Tweet

トレンドマイクロが2009年の不正プログラム動向を総括

Gumblar対策には「アクセスコントロール強化を」

2010/01/07

　トレンドマイクロは1月7日、不正プログラムの傾向と対策をテーマとした報道向けセミナーを開催した。同社Threat Monitoring Center課長の飯田朝洋氏は、不正プログラムにおいてUSBメモリなどを悪用する手段が「常套（とう）化」していること、正規のサイトを改ざんして感染を試みる「Gumblar」ウイルスが増加していることなどに注意を呼び掛けた。

トレンドマイクロ Threat Monitoring Center 課長 飯田朝洋氏

　同社に寄せられた不正プログラム感染被害の報告数は、前年の5万6880件から20％以上減少し、4万5310件にとどまった。

　USBメモリを媒介とするウイルスは、2008年に続き猛威を振るっている。その代表である「OTORUN（オートラン）」は、前年同様ワースト1位となり、報告数も3617件に登った。「企業はゲートウェイやエンドポイントなど、何重にもアンチウイルスの対策を導入しているが、USBメモリを悪用するウイルスは、いきなりのど元にナイフを突きつけるようなイメージで、ゲートウェイを通り越してやってくる」（飯田氏）。2010年も引き続き注意が必要なタイプだという。

　2つ目に挙げたのは、Windowsの脆弱性に加え、前述のUSBメモリやパスワードクラックなど、複数の手法を使って感染する「DOWNAD」が、特に企業で流行を見せていることだ。その理由として飯田氏は、個人よりもむしろ企業においてパッチ適用が難しいからではないかと推測している。「サーバに影響が生じてサービスが継続できないことを懸念する結果、企業では、最新のパッチを当てにくいのではないか」（同氏）。

Gumblar対策にはアクセスコントロール強化を

　3つ目はいまも話題となっているGumblarだ。Webサイトを改ざんして不正なサイトに誘導するスクリプトを埋め込み、アクセスしてきたPCに脆弱性が残っていれば、ウイルスに感染させる。現に、2009年度の不正プログラム感染被害報告数ランキングでは、4位に「KATES」、8位に「SEEKWEL」というGumblar関連のウイルスが顔を出した。

　飯田氏によると、正規のサイトが改ざんされる手法はいくつかある。うち3〜4割を占めるのは、ウイルスに感染したPCからアカウント情報を盗みだし、正規のユーザーになりすましてFTPでサーバに接続し、サイト内のページを丸ごと書き換えてしまう方法だ。「感染による負のスパイラル」（同氏）が起こっているという。またそれ以外に、SQLインジェクションによるものと見られる改ざんもあるという。

　これに対して同社は、まずFTP接続時の認証を強化し、電子証明書など、ベーシック認証以外の手段を採用することを対策として挙げた。ただ、「こうした手段が浸透すれば、今後は証明書を盗み出そうとするウイルスが登場するだろう。そう考えると認証の強化は、一時的な対策にしかならない。より根本的には、アクセスコントロールを確実に行うことが必要だと考えている」（同氏）。もちろん、Webアプリケーションの脆弱性を修正するなど、それ以外にも対策を取るべき項目は多いという。

　飯田氏はまた、クレジットカード番号だけでなく、メールアドレスやアカウント情報など、あらゆる個人情報が売買の対象になる「ブラックマーケット」が成立しており、それゆえにウイルスはどんどん増加していると述べた。2010年も、不正プログラムの増加傾向は続くだろうと予測する。

　これは、ベンダによるパターンファイル更新頻度を上回るペースで亜種・新種が登場していることを意味する。未知のウイルスに対する防御は、パターンファイルに基づくウイルス対策製品だけでは限界がある。

　このことを踏まえて飯田氏は、有害なサイトへのアクセスをブロックするWebレピュテーションといった、ウイルス対策を補完する技術を使ってほしいと呼び掛けている。これは、セキュリティ対策コストの増加にもつながるが、「こうしたウイルスに感染すると、ただ被害者になるだけでなく、加害者となってしまう恐れがある」（同氏）ことから、ぜひ対策の手をゆるめないでほしいと述べた。