世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。2011年も早々から、セキュリティインシデントが見受けられる。これらの中には、2011年を代表するものもあるかもしれない。

 英ソフォスは、モバイルOS「Android」に感染するトロイの木馬「Troj/Geinimi-A」(別名「Geinimi」)を見つけた。感染したモバイル端末はデータを盗まれるといった被害に遭うそうだ(「Geinimi Android Trojan horse discovered」)。

 ただしGeinimiに関しては安心材料もある。米グーグルの公式アプリ販売/配布サイト「Android Market」では配られていないことだ。ユーザーが怪しげな場所から汚染されたアプリケーションやゲームを入手し、危険を冒して端末にインストールして初めて感染する。また米ルックアウト・モバイル・セキュリティによると、Geinimiは中国の非公式アプリストアでしか見当たらない(ルックアウトのブログ記事)。

 とはいえ、Androidユーザーは用心を怠るべきではないという。Androidは米アップルの「iPhone」「iPad」用OS「iOS」よりも極めて「オープン」なため、非公式アプリケーションをインストールする際のハードルが低いからだ(関連記事:Androidのセキュリティで注意すべき点)。

 さらに、攻撃が特定のOSに限られない可能性も考慮しよう。例えばフィッシングの攻撃対象はクリックするURLをろくに確認しない不用心なユーザーであり、OSの種類とは関係ない。脅威の中には、スマートフォンのOSに一切触れることなく「Webブラウザーのなか」に限定されていたり、ソーシャルネットワーク内だけで広まったりするものも増えている(関連記事:Android、WebOS、iOSに共通する弱点)。

「Waledac」とよく似たP2Pボットネット

 ロシアのカスペルスキーラボによると、新たなP2Pボットネットが活動を始めた(「New P2P Botnet Arising」)。かつて猛威を振るい、マイクロソフトが2010年初めにとった対策で沈静化したボットネット/ワーム「Waledac」と共通点があるそうだ(関連記事:Microsoft,ボットネット「Waledac」の通信遮断で「大きな成果」)。カスペルスキーラボは、特に新ボットネットの防御手段を解説している(関連記事:「Waledac」パート2:起動処理と防御策)。

 新しいボットネットのノードはWaledacと異なるコードを使っているのだが、同じ感染拡大手段をとり、同様の多階層インフラを利用している。解析の結果、P2P的な振る舞いをするボットネットであったという。

 このボットネットはFast-Fluxと呼ばれる防御手段を採用し、マルウエア配布用ドメインのIPアドレスを短い時間間隔で変更している(関連記事:攻撃の高度化,「Fast-Flux」から「RockPhish」まで――その1)。カスペルスキーラボが全12ドメインのうち5ドメインのIPアドレスを5時間にわたって調べ、1分間にどれだけ異なるIPアドレスが返されるか集計したところ、以下のグラフが得られたという(IPアドレス数を示す線の色はドメインごとに異なる)。ここからは、異なるドメインでもIPアドレス数は同じように増減しており、ドメイン間に強い結びつきのあることが見て取れる。カスペルスキーラボは、全ドメインを一元管理するマシン群の存在を疑っている。