今週のSecurity Check

 2011年4月18日頃、日本IBMの東京セキュリティー・オペレーション・センター(東京SOC)ではSpyEyeと呼ばれるウイルスに感染したクライアントPCの増加を検知した(参考情報)。SpyEyeとは、感染したクライアントPCから銀行の口座情報やクレジットカード情報を盗み出すウイルスである。このウイルスは、オンラインバンキングに関連する情報を盗み出す以外にも、バックドア機能やキーロガーなど様々な機能が搭載されていることから非常に危険なウイルスとして知られている。

 SpyEyeウイルスを作成するツールはアンダーグラウンドで売買されており、GUIを利用して簡単に作成できてしまう。このツールは、頻繁にバージョンアップされており、東京SOCで確認した感染の拡大は、調査の結果以下のSpyEyeバージョン1.2.80作成ツールによって作成されたと考えられる。

 東京SOCでは、4月18日以降このウイルスに感染したクライアントPCのWindowsバージョンと、Microsoft Internet Explorerのバージョンを調査した。

 まず、感染したクライアントPCのInternet Explorerのバージョンの内訳を紹介する(図1)。

図1●SpyEyeウイルスに感染したクライアントPCのInternet Explorerのバージョン
図1●SpyEyeウイルスに感染したクライアントPCのInternet Explorerのバージョン
(東京SOC調べ:2011年4月18日~2011年5月18日)

 最も感染が多かったのは、バージョン6を利用しているクライアントPCである。Internet Explorer 6はGoogleやYahoo! Japanなどの大手ポータルサイトでサポート終了の方針が打ち出されており、マイクロソフトも使用の停止を呼びかけている。マイクロソフトの発表では、2011年5月現在日本でのInternet Explorer 6の使用率は7.1%となっている。にもかかわらず、感染PCのほぼ4分の3がInternet Explore 6を使用していたというのは驚くべき事実である。

 SpyEyeウイルスが感染時にInternet Explorer 6固有の脆弱性を利用することは確認されていない。しかし、Internet Explorer 6を現在も利用し続けている環境では、その他のアプリケーションもアップデートされずに脆弱性が放置されたままになっており、システムを更新し続けている環境と比べるとウイルスに感染しやすいのではないかと考えられる。

 次に、感染したクライアントPCのWindowsバージョンの内訳を紹介する(図2)。

図2●SpyEyeウイルスに感染したクライアントPCのWindowsバージョン
図2●SpyEyeウイルスに感染したクライアントPCのWindowsバージョン
(東京SOC調べ:2011年4月18日~2011年5月18日)

 最も感染が多かったのは、Windows XP SP2である。Windows XP SP2は、2010年7月13日にサポートが終了している。このようなサポート切れのOSを利用しているクライアントPCでは、インストールしているその他のアプリケーションにも脆弱性が放置されたままになっていることが予想される。そのため、このような環境で、ウイルスに感染する事例が多かったことが考えられる。

 さらに今回の調査では、最新のWindows OSであるWindows 7にもSpyEyeウイルスが感染していることが確認された。最新のOSを利用していても、ウイルスはクライアントPCにインストールされたAdobe ReaderやJavaなどの脆弱性を悪用して感染する。そのため、このようなアプリケーションに脆弱性が放置されていれば、Windows 7でも感染してしまう可能性があることが分かる。

 古いバージョンのアプリケーションや、サポート切れのOSを利用し続けている環境では、SpyEyeウイルスに限らず様々なウイルスに感染してしまうリスクが高まることは、言うまでもないことだろう。

 もしも、サポート切れのOSを使用しているのであれば、一刻も早くアップグレードすることをお勧めする。また、Adobe ReaderやAdobe Flash、Javaを含め、サードパーティーアプリケーションに関しても最新のバージョンにアップデートすることを忘れないようにしてほしい。

 様々な機会に、Windowsへのパッチ適用やアプリケーションのバージョン管理の重要性が言われているが、まだ古いバージョンをそのまま使い続けているユーザーは存在する。あなたのPCは大丈夫だろうか。あなたの周りにサポート切れのOSや古いアプリケーションを使い続けている人はいないだろうか。もしも、そのような人がいたら、アップグレードするように勧めていただきたい。

 また組織によっては、古いバージョンを使い続けなければいけない理由があるかもしれない。そのような場合は、リスクがあることを認識したうえで、クライアントPCのアクセス先を業務に必要な範囲に制限するなどのリスクを低減する対策の検討をお勧めする。

朝長 秀誠
日本アイ・ビー・エム セキュリティー・オペレーション・センター
セキュリティー・アナリスト

 「今週のSecurity Check」は,セキュリティに関する技術コラムです。日本アイ・ビーエム マネージド・セキュリティー・サービスのスタッフの方々を執筆陣に迎え,同社のセキュリティオペレーションセンター(SOC)で観測した攻撃の傾向や,セキュリティコンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)
■IBM Security Servicesが提供するネットワークセキュリティの最新情報はこちら