Cyber Clean Center サイバークリーンセンター
サイバークリーンセンター活動実績
注意喚起活動実績
前月までの注意喚起活動実績
2010年05月度の注意喚起活動実績
6注意喚起数について、当月の注意喚起対象者に前月以前の対象者との重複があった場合であっても、重複を考慮せず算出している。
  累計については、期間を問わず対象者の重複は省いた数値である点に注意。
2.攻撃事象数の推移
検体収集型HoneyPotにおいて国内の収集数は先月より減少し、アメリカに次いで2位となった。これは国内からの攻撃自体が減少した点、アメリカの特定サイトからの検体配布量が増加した点が要因と見られる。また、検体種類別比率( 図5 )を見ると WORM_DOWNAD.AD の割合が全体の約 30%となっており先月より収集数が増加している。(先月のWORM_DOWNAD.AD の割合は約 17 %)これは海外からの収集数が増加したためであり、特にロシア、アメリカ、台湾の複数IPから多く収集が見られた。

攻撃事象収集型HoneyPotの攻撃事象数は5/20頃を境に国内での収集数が増加している。( 図2 )これは、一部のHoneyPotの設定を変更したことが要因であり、特に、MS08-067、 MS06-040の収集数が増加していた。( 図7 )MS08-067、MS06-040についてさらに詳細を調べたところ、攻撃後はいずれもFTPコマンドにてマルウェアの取得を試みていたが接続エラーにより失敗していた。接続先については、MS08-067は中国の特定IP、MS06-040は攻撃を行ってきた国内IPへ接続する動きとなっていた。また、5/28前後にMS03-026の攻撃事象数が国内にて急増しているが( 図7 )、これは特定ユーザから大量に攻撃が行われたためであり、PE_VIRUT.PAUをダウンロードする動きとなっていた。
サイバークリーンセンターでは、以下の2種類のハニーポットを有します。それぞれの状況について示します。
<検体収集型>
マルウェア検体を収集することを主目的として設計されたハニーポット。 検体の収集にともなう攻撃元IPアドレスも記録することができる。 攻撃事象収集型よりも多様なマルウェアを収集することが可能。
<攻撃事象収集型>
  攻撃元IPアドレスを記録することを主目的として設計されたハニーポット。 マイクロソフト社OSの主要な脆弱性に対応している。 検体収集型よりも効率よくボット感染者を見つけることが可能
国内海外別の推移
[調査対象期間:2010/3/01〜2010/05/31]
国内海外別の推移(検体収集型)
図1.検体収集型ハニーポット
国内海外別の推移(検体収集型)
図2.攻撃事象収集型ハニーポット
収集元国別比率
[調査対象期間:2010/05/01〜2010/05/31]
国内海外別の推移(検体収集型) 国内海外別の推移(検体収集型)
図3.検体収集型ハニーポット 図4.攻撃事象収集型ハニーポット
検体種類別比率
[調査対象期間:2010/05/01〜2010/05/31]
国内海外別の推移(検体収集型)
図5.検体収集型ハニーポット
国内海外別の推移(検体収集型)
図6.攻撃事象収集型ハニーポット
攻撃事象別推移
[調査対象期間:2010/3/01〜2010/05/31]
国内海外別の推移(検体収集型)
図7.攻撃事象収集型ハニーポット国内収集推移
国内海外別の推移(検体収集型)
図8.攻撃事象収集型ハニーポット海外収集推移
3.CCCクリーナーの送信ログの傾向
CCC クリーナーには検出状況の送信機能(以下、送信ログ)を実装しています。CCC クリーナー使用者から任意で検出状況について情報(送信ログ)を送付してだくことで、CCC クリーナー実行環境における検出状況の傾向や変化などの観測、ボット対策の検討に役立てております。送信ログの収集数の推移について図9に示します。
送信ログの収集数の推移
[調査対象期間:20009/05/01〜2010/05/31]
送信ログ収集数の推移
図9.送信ログ収集数の推移
送信ログにおけるOSの分布および検出ログの比率
[調査対象期間:2009/05/01〜2010/05/31]
2010年5月1日から2001年5月31日の期間に収集した送信ログにおけるOS の分布を図10に示します。Windows XP SP3 が6割強、Windows Vista SP2 が2割弱とどちらのOSにおいても最新の SP が適用されている送信ログが多く見られました。しかし依然 としてWindows XP ではSP0からSP2の送信ログが1割弱確認されており、Windows Update が実施されていない環境も多く存在しているようです。

また、図11では、より新しいSP が適用された環境の方が検出ログ比率が低いという傾向が見られます。特にWindows 2000やWindows XP SP2については 2010年7月13日で製品サポートが終了されますので OS のアップグレードやアップデートをすることが望まれます。
送信ログにおけるOSの分布
図10.送信ログにおけるOSの分布
Windows XPおよびWindows Vistaにおける検出ログの比率
図11.Windows XPおよびWindows Vistaにおける検出ログの比率
* 参考 URL
マイクロソフトWindows Vista RTM / Windows XP Service Pack 2 (SP2) / Windows 2000 (Server / Professional) 製品のサポート終了についてのご案内
http://www.microsoft.com/japan/windows/lifecycle/default.mspx
各 OS の検出傾向
[調査対象期間:2009/05/01〜2010/05/31]
Windows 2000の環境でWORM 型などのいわゆるネットワーク経由で感染するマアルウエアの検出が目立ちます。その中でも「2 攻撃事象数の推移」でも記載がある、MS08-067の脆弱性を悪用しネットワーク感染を広げるWORM_DOWNADの検出が多く確認されています。
Windows 2000 における検出傾向
図12.Windows 2000 における検出傾向
>Windows XPの環境でWORM_TATERFやWORM_AUTORUNなどリムーバブルメディア(USBフラッシュメモリなど)機能を悪用して感染を広げるマルウエアの検出や TSPY_ONLINEGやWORM_ONLINEGなどオンラインゲームのアカウント情報などを狙うマルウエアの検出が多く確認されています。
Windows XP における検出傾向
図13.Windows XP における検出傾向
Windows Vistaの環境では、TROJ_FAKEAVやTROJ_GETCODECなどWeb サイト経由で感染する、もしくはメールの添付ファイルとして送られるマルウエアの検出が確認されています。
Windows Vista における検出傾向
図14.Windows Vista における検出傾向
ウィンドウを閉じるPAGE TOP
Copyrights(C) Cyber Clean Center All Rights Reserved.