写真1●米Symantec Security ResponseのKevin Hoganシニアマネージャ
写真1●米Symantec Security ResponseのKevin Hoganシニアマネージャ
[画像のクリックで拡大表示]
写真2●セキュリティ上の脅威の構図は2007年から変わらず
写真2●セキュリティ上の脅威の構図は2007年から変わらず
[画像のクリックで拡大表示]
写真3●Webサイト経由の攻撃でPDFの脆弱性を突くケースが急増
写真3●Webサイト経由の攻撃でPDFの脆弱性を突くケースが急増
[画像のクリックで拡大表示]
写真4●シグネチャ急増の理由は「一つの攻撃に関わるウイルスが増えているためではないか」(Kevin Hoganシニアマネージャ)
写真4●シグネチャ急増の理由は「一つの攻撃に関わるウイルスが増えているためではないか」(Kevin Hoganシニアマネージャ)
[画像のクリックで拡大表示]
写真5●脅威の絶対数は人口が多くブロードバンドの普及率が高いアジア圏が突出
写真5●脅威の絶対数は人口が多くブロードバンドの普及率が高いアジア圏が突出
[画像のクリックで拡大表示]

 シマンテックは2009年4月16日,2008年1~12月期におけるセキュリティ上の脅威を分析した「インターネットセキュリティ脅威レポート第XIV号」(ISTR)に関する説明会を開催。「2009年はPDFやWebブラウザのプラグインの脆弱性を突く攻撃が増える」「検知数の急増は攻撃ファイルの分業が進んだため」といった分析結果を明らかにした。

 米Symantec Security ResponseのKevin Hoganシニアマネージャ(写真1)は総括として(1)2007年と2008年の基本的な傾向は同じ,(2)2009年はPDFとWebブラウザのプラグインに注意,(3)検知数の増加と攻撃数の増加はイコールではない,などの分析結果を披露した。

 (1)の基本的な傾向とは,金銭目的のフィッシング行為などが引き続き主な脅威となっている状況を指したもの(写真2)。フィッシング・サイトは,2008年に5万5389サイトを観測。狙われるのは金融機関のサイトが中心で,フィッシング・サイト全体に占める金融機関を標的としたサイトの割合は,2007年の52%に対して2008年は76%と急増した。ただし「2008年の半ばから誘導経路がスパムメールではなく正規の一般サイトにシフトしつつある。偽装したフィッシング・サイトにユーザーを呼び寄せるのではなく,一般のサイトを乗っ取るのがトレンド」(Kevin Hoganシニアマネージャ)という。

 (2)の「PDFおよびWebブラウザのプラグインについての注意」は,これらの攻撃手法がWebサイトを利用した攻撃として突出した存在になりつつあるため(写真3)。Kevin Hoganシニアマネージャは「Webブラウザのプラグインを狙った攻撃手法のトップとなっている(Internet Explorerからローカル・ファイルを読み書きする)ADODB.Streamの脆弱性は2005年以降継続して狙われている定番。一方,PDFファイルによる攻撃は集計期間の最後2カ月で2位に入ったもので,2009年はおそらくトップになるだろう」との見通しを語った。

 (3)は2008年に作成したシグネチャが160万超にのぼったという結果を分析したもの(写真4)。この160万超という数は,これまでに作成したシグネチャ累計の6割を超えるという。これはマルウエアの急増が原因だが,攻撃が激化したのではなく「最近のマルウエアは最低でも3ファイル,多ければ10以上のファイルで構成されている。攻撃の数は同程度で,攻撃に使われるファイル総数が増えた」(Kevin Hoganシニアマネージャ)のだという。

 このほかの分析結果として,Webサイト/回線/マルウエアをパックにした攻撃者向けホスティング・サービス業者の拠点がロシアから中国にシフトしつつある,脅威の絶対数は人口が多いアジア圏が突出している(写真5),といった傾向を紹介。こうした傾向の把握は短期的な周期では難しいため「従来は6カ月に1回だった発行頻度を,今回のISTRから1年に1回に変更した」(Kevin Hoganシニアマネージャ)という。