7月3
by Anti-spam Research Engineer - Maria Manly

非常に不満やや不満どちらとも言えないやや満足非常に満足 (まだ評価されていません)
Loading ... Loading ...
 ブックマークへ追加 このエントリをTwitterに追加このエントリをYahoo!ブックマークに追加このエントリをはてなブックマークに追加 この記事を印刷 この記事を印刷

DOWNAD」(別名:Conficker)は、2014年第1四半期、大企業および中小・中堅企業に影響を与えた 3大不正プログラムの 1つです。これは、多くの企業でいまだ Windows XP が使用されており、この脅威の影響を受けやすいことを示しています。

「DOWNAD」は、不正な URL やスパムメール、リムーバブルドライブを介して、ネットワーク全体に感染します。この不正プログラムは、Windows に存在する Serverサービスの脆弱性「MS08-67」を利用して、任意のコードを実行します。さらに、「DOWNAD」は、接続先ドメイン名を生成する仕組みである「Domain Generation Algorithm(DGA)」を利用して、ランダムな URL を生成します。その後、生成した URL に接続し、感染PC上にファイルをダウンロードします。

「TrendLabs(トレンドラボ)」が、スパムメールの動向を監視したところ、2014年第2四半期は、スパムメールに関連する不正プログラムの 40%以上が、「DOWNAD」に感染した PC から送信されていることがわかりました。スパムメールに添付して感染活動を行う「FAREIT」や「MYTOB」、「LOVGATE」といった不正プログラムは、「DOWNAD」に感染した PC によって送信されています。「FAREIT」は情報収集を行う不正プログラムのファミリで、オンライン銀行詐欺ツール「ZBOT」をダウンロードします。一方、「MYTOB」は、スパムメールの添付ファイルとして自身のコピーを送信する古くからある有名なワームのファミリです。

図1:スパムメールを送信する不正プログラムの上位
図1:スパムメールを送信する不正プログラムの上位

図1が示すように、ボットネット「CUTWAIL(別名:Pushdo)」および「Gameover」が、スパムメールを送信する不正プログラムの上位となっています。「CUTWAIL」は、かつて「Gameover」をダウンロードするために利用されていました。しかし現在は、「UPATRE」が P2P通信を行う「ZBOT」の亜種「Gameover」をダウンロードしています。

トレンドラボは、2014年6月上旬、「Dropbox」のリンクを悪用して、「NECURS」、そして「UPATRE」へと誘導するさまざまなスパムメールを報告しました。また、ボイスメールを装って、「身代金要求型不正プログラム(ランサムウェア)」の「CryptoLocker」の亜種を添付したスパムメールも確認しています。トレンドラボが最近確認したスパムメールは、「CUBBY」と呼ばれるファイルストレージサービス上の URL を悪用して、オンライン銀行詐欺ツール(「TSPY_BANKER.WSTA」として検出)をダウンロードさせるものでした。サイバー犯罪者は、不正活動を隠ぺいし、PC やネットワーク上での検出を回避するために、このプラットフォームを悪用したと考えられます。

不正プログラムを添付したスパムメールは増加し続けていますが、URL から不正プログラムをダウンロードさせるスパムメールも同様に増加しています。不正プログラムを拡散するために、ファイルストレージサービスが継続して悪用されていることを考えると、このサービスはサイバー犯罪者が好んで利用する感染経路になったようです。その理由として、正規のWebサイトはセキュリティ対策製品のフィルタを回避する可能性が高く、より効果的になるためと考えられます。

上述のスパムメール送信活動のほとんどは、「Gameover」によって送信されたものですが、約175 の IP が「DOWNAD」に関連していることは注目すべきです。これらの IP は、さまざまなポートを利用し、「DOWNAD」の DGA機能を利用してランダムに生成されます。多くの PC がいまだにこの不正プログラムに感染しており、スパムメールを送信して、感染PC を増加させることに加担しています。今年、Windows XP のサポートが終了し、トレンドラボでは、Windows XP を搭載した PC は、「DOWNAD」のような脅威に感染する可能性があると予測しています。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

※協力執筆者:Maydalene Salvador

参考記事:

  • DOWNAD Tops Malware Spam Source in Q2 2014
    by Maria Manly (Anti-spam Research Engineer)

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    		 
     


    This entry was posted on 木曜日, 7月 3rd, 2014 at 6:36 pm and is filed under 不正プログラム, スパムメール, サイバー犯罪, TrendLabs Report, Webからの脅威 . Responses are closed, but you can trackback from your own site.



    Comments are closed.


     


    © Copyright 2014 Trend Micro Inc.     All rights reserved.
    ご利用条件 | プライバシーポリシー | このブログの RSS | 会社概要