2011 年 10 月 12 日に、マイクロソフト セキュリティ インテリジェンス レポート (SIR) 第 11 版 を公開しました。SIR はマイクロソフトが半期に一度公開している「セキュリティの脅威の動向を調査したレポート」で、第 11 版では、2011 年上半期における、脆弱性、悪用 (Exploit)、マルウェア、感染等に関する傾向を、全世界 100 以上の国や地域における 6 億台以上のシステムから収集したデータを基に分析しています。
マルウェアの拡散方法に関する新しい分析 第 11 版では新しい分析として、マルウェアの拡散方法という観点で分析を行っています。分析結果では、2011 年上半期において ゼロデイ \ ** *[i]** の脆弱性を悪用した攻撃は、脆弱性を悪用する全攻撃のうち、わずか 1% 以下に留まる という結果が出ています (図 1)。ちなみに、この分析には悪意のあるソフトウェアの削除ツール (MSRT) のデータを使用しています。MSRT のデータを使用した理由やこの分析手法の詳細は英語版の Security Intelligence Report (SIR) Volume 11 -Zeroing In on Malware Propagation Methods で詳しく説明していますのでご参照ください。
図 1: 2011 年上半期、MSRT により検出されたマルウェアの拡散方法の内訳
ゼロデイ攻撃に関する補完分析 MSRT は “感染したコンピューターの数” を表すのに対し、ウイルス対策製品などは “感染の試みをブロックした数” を表します。Microsoft Malware Protection Center (MMPC) では、マイクロソフトのウイルス対策製品向けに作成した 3,000 以上のシグネチャに関連する脆弱性の悪用状況を追跡しています。例えば、今年 4 月に公開された Adobe Flash Player の脆弱性 (CVE-2011-0611) の悪用状況は図 2 のようになります。4 月 8 日に最初の悪用が報告されてから 4 月 15 日に Adobe 社よりセキュリティ更新が公開されるまでの間ゼロデイ攻撃が観測されていますが (図 2、赤色部分)、実際に悪用が増加するのは更新プログラムが公開されてひと月以上後であることがわかります (図 2、緑色部分)。複数の脆弱性について同様の傾向が確認でき、 脆弱性の悪用は、ゼロデイの期間より更新プログラムが提供された後の方が圧倒的に多い ことが補完調査からも示されています。
図 2: 2011 年 4 月から 7 月における CVE-2011-0611 に対する悪用の検出数
ソーシャル エンジニアリング型攻撃への対応 さて、図 1 に戻り、マルウェアの拡散方法として一番利用されているのが、ユーザーの操作を必要とするタイプの攻撃、つまりソーシャル エンジニアリング攻撃で、44.8% を占めているという結果が MSRT のデータから出ています。ソーシャル エンジニアリング攻撃は、ユーザーの心理を巧みに悪用し、あたかも正当なように見せかけた悪質なファイルを開かせたり、悪意のある Web サイトへのリンクをクリックさせて感染させます。偽セキュリティ ソフトウェア詐欺、フィッシング詐欺などもソーシャル エンジニアリング攻撃ですね。
対策としては、疑わしいファイルやリンクはクリックしないことが重要なのですが、ユーザーの心理に依存しない方法として、 最新のブラウザーを使用する ことが挙げられます。現在実に 3 億 4,000 万台の PC (4 台に 1 台) が古いブラウザーを使用していると言われています (図 3)。またソーシャル エンジニアリング攻撃は古い製品やブラウザーを狙ったものが多いとも言われています。最新のブラウザーを使用することで、たとえ悪意のあるリンクをクリックしたとしても、マルウェアのダウンロードをブラウザーがブロックし感染を防ぐことができます。過去のブログ「質問: ソーシャル エンジニアリング攻撃型マルウェアに強い Web ブラウザーは?」もご参考いただき、是非、ソーシャル エンジニアリング型マルウェアに強いブラウザーを選択して使用してください。
図 3: 出典: YourBrowsermatters.org
自動実行機能 (AutoRun) への対応 図 1 でソーシャル エンジニアリング攻撃の次に多かったのは、AutoRun (USB/Network) による感染でした (図 1、2 位/3 位)。これに関し、マイクロソフトは 2011 年 2 月に、AutoRun を無効化する更新プログラムを XP/Vista 向けに公開しました (Windows 7 は既定で有効)。その結果、2011 年 5 月の段階で、AutoRun を悪用するマルウェアによる感染の割合は 6 割 ~ 8 割減少しています。このことから、次期以降の調査では AutoRun による感染は更に減少すると予測されます。AutoRun の無効化の効果については、次のブログ「Windows の自動実行機能 (Autorun) の無効化の効果について考える」で紹介していますのでご参考ください。
まとめ 今回の SIR では、新たな分析手法を用いた調査が行われましたが、過去の調査結果からも一貫して言えることは、 「ソフトウェアを最新に保つ」という基本的な対応が非常に重要 だということです。ソフトウェアのセキュリティ更新プログラムは確実に適用する、また可能な限り最新のバージョンのソフトウェアを使用することで、PC 利用の安全性は飛躍的に向上します。
これは、Windows 上で動作するサードパーティ製品についても同じことが言えます。2011 年上半期の傾向では、Java また Adobe Reader / Flash の脆弱性を狙った悪用が増えてきています。製品が広く普及していながら長期間更新プログラムを適用しないまま放置されていることが多いため、攻撃者の恰好のターゲットとなっているようです。PC にインストールされたすべてのソフトウェアについて、確実にセキュリティ更新プログラムを適用することが、個人や企業の財産を守るための非常に重要な鍵となります。
参考情報
セキュリティ インテリジェンス レポート ポータル サイト (日本語)
http://www.microsoft.com/japan/sir
Security Intelligence Report ポータルサイト (英語)
http://www.microsoft.com/security/sir
[i] ゼロデイ: ソフトウェア ベンダーがその脆弱性を修正するセキュリティ更新プログラムを公開する前にその脆弱性が悪用されること