株式会社ギデオン

JPCERTはWebサイトの改ざん件数が倍増していることを報告している。
特に、WordPressで構築したサイトが対象となっており、TimThumbプラグインの脆弱性を使った攻撃で、その結果マルウェア感染することが確認されている。

WordPressのサイトで当該脆弱性の対策アップグレードが公開されているので、 パッチを当てる必要がある。既知の脆弱性に関して、たえず新しいパッチをあてることを面倒でもルーティンワークにしてほしい。

JPCERT/CC インシデント報告対応レポート [ 2011年10月1日〜2011年12月31日 ]
(下記リンク先のPDFファイル)
http://www.jpcert.or.jp/ir/report.html

Timthumb Vulnerability Scanner
http://wordpress.org/extend/plugins/timthumb-vulnerability-scanner/

最近大規模なサイバーアタックが世界中で報告されている。
フィッシングアタックにあったソニーに次いで、6月3日イギリスのゲーム開発会社 Codemastersが攻撃され、個人情報が流出した。 被害は数十万ユーザ以上に及ぶだろうと予測している。

サーバアタックは金融機関にも広がり、アカウント情報取得を目的に、 アメリカの銀行Citibank、IMFにも攻撃があったと6月12日付のWall Street Journalは報じた。
また、Googleにもアメリカの政府関係者のメールアカウントを奪取する攻撃があったことを報じている。 同じころ、ベトナムでも政府のウェブサイトを始め、 200以上のウェブサイトが攻撃され、 インドでも政府関連のウェブサイトの改ざんや、攻撃が報告されている。
世界中のサイトで個人情報が脅威にさらされている。

最新のセキュリティパッチ適用や各種セキュリティ情報に基づく、 基本的な対策が最も重要である。

情報インフラが攻撃される脅威は社会的影響が大きいため、 通信の暗号化、やりとりするデータの暗号化、 さらに認証の手続きを怠らないよう注意を喚起したい。

(出典)

英国本社における個人情報流出に関するお知らせ
(CODEMASTERS News)
http://www.codemasters.jp/index.jsp?pid=view&bsno=176

【NewsBrief】ＩＭＦにサイバー攻撃―現在調査中
(ウォール・ストリート・ジャーナル 日本版)
http://jp.wsj.com/US/node_248760

IMF hacked; High profile cyber attack continues
(Oneindia news)
http://news.oneindia.in/2011/06/12/imf-networks-hacked-data-breach-may-happen-aid0102.html

Chinese hackers attack Vietnam websites; tension escalates (Oneindia news)
http://news.oneindia.in/2011/06/10/vietnamese-websites-hacked-tension-south-china-sea-aid0102.html

今年に入って、メール経由でのウイルスが激減した(当社観測記録による)。 最近のウイルス配信は、スパム配信サイトからおこなわれるので、スパム 配信ボットネットが消滅したかのようにみうけられた。 しかし、ボットネットから新たな攻撃を開始していることが報じられた。 それは米国と韓国で同時期に起こった。

米国ブログホスティング大手WordPress.comは、米国時間3月3日の朝、 同サービスの歴史上最大のDDoS攻撃(Distributed Denial of Service attack, 分散型サービス拒否攻撃)を受けた("毎秒数ギガビットで毎秒数千万パケット")。 その回復後、米国時間3月4日の早朝また攻撃され、 最終的には翌日3時頃に沈静化した。

WordPress.comは3000万あまりのブログをホストし、 攻撃のターゲットとなったサイトの一つがWordPress.com上で運営している中国語のサイトで、 当該サイトは中国の大手検索エンジンBaidu(百度)でもブロックされているようだ。

同時期(3月4日)午前10:00に、韓国大統領府を含む、 韓国国内の29のサイトに対するDDoS攻撃が発生した。 原因は、韓国内のあるP2Pサイトが攻撃され 、 そのP2Pサイトからダウンロードされたファイルに、 マルウェアが仕組まれていたためと報じられた。

セキュリティベンダのアンラボ社によると、 韓国内で7,000台弱のパソコンに当該マルウェアの感染が確認された。

ボットネットからの大規模なDDoS攻撃を防御するには、 グローバルなネットワーク上で監視する必要がありそうだ。 現時点では、日本から大規模なDDoS攻撃の報告はない。

(出典)

WordPressに相次いで大規模なDDoS攻撃--2日間で2回目
(CNET Japan)
http://japan.cnet.com/news/service/20427064/

アンラボ、韓国で 40 の Web サイトを対象にした DDoS 攻撃への注意喚起
(セキュリティサービスのアンラボ)
http://www.ahnlab.co.jp/company/press/news_release_view.asp?seq=5568&pageNo=1&news_gu=01

Kaspersky Lab は、ユーザを偽のアンチウイルスプログラムにリダイレクトする、 新種の Twitter ワームを検知したことを報告した。

Kaspersky Lab は、Google の URL 短縮サービス「goo.gl」を悪用し、 急速に拡散している新種の Twitter ワームを検知。

この悪質な URL をクリックすると、ユーザは複数のリダイレクトページを経由して 「セキュリティシールド」という偽のアンチウイルスプログラムを配布する Web ページにリダイレクトされます。

感染した Web ページにリダイレクトされると、 疑わしいアプリケーションが PC で実行されているという警告が表示され、 『セキュリティシールド』という偽のアンチウイルスプログラムのダウンロードを勧められます。 そのプログラムをダウンロードすると PC がマルウェアに感染します。

カスペルスキーの製品は、ヒューリスティックアナライザによりこのワームを検知します。

(出典)
Kaspersky news

セキュリティ・エヴァンジェリストである、エディ・ウィレムスが参加している、 オランダ国家犯罪対策局のハイテク犯罪チーム(THTC)が、 3000万以上のコンピュータを感染させていた凶悪ボットネットを破壊した、 と2010年10月25日に宣言した。

このボットネットを仕掛けた犯罪者が使用したウイルスは「ブレードラボ」(Bredolab)と呼ばれ、 トロイの木馬の一種だ。日本ではガンブラー(Gumblar)として知られる攻撃で使用されたウイルス。 犯罪者は、このウイルスを使用して、メールの添付ファイルの開封もしくは感染サイトを閲覧することによっ てコンピュータに侵入しコンピュータを「ボット」化した。

コンピュータを乗っ取り、スパムメールを送ったり、個人情報を盗み出したり、 特定のサーバーへの攻撃を行うなど、さまざまな犯罪行為を行っていた。

2009年の終わりには、毎日、36億通ものブレードラボが添付されたメールが送信された。 このTHTCチームによって、悪用された143のコンピュータサーバが見つけ出され、 ボットネットワークの解体を行った。

ガンブラー攻撃の沈静化につながれば幸いだが、さらにはボットネット拡散の抑止に繋がってほしいものだ。

(出典)
G DATAの記事より
(参考)
エディ・ウィレムス氏 が掲載しているブログサイト

Stuxnet ワームは攻撃ターゲットが限定されているため、 ウイルス感染報告の上位ではないものの、 影響力は非常に大きく潜在的な脅威になっている。

Stuxnet ワームは6月中旬に発見されたのち、9月にマスコミで話題になった。 このワームは 4つのゼロデイ脆弱性を悪用するほか、Realtek および Jmicron が発行する有効な証明書を悪用する。

Stuxnet がここまで騒がれた理由は、その攻撃になるターゲットにある。
Stuxnet の目的は、スパムの配信やユーザの個人情報の盗用ではなく、 産業システムのシステム制御の攻撃である。 従来のプログラムとは根本的に異なる次世代のワームが登場したことにより、 サイバーテロの可能性を示唆している。

Kaspersky Lab のVitalyK氏によると、日本はすでにGumblar感染の危険性は無くなったとの報告があった。

報告の主旨は以下の通りである。

2009年の春から、Gumblar感染の危険性が騒ぎになっていた。
とりわけ日本は

(1)Gumblar感染で世界でトップ5に登録されていた。
(2)他国に比べれば、日本ではローカルなウイルス感染が比較的少ないため、
Gumblar感染が即時に広まり注目を浴びた。

しかし、最近のGumblarスクリプトを解析した結果、IPが日本であれば、 感染しないようにコードが記述されていることが判った。
同様に、FTPサーバへの感染の危険性が全く無くなった。

人騒がせなGumblarもしばらくは安心らしい。

(出典)
カスペルスキーブログサイト20100504

Gumblar亜種に続くPegelの感染が報告された。

Gumblar攻撃に続き、Web誘導型のマルウェアPegelによる国内大手企業サイトへの感染が確認されています。
改竄された正規サイトを閲覧した場合、不正なサイトに誘導しGumblarより感染拡大がより強いのが特徴。

[感染後の挙動]
• FTP アカウント情報の取得
• BotNet への参加
• 偽アンチウイルスソフトウェアのインストールによるクレジットカード情報などの窃取
• スパムメールの送信
• マルウェア自体のアップデート
• ルートキットによる隠ぺい

[対策]
• Windows のアップデート
• Adobe 製品のアップデート
• IE での JavaScript、ActiveX の OFF
• Adobe Reader での Acrobat JavaScript の OFF
• 対応しているアンチウイルスソフトウェアの導入
• JRE の最新版へのアップデート、JRE が必要ない場合は明示的なアンインストール

(出典)
カスペルスキーNEWSサイト

最近相次いで　GUMBLAR　による被害が報告されている。

クライアントが感染したWEBサイトのページを開いたことで、 JavaScriptを実行しAdobe PDF/Flashの脆弱性を使って、 FTPのパスワードや個人情報をとりだす。

この情報からWEBサイトが改竄され、自分のサイトがGUMBLARを配布するサイトになる可能性がある。

これまでにもセキュリティガイドラインで指摘されていた事ではあるが、 WEBサイトが改竄される可能性として、FTPやTELNETなどのサービスを使う場合は 限定的にするか使わないのが好ましいとされてきた。 敢えてセキュリティリスクがあるサービスはサーバ運用上極力制限するのが好ましい。

GUMBLAR ウイルスに感染する一次感染経路がWEBアクセスというのも最近のトレンドになってきており、 見知らぬサイト、スパムメールで誘導されるサイト、ブラウザなどで警告があったサイトなどは アクセスしないことが推奨されます。

GUMBLARにより改竄されたWEBサーバで、アクセスしてきたユーザを他のサイトに誘導するコード (Java Script)に関してはKaspersky エンジンで検出可能です。

PDF/Flashファイルの感染を検知(Kaspersky)した例を下記に掲載します。

PDFファイル
http://www.virustotal.com/analisis/ee7bb464c400ee733f64fee49a97e75de96ca200875d96df874ff54675ca47b0-125680823

FLASHファイル
http://www.virustotal.com/analisis/aeda3d51f836218877db1788e5ab256828f7ac7ae0ae651a44b4e591098fc3f3-125680839

(参考)
http://www.just-kaspersky.jp/products/info/alert_gumblar.html

前回の報告から、ウイルス付きスパムメールの大量配信が、
依然として収まる気配が見られない。
前月中旬頃からMicrosoft社のサポートメールと見間違う
内容のウイルス付きスパムメールの配信が多くなっている。
添付ファイルを解凍・実行すると、外部よりマルウェアをダウンロードし
ユーザのシステム環境にインストールする。

このような送信者詐称メールについては、JPCERT/CCなど、
感染の危険性について注意を促す情報公開をおこなっている。
詳細については、下記JPCERT/CC の公開情報を参照のこと。
http://www.jpcert.or.jp/at/2009/at090022.txt

件名が、
「Microsoft Outlook Notification for the XXXX@XXXXXX.jp」
あるいは、
「Conflicker.B Infection Alert」

"Conflicker.B Infection Alert"を件名にする
ウイルス付きスパムメールは、現在においても配信が
継続されているため、このような件名のメールを受信しても
参照しないように気を付ける必要がある。


上記以外では、前回から引き続き同じ件名の
ウイルス付きスパムメールが断続的に配信されている。

10/16 〜 11/16 午前までに配信されたウイルス付きスパムメールでは、
以下の内容のサブジェクトが多かった(件数順)。
同じサブジェクトであっても、添付されるウイルスが異なることがあり、
件名のみでは、感染の危険度は同じではないので注意が必要だ。

・get back to my office for more details : 220件
・Microsoft Outlook Notification for the xxx@xxxx.xxxx : 153件
・Congratulations : 149件
・Greetings : 117件
・Contract of Settlements : 107件
・Fedex Tracking N5421062126 : 75件
・DHL Tracking Number : 62件
・Conflicker.B Infection Alert : 60件
・UPS Delivery Problem : 57件
・You've received a postcard : 36件

以下は、ウイルス付きスパムメールに添付されていた圧縮ファイル名の一覧。

install.zip : 434件
info.zip : 220件
contract_1.zip : 214件
winner.zip : 150件
TR768212.zip : 150件
3YMH6JJY.zip : 146件
inv.zip : 114件
ecard.zip : 74件

年末年始に向けて、ウイルス付きスパムメールの配信は更に増加する可能性が
考えられる。送信元に見覚えのない添付ファイル付きメールや、
個人のメールアドレスを通知していない企業（を語る可能性を感じる場合）
からの添付ファイル付きメールは参照しないように気を付ける必要がある。
例年のことではあるが、クリスマスや新年にちなんだ英文のサブジェクトを含む
スパムメールにも注意が必要である。

2009年5月はスパムメールの送信（受信）が活性化に転じたと
分析するセキュリティアナリストの報告があった。
このような傾向は、botnetの活性化が原因である場合が多い。
9月中旬、15日前後を境にウィルス付きスパムメールが急激に増加し、
botnetの一部と見られる世界中のゾンビPCから送信されている。
この状況は現在も継続しており、botnet のゾンビPCが活発に
活動していることが考えられる。
ゾンビPCから送出されるウィルスメールのウィルスは、
外部へのバックドア作成 → トロイの木馬 のパターンを繰り返す傾向が
見られるものもあった。
添付されるウィルスが短期間で変わっていく事も特徴の一つである。
これらの被害にあわないためには、同一のサブジェクトのメールが
大量に送られてきた場合、メールを参照しないことが重要。
また、参照してしまった場合でも、添付ファイルは展開しないことが重要。

以下、9/15〜10/16の約1ヶ月に弊社に届いたウィルス付きスパムメールの
集計結果である。


集計期間：
2009/09/15- 2009/10/16

Subject 分類
(1)Thank you for setting the order No.475456 (861件)
(2)You've received a postcard (228件)
(3)Microsoft Outlook Notification for the xxx@domain (39件)
(4)A new settings file for the xxx@domain has (17件)
(5)DHL tracking number xxxxx (5件)
(6)Western Union! You should receive money! Order NR.5418 (3件)

添付ファイルの内容　(すべてzipファイル)
(1)intsall.zip(358件)
(2)open.zip(295件)
(3)nz.zip(253件)
(4)ecard.zip(211件)
その他　zip(xxx.zip)

検出ウイルスの分類：
(1)Backdoor.Win32.Small.xx (441件)
(2)Trojan-Downloader.Win32.FraudLoad.xx (376件)
(3)Trojan.Win32.Vilsel.xx (288件)
(4)Trojan-Downloader.Win32.Murlo.xx (253件)
(5)Packed.Win32.Krap.xx (130件)
(6)Backdoor.Win32.UltimateDefender.xx (30件)
(7)Trojan.Win32.Inject.xx (27件)
(8)その他
  Trojan-Spy.Win32.Zbot.xx(4件)
  Trojan.Win32.BKClient(4件)
  Trojan.Win32.Tdss.xxf(3件)
  Backdoor.Win32.Bredavi.xx(1件)

　マイクロブログサービスの米Twitterや大手ソーシャルネットワーキングサービス（SNS）の米Facebookが8月6日、集中的なサービス妨害（DoS）攻撃を受けて一時的にダウンした。
同時期にGoogle や　ブログサイトのLiveJournalも攻撃を受けていたことが報告されている。

同時に広範なDoS攻撃を仕掛けるには、通常ボットネットを利用して無数のコンピュータから攻撃したと考えられる。しかし実際に大規模な攻撃にはそれなりの通信帯域とパワフルなコンピュータを集約するのはむずかしい。

ロシアのセキュリティ企業カスペルスキー社は6日のブログで、このマルウェア攻撃に使われていたKoobfaceが手口を変えて復活したと伝えた。
6月、7月に急激にKoobfaseの亜種が増大しており、今回の攻撃の前兆があったことを報告している。このKoobfaceは Facebook、MySpace、Twitter で増殖しているという。今年はとりわけこの手のサイバー犯罪が増える事を危惧しているようだ。

　今回の手口は「My home video :) 」という文面のつぶやきがばらまかれ、悪質なリンクを掲載。これをクリックすると、Facebookそっくりに見せかけたページにつながり、動画を見るためにFlash Playerのアップデートが必要だと称してマルウェアに感染させようとする。

　カスペルスキー社は、Twitterが導入した対策で一部の攻撃は食い止められても、問題の根本的な解決にならなかったのは明らかだと指摘している。Koobfaceと今回のDoS攻撃との関連は現時点では不明だが、少なくともKoobfaceが感染拡大のために使っていたURLは遮断されたという。

IPA の情報セキュリティ白書2009 によると、最近では以下の セキュリティに関する10大脅威があるとの報告があった。

■組織への脅威
1. DNS キャッシュポイズニングの脅威
2. 巧妙化する標的型攻撃
3. 恒常化する情報漏えい
■利用者への脅威
1. 多様化するウイルスやボットの感染経路
2. 脆弱な無線LAN 暗号方式における脅威
3. 減らないスパムメール
4. ユーザ ID とパスワードの使いまわしによる危険性
■システム管理者・開発者への脅威
1. 正規のウェブサイトを経由した攻撃の猛威
2. 誘導型攻撃の顕在化
3. 組込み製品に潜む脆弱性

総合で第一位であったのが、DNS キャッシュポイズニングの脅威。
最近では、7月29日DoS攻撃対応の緊急パッチが更新された。 システム管理者の注意と対策が必要となる。

第二位が正規のウェブサイトを経由した攻撃でSQLインジェクション。
これはアプリケーション作成時の注意なので、WEBサイト構築での 十分な検討が必要となる。

第三位は、巧妙化する標的型攻撃。
人間の心理・行動の隙を突くことで 情報を不正に取得する「ソーシャル・エンジニアリング」の手口を利用し、 ソフトウェアの脆弱性を利用したウイルスなどを配布するなど巧妙な手口 が用いられるので特に利用者、システム管理者が注意を払う必要がある。

(出典)
IPA

2009年6月 のWebページで検知されたマルウェアおよび Webページからのロードを試みたマルウェアの統計トップ10は以下の通り。

1 Trojan-Downloader.JS.Gumblar.a 27103
2 Trojan-Downloader.JS.Iframe.ayt 14563
3 Trojan-Downloader.JS.LuckySploit.q 6975
4 Trojan-Clicker.HTML.IFrame.kr 5535
5 Trojan-Downloader.HTML.IFrame.sz 4521
6 Trojan-Downloader.JS.Major.c 4326
7 Trojan-Downloader.Win32.Agent.cdam 3939
8 Trojan-Clicker.HTML.IFrame.mq 3922
9 Trojan.JS.Agent.aat 3318
10 Trojan.Win32.RaMag.a 3302

第1位は、トロイの木馬系ダウンローダである Gumblar.a。このダウンローダの動作メカニズムは、ドライブバイダウンロードの典型的な例と言えます。
Gumblar.a は、容量の小さい、暗号化されたスクリプトで、ユーザを悪意あるサイトに誘導後、システム上の脆弱性を利用し悪意ある実行ファイルをダウンロードし、ユーザの PC にインストールします。実行ファイルはシステム上で実行されると、ユーザの Web トラフィックを操作し、Google の検索結果を改ざんするほか、FTP サーバ用のパスワードを探して FTP サーバに感染します。
結果として、感染したサーバからなるボットネットが構築され、サイバー犯罪者はこのボットネットを通してありとあらゆるマルウェアをユーザの PC にダウンロードさせることができるようになります。感染したサーバは膨大な数に及ぶ上、アンチウイルスにより保護されていないPCの感染が続きます。

同じくドライブバイダウンロードの例として、第三位のトロイの木馬系ダウンローダの LuckySploit.q があります。
これは巧妙に難読化されたスクリプトで、まずユーザが使用しているブラウザの設定情報を入手してから RSA 公開鍵を使用して情報を暗号化したのち、悪意あるサイトに送ります。情報はサーバ上で RSA 秘密鍵を使用して復号化され、割り出された設定情報をもとにスクリプト一式がユーザに送り返されます。スクリプトは PC 上の脆弱性を悪用して、マルウェアをダウンロードします。とりわけ、この複数の通信路の組み合わせが、ブラウザの情報を収集する最初のスクリプトを分析する上で重大な障害となっています。特に、復号化を行うサーバにアクセスできない場合、これらのサーバがどのようなスクリプトを送り返すのかを割り出すのはいかなるケースでも不可能です。

多くのマルウェアが、大手メーカーのアプリケーションの脆弱性を悪用しています。Adobe Flash Player および Adobe Reader がそのターゲットにされています。当然Microsoftの製品も主要なターゲットとされています。

Web サイトを通じて最も多く感染の試みが観測された国の国別シェアでは中国(56%)ロシア(6%),アメリカ(5%)で中国サイトでの感染がダントツ。

(出典)
http://www.kaspersky.co.jp/news?id=207578773

最近はメールよるウイルス感染が激減(2008年11月以降)しており、スパムも減って快適な環境になってきた。
表面的にはセキュリティリスクは低くなっているかのように思えるが、実は潜在的なリスクが高まっていることを警告している記事があった。
これまでの流れから判断すると、近い将来のセキュリティリスク対策につながる糸口がある。

サイバー犯罪者は、ハッキングしたPCから以下の攻撃を仕掛ける。
[ウェブホスト乗っ取りによる利用]
・フィッシングサイト
・マルウェアダウンロードサイト
・海賊版ソフトウェア、映画のサイト
・児童ポルノサイト
・スパムサイト

[ボットネットのゾンビ利用]
・大量スパムメールのリレー配信
・大量アクセスDoS攻撃による金銭奪取
・広告主から金を取るクリック詐欺
・ウェブアクセス経路変更するプロキシサーバ
・キャプチャ(CAPTCHA)技術をつかって、人的操作部分を検知

[電子メール/WEBメール攻撃]
・電子メールのアドレス収集(スパム配信、フィッシング攻撃のため)
・ウェブメールアドレス・パスワードを取得
・ウェブメールアカウント情報からその友人の関連情報を取得してアカウント情報を取得
・ウェブメールアカウント情報からその友人に金銭を要求

[アカウント個人情報の奪取]
・eBay/Paypalなどの個人情報を奪取し偽装オークション出展。Skypeなどの個人情報から犯罪者の位置偽装や情報傍受に利用
・ウェブサイトの管理者権限を奪取することで、有害なプログラムを実行する
・個人情報から、企業の認証情報を奪取する

[ネット取引情報奪取]
・コンピュータゲームのライセンスキーや、アクセスキーからネット上で金銭を収集

[銀行カードなどの情報奪取]
・銀行カードの情報やパスワード情報奪取はまさに氷山の一角で、株の取引や年金などの情報を奪取することが可能

上記のように、インターネットアクセスに必要な情報、個人が保有するパスワードなどの奪取により、なりすましの犯罪が横行していることが伺える。
個人のPCがハックされると、インターネット上で大きな影響が多岐に渡ることが懸念される。また、サイバー犯罪者により、ハックされた無実のPCの情報が加害者になる可能性がある。

(出典)
http://blog.washingtonpost.com/securityfix/

2008年からスパムの数は低減傾向にあったが、2009年の3月初めて40%*を下回り、前月から7%減の34%になった。
スパム配信元は、中国(13%)、日本(11%)、台湾(8%)、韓国(7%)の順となった。
今後は、日本のプロバイダでのスパム対策を期待したいところだ。
景気後退の影響で減ったとは考え難いが、スパムメールに対する認識が定着化したとも考えられる。
*総受信メールに占めるスパムメールの割合
*上記の情報は当社が調査している日本でのスパムメール配信の解析結果です。

昨年(2008年)の11月、米国カリフォルニアにある迷惑メール送信業者「マコロ」のインターネット接続がISPに遮断されてから，スパムとボットネットに大きな変化があった。

以下のリストは、日本で受信しているスパム全体で40%以上占める主要国順位である。
2008-06 中国,アメリカ,ロシア,韓国
2008-07 中国,韓国,ロシア,アメリカ
2008-08 中国,アメリカ,韓国、ロシア
2008-09 アメリカ,中国,韓国、ロシア
2008-10 中国,ロシア,アメリカ、韓国
2008-11 イギリス,中国,韓国、ロシア
2008-12 中国,台湾,韓国,ブラジル
2009-01 中国,台湾,韓国,ブラジル

明らかに、昨年11月からアメリカ、ロシアからの配信が減り、 台湾、ブラジルが替わりに配信国として日本のユーザに配信している。
同時にボットネット配信拠点の配信国が少なくなり、約30%程縮小化傾向にある。
アジア圏の割合が増えてきているのも特徴で、日本も本年になってスパムの主要な配信国(5位)になった。

*上記の情報は当社が調査している日本でのスパムメール配信の解析結果です。

Washington Postのセキュリティブログ「Security Fix」Brian Krebs氏の報告によると、 スパムメールやマルウェアを大量に配布していた米国の業者がインターネットサービスプロバイダー（ISP）に接続を遮断され、 その結果、スパムメールの流通量が激減した。

接続を遮断されたのは米カリフォルニア州サンノゼのMcColo Corpという業者。

また、スーパースパムボットと言われる「Srizbi」をはじめ全世界のSPAM配信プログラムの80%近くをMcColo が運用していた。 以下がその配信リストだ。()内の%は全世界のスパム配信プログラムに占める割合を記載。

(1)Srizbi (36.1%)
記述:
配信サイト:
208.66.195.172
208.72.168.144
208.72.169.110
208.72.169.2
208.72.168.85
208.72.169.212
(2)Mega-D/Ozdock (20.7%)
記述:
配信サイト:
208.69.32.132
(3)Rustock 17.6%
記述:
配信サイト:
208.72.169.54
208.72.169.55
208.66.194.2
208.66.194.14
(4)Pushdo/Cutwail (7.1%)
記述:
配信サイト:
208.66.194.232
208.66.194.240
208.66.195.15
208.66.195.71
(5)Warezov
記述:
配信サイト:
208.72.169.2
(6)Asprox
記述:
配信サイト:
208.69.32.132

また、以下のリストはMcColoが運営していた薬販売偽装サイトの例

Ambien-plus.com Canadianpharmacycorp1.com
Canadianpharmacycorp10.com Canadianpharmacycorp2.com
Canadianpharmacycorp3.com Canadianpharmacycorp4.com
Canadianpharmacycorp5.com Canadianpharmacycorp6.com
Canadianpharmacycorp7.com Canadianpharmacycorp8.com
Canadianpharmacycorp9.com Onlinepharmacysolutions-a.com
Onlinepharmacysolutions-b.com Onlinepharmacysolutions-c.com
Onlinepharmacysolutions-d.com Rxclubdiscount.net Rxclubdiscount.org
Valium-plus.com Xanax-plus.com 5-easysteps.com Ambienplus.com
Onlinepharmacyltd-a.com Onlinepharmacyltd-c.com
Onlinepharmacyltd-n.com Onlinepharmacyltd-q.com
Onlinepharmacyltd-x.com Onlinepharmacyltd-y.com
Onlinepharmacyltd-z.com Rx-club.biz Rxclub.biz Rxdiscountcenter.biz
Valiumplus.com Vanebol.com Cam2girl.net My-support-area.com
My-support-central.com My-support-city.com My-support-clients.com
My-support-home.com My-support-house.com My-support-manager.com
My-support-page.com My-support-pharmacy.com My-support-place.com
My-support-system.com My-support-ticket.com P0llko.com
High-quality-viagra.com Online-pills-shop.com Belovedpills.com
Choiceforonline.com Desiredmeds.com Easilygenerics.com
Easilymeds2.com Mybestdrug.com Openpills.com Pay4pills.com
Pills-pay.com Pills24.biz Rxmania.biz Rxmania.com Topqualitymeds.com

(出典)
http://voices.washingtonpost.com/securityfix/

尚、当社サイトでの2008年11月13日のスパム数をみると、同月平均の58%に激減していることが判った。 日本にも影響があったように思える。スパム配信業者はそのうち別なサイトに移動するだろうと思われるので、一時的な現象かもしれないが、しばらくはスパムが減ることは歓迎だ。

ウイルスがここにきて急増している。ここ数日当社で検知したウイルスの数は20件以上になる。

集計してみた結果、その種類はわずか５種類と意外に少ない。ほとんどがトロイの木馬である。トロイの木馬は、実行できるプログラムをサイトからダウンロードさせ、ダウンロード先のPCに感染するタイプで、感染すると個人情報やパスワード情報などを外部に流すものが多い。

最近ウイルスの特徴として、スパムの配信ネットが利用されていることだ。同じウイルスが時同じく受信するのはその結果である。ウイルス配信がスパム配信同様に組織だって行われているようである。

ここ数日で送られてきたウイルス名
------------------------------------
Trojan-Downloader.Win32.Agent.algj
Trojan.Win32.Pakes.lin
Trojan-Spy.Win32.Zbot.fql
Backdoor.Win32.Hijack.e
Trojan.Win32.Agent.akoq
------------------------------------
(当社調べ）

　2008年4月8日（米国時間）米国サンフランシスコで開催中の「RSA Conference」基調講演で、チャートフ長官*は，「国としてもサイバー・セキュリティ上の脅威に対応する必要がある。そのためにも政府は民間と技術やスキルを幅広く共有していきたい」なぜならば、

「サイバー攻撃は，すべてのシステム，コンピュータを標的にする。個人情報や経済的な情報を狙うだけでなく，システム・ダウンを目的とするものもある」と述べた。

*米国土安全保障省（U.S. Department of Homeland Security，略称DHS）マイケル・チャートフ長官
(出典)
http://itpro.nikkeibp.co.jp/article/NEWS/20080409/298572/

　広く知らされていない事実だが、サイバー攻撃により、ある国のインターネット通信が不通になったことが報告されている。 　またサイバー攻撃に使われるボットサーバを配信者に販売するといった取引もおこなわれており、公然とC2C(Claimer To Claimer)市場が形成されているようだ。

　当社の調査では、約170万サーバ中、ボット化しているサーバが約31万件(調査対象全体の18%)に達していることがわかった(2008年１月時点）。もし、全世界で10%のボットサーバからサイバー攻撃があった場合、相当な影響がある可能性がある。検索サービスのみならず、メールや多くの通信ができなくなる可能性があり、国家的な対策も必要になりそうだ。

スパム配信がどこからおこなわれているかその調査結果を報告する

当社の調査(2007年1月および2月に受信したスパムメールを元に解析)から、スパムメールは多くはボットネットからの配信であることが判る。以下の分布をみると、第一位は中国(58.4%)、アメリカ合衆国(8%)、韓国(4.5%)、日本(3.6%)、台湾(2.7%)、インド(2.6%)、フィリピン(2.4%)、マレーシア(1.6%)、スペイン(1.4%)、フランス(1.4%) と続く。合計100カ国以上の全世界のボットネットから配信されていることがわかった。

次にスパム本文に記載されているURLがどこの国のサーバで運用されているかを調べてみた。結果、第一位はアメリカ合衆国(56%)、ブラジル(14.9%)、日本(6%)、ロシア連邦(4.9%)、中華人民共和国(4.3%)、フィリピン(3.2%)、西サモア(3%)、イギリス(1.7%)、香港(0.9%)、オランダ(0.9%)と続く。意外な国でスパム誘導サイトが掲載されていることが判る。

次にスパムになったメールでブラックリストに登録されている国順でみると、 第一位は中国(46%)、韓国(17%)、日本(11%)、台湾(9%)、インド(6%)、フィリピン(5%)、タイ(2%)、ベトナム(2%)、マレーシア(1%) オーストラリア(1%)と続く。