マルウェア感染・侵入 実態は悪化の一途

TrendLabs | Malware Blog

The Internet Infestation, How Bad Is It Really?」より
Sep 16, 2009 Trend Micro Threat Research

 セキュリティ業界では、感染コンピュータ上のマルウェア感染期間は、平均して6週間程度と試算していました。しかし、トレンドマイクロにおける最新の調査によると、この試算は実際の数値と大きくかけ離れていることを示唆していました。およそ1億にも及ぶ改ざんされたIPアドレスを分析したところ、その半数が、少なくとも300日間は感染状態であったということが判明。また、「最低でも1カ月は感染状態であったケース」にまでに範囲を広げると、改ざんされたIPアドレス数は、全体の80%にまで昇ります。

 詳細なデータについては、下図をご参照ください。

図1:国別感染データ
図1:国別感染データ

 残念ながら、この状況から得られる情報は、暗澹たるものです。分析対象のIPアドレスの4分の3がコンシューマ(一般ユーザ)からで、残り4分の1がエンタープライズ(企業)から収集されたものでした。特に企業のIPアドレス収集の際、ゲートウェイのIPアドレスを1つとしてカウントしています。したがって、企業から収集された1つのIPアドレスには、社内ネットワークを介して多数のコンピュータが接続されているため、実際の感染コンピュータの数は、IPアドレスで示されている数値よりもずっと多いと考えられるでしょう。

 コンピュータがいったん感染すると、「実際は、その感染コンピュータがより大きなボットネット一部になってしまっている」というのは、よくあることです。こうして形成されていくボットネットは、多くの場合、マルウェアによる攻撃、詐欺行為、情報漏えい、その他のサイバー犯罪に利用され、ユーザに被害を及ぼします。

 実際、2009年、トレンドマイクロのウイルス解析チームが追跡したボットネットについても、そのほとんどすべてが、サイバー犯罪者による情報収集に利用されています。

 現在、下記がいわゆる「3大危険ボットネット」といわれており、いずれも、銀行口座、各種ログイン・個人情報、その他の様々な情報収集に利用されているようです。

  ・Koobface
  ・ZeuS/Zbot
  ・Ilomo/Clampi

 こうしたボットネット全体に関していえることは、かつて考えられていたよりも、実際はずっと多くの感染コンピュータがコントロールされているという点です。ほんの一握りのサイバー犯罪者(その数はせいぜい数百人程度)により、1億台以上ものコンピュータが制御されています。これは別の言い方をすれば、彼らが駆使できるコンピュータのパワーは、世界中のスーパーコンピュータを組み合わせた規模より勝っているということでもあります。このような状況を考えると、世界中のメールの90%以上がスパムメールであるという事実もうなずけます。

 なお、そうした感染コンピュータの被害件数が多い国のトップ10と、そうした感染をもたらすスパム配信国のトップ10とは、必ずしも1対1の相関関係にはありませんが、相関関係は明らかに存在します。

国別感染コンピュータの割合
国別感染コンピュータの割合

 典型的なボットネットとして「Koobface」を例にあげると、トレンドマイクロのウイルス解析チームは、約5万1000台の感染コンピュータがこのボットネットに加担していることを確認しています。「Koobface」は、これら膨大な数のゾンビPC化した感染コンピュータを5、6カ所のコマンド&コントロールセンター(C&C)を利用して、いつでも操れることも確認しています。このような仕組みのため、たとえば、利用中C&Cのドメインが仮にプロバイダーにより削除されてしまっても、別のプロバイダーによる同じドメインのC&Cを直ちに再登録することができます。「Koobface」を利用する犯罪者集団は、こうして犯罪活動のためのC&Cを保持することができるわけです。事実、09年の3月中旬から8月中旬にかけて、46個もの「Koobface」専用C&Cドメインが、弊社ウイルス解析チームにより記録されています。

 他方、ボットネット「Ilomo」では、69個ものC&Cドメインが確認されたようです。ただし、このボットネットでは、日々、C&Cドメインの削除と新規追加が繰り返されており、それに伴うドメイン数の変動も激しく、必ずしも69個と特定できない難しさもあります。さらに、このボットネット自体の構造上の理由から、ゾンビPC化した感染コンピュータの数を特定することも困難です。

 ウイルス解析チームは、引き続き、これらの調査・分析しています。上述のボットネット「Koobface」および「Ilomo」に関連するテクニカル・レポートは公開されており、「TrendWatch(Trend Micro USA)>research and analysis」でご覧頂けます。

 幸いなことに、次々増大するこれらの脅威に対する新技術も発展しており、トレンドマイクロ製品のユーザは、「Trend Micro Smart Protection Network(SPN)」により10億以上の脅威から日々防御されています。

 トレンドマイクロは、SPNの技術を用いて、マルウェアの検出および感染からユーザを保護します。SPNは、

 ・「E-mailレピュテーション」技術
 ・「Web レピュテーション」技術
 ・「ファイルレピュテーション」技術

の3技術と、従来のスパム対策およびウイルス対策技術を組み合わせた対策を提供しています。

 SPNとは、次世代のクラウド-クライアント型コンテンツセキュリティ技術基盤で、1日50億以上のカスタマーからの問合せを通じて、様々な脅威がネットワークに到達する前にブロックするよう設計されています。軽量小型のクライアントと「In-the-Cloud」技術を組み合わせることによって、ユーザはいつも最新の保護技術で守られています。

 SPNに関する詳細情報は、下記Webサイトをご参照ください。

 【Trend Micro Smart Protection Network】
  http://www.trendmicro.co.jp/spn/

 翻訳: カストロ 麻衣子(Technical Communications Specialist, TrendLabs)

Related posts:

  1. 再確認を! DNSチェンジャー感染者用の代替DNSサーバ、運用停止が迫る
  2. 巨大ボットネットに利用されたDNSサーバの運用、米連邦裁判所により120日間延長に
  3. 乗り越えた「インターネット最後の日」
  4. 持続的標的型攻撃に利用される不正プログラム「Enfal」の更新版、874台のPCに感染