メインコンテンツにスキップする

9 月のマルウェア:高度化された標的型攻撃

2011年10月28日

Kaspersky Lab は、2011 年 9 月度のマンスリーレポートを発表します。

本リリースは、2011 年 10 月 13 日にロシア モスクワにて発表されたニュースリリースの抄訳です。


Kaspersky Lab は、2011 年 9 月度のマンスリーレポートを発表します。

数字で見る 9 月
9 月にカスペルスキー製品ユーザーの PC 上で検知され収集されたデータは以下のとおりです:

  • ネットワーク攻撃が阻止された回数:213,602,142
  • Web サイト経由での感染の試行回数:80,774,804
  • ユーザーの PC 上で検知・駆除されたマルウェア数:263,437,090
  • ヒューリスティック検知数:91,767,702

<新たな脅威>

BIOSを感染させるというアイデアは、昔からサイバー犯罪者達を強くひきつけてきました。コンピューターの電源を入れた直後に BIOS からマルウェアを起動すれば、コンピューターのブートシーケンスやOSを完全に制御することができます。1998年に発見されたCIHウイルスもBIOSを破壊する程度に留まり、それ以降大きな進化は見られませんでした。しかし今年 9 月、BIOSに感染しシステムを制御することができるトロイの木馬が発見されました。このルートキットはAward 製の BIOS への感染を目的としており、中国で作成されたと見られています。そのトロイの木馬コードは明らかに未完成であり、デバッグ情報を含むものでしたが、我々はその機能と仕組みを割り出すことに成功しました。

<個人ユーザーを対象とした攻撃>

DigiNotar への不正侵入
オランダの認証局 DigiNotar にサイバー攻撃を仕掛けたハッカーの目的は主に、ソーシャルネットワーキングや E メールサービスなど、個人ユーザーが広く利用するリソースを対象に「偽の SSL 証明書」を発行することにありました。 7 月末に行われた不正侵入で DigiNotar のシステムが操られ、Gmail、Facebook、Twitter を含むリソースを対象とした数十もの偽の証明書が作成されました。証明書の不正利用は8月に渡って続き、8 月末にイランのインターネットユーザーが被害を受けたことで初めて明るみに出ました。偽の証明書を悪用した被害はプロバイダーレベルにまでおよび、そのサーバーとユーザー間の通信が筒抜けになったのです。DigiNotar の事件は、数百にもおよぶ認証機関の安全性の問題を再提起するものであり、デジタル証明という概念そのものの信憑性を失わせました。

Mac OS 向けの脅威:PDF に隠された新種のトロイの木馬
サイバー犯罪者は、Mac OS ユーザーの無頓着さを悪用しているようです。例えば、Windowsユーザーなら「pdf.exe」「doc.exe」といった拡張子のファイルが添付された E メールを見てもすぐにそれらを削除するでしょう。しかしこのような工作はMacユーザーにはまだなじみがなく、PDF ファイル、画像ファイル、doc ファイルを装ったマルウェアを起動してしまう傾向が高いのです。

9月末に検出された悪性プログラム(Backdoor.OSX.Imuler.a)は、コントロールサーバーからコマンドを受信するだけでなく、感染マシンからサーバーにランダムなファイルやスクリーンショットをアップロードします。この場合、サイバー犯罪者はPDFを隠れ蓑にしていました。

モバイルを狙った脅威
9 月、我々はモバイルプラットフォームを狙った新種のマルウェアを 680 種類検知し、このうちの 559 件がAndroidを対象としたものでした。ここ数ヶ月、Android向けのマルウェア総数が大きく増加し、特にバックドアの数が著しく増えています。Android向けのマルウェア 559 件のうち、182 件(32.5%)がバックドア機能を備えたマルウェアの変種でした。インターネットを利用して接続したリモートサーバーからコマンドを受信するモバイルデバイス向けマルウェアが増加しつつあります。

mTAN コードの盗用
オンラインバンキングで利用される mTAN コードを含むテキストメッセージを傍受するトロイの木馬が、サイバー犯罪者の人気を集めています。去年4つのモバイルプラットフォームを標的としていたトロイの木馬にZitMoがありますが、ZitMoがZeuSと連携して動作していた機能を、SpitMoはSpyEyeとペアになることで行います。

QR コード経由の攻撃
9月末、我々はQR コードを使用した攻撃を初めて検出しました。スマートフォンにソフトウェアをインストールするために、多くの Web サイトでは QR コードをスキャンして簡単にダウンロードを開始できる方法を導入しており、わざわざ URL を手入力する手間を省いています。そしてサイバー犯罪者達もマルウェアのダウンロードを簡略化しようと考えたようです。我々は、モバイルアプリ(例:Jimm や Opera Mini)ダウンロード用の QR コードを含む悪質な Web サイトを発見しました。そこには、テキストメッセージを有料番号に送信する機能を持つトロイの木馬が埋め込まれていました。

企業ネットワークへの攻撃
大規模な組織を標的とした攻撃で、初期段階にEメールを利用するケースが増加しています。9月でも大きなインシデント2件でそ戦略が使われています。まずは、Trend Microのエキスパート達がその存在を明らかにしたインシデントで、Luridと命名されました。同社は、主にロシア・旧ソ連諸国・東欧の国々にまたがる 1,500 台もの感染コンピューターを制御していた数台のサーバーへのリクエストの傍受に成功しています。ロシア国内の被害マシンリストを分析したところ、この攻撃がある特殊な組織を対象としていることがわかりました。攻撃者の狙いは、航空宇宙産業、科学研究施設、複数の民間企業、国家組織、報道機関などでした。攻撃者は組織の従業員に悪意のあるファイルを添付したEメールを送りつけ、データへのアクセスに成功していました。

三菱重工に対する攻撃
9 月中旬、三菱重工業に対するサイバー攻撃のニュースが明らかになりました。

日本の報道によれば、潜水艦、ロケット、および原子力関連機器の生産拠点で、約 80 台のコンピューター及びサーバーがウイルス感染したということです。さらに、三菱重工本社でもマルウェア感染が確認されています。現在、具体的にどのような情報がハッカーの手に渡ったのかを知ることはできませんが、感染コンピューターに何らかの防衛上の機密情報が格納されていた可能性はあり得ます。

Kaspersky Lab のチーフセキュリティエキスパートであるアレキサンダー・ゴスチェフは、次のようにコメントしています。「攻撃は非常に綿密な計画の元で実行されていました。シナリオはよくあるもので、7 月末、三菱重工の複数の社員がサイバー犯罪者から PDF ファイルが添付された E メールを受信したと考えられます。このファイルは Adobe Reader の脆弱性を狙うエクスプロイトで、開くと悪質なコンポーネントがインストールされ、ハッカーはリモートで感染システムへのフルアクセスが可能になります。これらの感染マシンからさらに社内ネットワークに感染を拡大し、サーバーに不正アクセスして収集した情報をハッカーのサーバーに送信していました。この攻撃では、10 種類以上ものマルウェアが使用されましたが、その一部には社内のネットワーク構成を考慮に入れて設計されたと思われる痕跡がありました。」

<サイバー犯罪との闘い>

Hlux/Kelihos ボットネットの終焉
9 月には、ボットネットとの闘いにおいて、「Hlux ボットネットの遮断」という大きな躍進がありました。カスペルスキー、Microsoft、および Kyrus Tech の 3 社の協力体制のもと、Hlux 感染マシンで構成されたネットワークの鎮圧(P2P ボットネットとしては初めて)に成功しただけでなく、cz.cc ドメインを完全閉鎖にまで追い込みました。2011 年をとおして、このドメインは、Mac OS 向けを含む偽のアンチウイルスプログラムや、バックドア、スパイウェアなどのさまざまな脅威の温床となっていました。また、多くのコマンドコントロールセンターをホストしていました。

現在カスペルスキーはこのボットネットを制御するとともに、影響を受けたインターネットサービスプロバイダに連絡し、ユーザーマシンの感染駆除に協力しています。Microsoft のマルウェア駆除ツールには Hlux 検知機能が追加され、感染マシンの数の大幅な減少につながりました。

2011 年 9 月度のマルウェアマンスリーレポート全文は次のページでご覧いただけます:
http://www.viruslistjp.com/analysis/?pubid=204792145



【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Lab は、ウイルス・スパイウェア・クライムウェア・不正侵入・フィッシング詐欺・スパムといった IT 上の脅威に対抗する世界で最も迅速かつ高品質な保護を提供する、ヨーロッパ最大のアンチウイルスベンダーです。エンドポイント向けソリューションにおいては、全世界でもトップ4のシェアを持っています。個人/SOHO向けにとどまらず、中小企業向け、大企業向け、モバイル端末向けなど多様な分野の各種製品で、業界最高の検知率と最短の対応時間を実現しています。また、Kaspersky の技術は業界を代表する IT セキュリティ製品やソリューションに、広く世界中で採用されています。詳細については http://www.kaspersky.co.jp/ をご覧ください。また、アンチウイルス、アンチスパイウェア、アンチスパムなどIT セキュリティに関する最新情報を http://www.viruslistjp.com/ にて提供しています。

9 月のマルウェア:高度化された標的型攻撃

Kaspersky Lab は、2011 年 9 月度のマンスリーレポートを発表します。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース