Cyber Clean Center サイバークリーンセンター
サイバークリーンセンター活動実績
注意喚起活動実績
前月までの注意喚起活動実績
2010年07月度の注意喚起活動実績
6注意喚起数について、当月の注意喚起対象者に前月以前の対象者との重複があった場合であっても、重複を考慮せず算出している。
  累計については、期間を問わず対象者の重複は省いた数値である点に注意。
2.攻撃事象数の推移
検体収集型HoneyPotにおいて今月の推移を見ると、7/24より国内・海外共に急激な減少傾向が見られた。( 図1 )
これは、国内からのPE_VIRUT.AVの収集数が大幅に減少し、合わせてPE_VIRUT.AV感染後に海外特定サイトからダウンロードされていたWORM_PALEVO.SMDの収集数も減少したためである。
詳細を調べたところ7/23の夜にはPE_VIRUT.AV感染後に接続されていたIRCサーバが停止状態となっており、以降国内のPE_VIRUT.AV収集数もほぼ0件であることから、ハーダ―からの命令自体が停止したと思われる。

攻撃事象収集型HoneyPot においても、7/24より国内のMS03-026を狙った攻撃数が大幅に減少していた。(図7)これは上述のPE_VIRUT.AVの減少と関連しており、PE_VIRUT.AVのダウンロードに成功した攻撃が急激な減少を見せていた。一方、MS08-067を狙った攻撃事象数は先月より増加傾向となっていた。増加した攻撃元は国内または台湾の複数IPからであり、攻撃成功後は先月と同様の中国特定IPへ接続し、実行ファイルのダウンロードを試みる動作をしており、攻撃数は先月の約2倍となっていた。
サイバークリーンセンターでは、以下の2種類のハニーポットを有します。それぞれの状況について示します。
<検体収集型>
マルウェア検体を収集することを主目的として設計されたハニーポット。 検体の収集にともなう攻撃元IPアドレスも記録することができる。 攻撃事象収集型よりも多様なマルウェアを収集することが可能。
<攻撃事象収集型>
  攻撃元IPアドレスを記録することを主目的として設計されたハニーポット。 マイクロソフト社OSの主要な脆弱性に対応している。 検体収集型よりも効率よくボット感染者を見つけることが可能
国内海外別の推移
[調査対象期間:2010/5/01〜2010/07/31]
国内海外別の推移(検体収集型)
図1.検体収集型ハニーポット
国内海外別の推移(検体収集型)
図2.攻撃事象収集型ハニーポット
収集元国別比率
[調査対象期間:2010/7/01〜2010/07/31]
国内海外別の推移(検体収集型) 国内海外別の推移(検体収集型)
図3.検体収集型ハニーポット 図4.攻撃事象収集型ハニーポット
検体種類別比率
[調査対象期間:2010/7/01〜2010/07/31]
国内海外別の推移(検体収集型)
図5.検体収集型ハニーポット
国内海外別の推移(検体収集型)
図6.攻撃事象収集型ハニーポット
攻撃事象別推移
[調査対象期間:2010/5/01〜2010/07/31]
国内海外別の推移(検体収集型)
図7.攻撃事象収集型ハニーポット国内収集推移
国内海外別の推移(検体収集型)
図8.攻撃事象収集型ハニーポット海外収集推移
3.CCCクリーナーの送信ログの傾向
CCC クリーナーには検出状況の送信機能(以下、送信ログ)を実装しています。CCC クリーナー使用者から任意で検出状況について情報(送信ログ)を送付してだくことで、CCC クリーナー実行環境における検出状況の傾向や変化などの観測、ボット対策の検討に役立てております。送信ログの収集数の推移について図9に示します。
送信ログの収集数の推移
[調査対象期間:2009/07/01〜2010/07/31]
送信ログ収集数の推移
図9.送信ログ収集数の推移
送信ログにおけるOSの分布および検出ログの比率
[調査対象期間:2010/07/01〜2010/07/31]
2010年7月1日から2010年7月31日の期間に収集した送信ログにおけるOS の分布を図10に示します。Windows XP SP3 が69%、Windows Vista SP2が約16%と、どちらのOSにおいても、最新のSPが適用されている送信ログが継続して多く見られています。
しかし依然として、Windows XPではSP0からSP2の送信ログが約10%、Windows 2000 からの送信ログも約2.6%確認されており、Windows Updateが実施されていない環境も引き続き多く存在しているようです。

図11はWindows XPおよびWindows Vista のSP毎の検出ログの比率を示したグラフです。図11のグラフが示すように、より新しいSPが適用された環境のからの送信ログの方が、検出ログの比率が低い傾向が見られています。特にWindows 2000やWindows XP SP2については2010年7月13日で製品サポートが終了しています。早急なOSのアップグレードやアップデートなどの対応が望まれます。
送信ログにおけるOSの分布
図10.送信ログにおけるOSの分布
Windows XPおよびWindows Vistaにおける検出ログの比率
図11.Windows XPおよびWindows Vistaにおける検出ログの比率
* 参考 URL
マイクロソフトWindows Vista RTM / Windows XP Service Pack 2 (SP2) / Windows 2000 (Server / Professional) 製品のサポート終了についてのご案内
http://www.microsoft.com/japan/windows/lifecycle/default.mspx
各 OS の検出傾向
[調査対象期間:2009/07/01〜2010/07/31]
Windows 2000 における検出傾向
図12.Windows 2000 における検出傾向
Windows 2000の環境でWORM型などのいわゆるネットワーク経由で感染するマルウエアの検出が目立ちます。特に引き続きUSBの自動再生機能を悪用やMS08-067の脆弱性を悪用し感染を広げるWORM_DOWNADの検出が引き続き多く確認されています。
Windows XP における検出傾向
図13.Windows XP における検出傾向
Windows XPの環境でWORM_TATERFやWORM_AUTORUNなどリムーバブルメディア(USBフラッシュメモリなど)機能を悪用して感染を広げるマルウエアの検出や TSPY_ONLINEGやWORM_ONLINEGなどオンラインゲームのアカウント情報などを狙うマルウエアの検出が、引き続き多く確認されています。
Windows Vista における検出傾向
図14.Windows Vista における検出傾向
Windows Vistaの環境では、WORM型ではなくTROJ型のマルウエアを多く確認しており、特にTROJ_FAKEAVやTROJ_GETCODEC、TROJ_BREDLAB、TROJ_BREDOLABなどWeb サイト経由で感染する、もしくはメールの添付ファイルとして送られるマルウエアの検出が、引き続き確認されています。
ウィンドウを閉じるPAGE TOP
Copyrights(C) Cyber Clean Center All Rights Reserved.