOHO向けにとどまらず、中小企業向け、大企業向け、モバイル端末向けなど多様な分野の各種製品で、業界最高の検知率と最短の対応時間を実現しています。また、Kaspersky の技術は業界を代表する IT セキュリティ製品やソリューションに、広く世界中で採用されています。詳細については
http://www.kaspersky.co.jp/
をご覧ください。また、アンチウイルス、アンチスパイウェア、アンチスパムなどIT セキュリティに関する最新情報を
http://www.viruslistjp.com/
にて提供しています。
