Cyber Clean Center サイバークリーンセンター
サイバークリーンセンター活動実績
注意喚起活動実績
前月までの注意喚起活動実績
2010年09月度の注意喚起活動実績
6注意喚起数について、当月の注意喚起対象者に前月以前の対象者との重複があった場合であっても、重複を考慮せず算出している。
  累計については、期間を問わず対象者の重複は省いた数値である点に注意。
2.攻撃事象数の推移
検体収集型HoneyPot の推移を見ると、9月中旬より国内の検体収集数が減少している( 図1 )。また、攻撃事象収集型HoneyPotの推移においてもMS03-026の攻撃事象数が同時期から減少傾向となっている( 図7 )。これはMS03-026を突いた後WORM_RBOT.SMAのダウンロードを行う攻撃が減少したためである。同事象は国内以外に台湾でも見られ、同時期に海外からのMS03-026の攻撃事象数が減少傾向となっており( 図8 )、WORM_RBOT.SMAの収集数は先月の約半分となっている( 図5,6 )。
また、攻撃事象収集型HoneyPotにおいて、WORM_DOWNAD.ADの収集数が先月の約4倍(先月収集数4599 個)となっている( 図.6 )。これは攻撃事象収集型HoneyPotの設定変更を行ったためである。
サイバークリーンセンターでは、以下の2種類のハニーポットを有します。それぞれの状況について示します。
<検体収集型>
マルウェア検体を収集することを主目的として設計されたハニーポット。 検体の収集にともなう攻撃元IPアドレスも記録することができる。 攻撃事象収集型よりも多様なマルウェアを収集することが可能。
<攻撃事象収集型>
  攻撃元IPアドレスを記録することを主目的として設計されたハニーポット。 マイクロソフト社OSの主要な脆弱性に対応している。 検体収集型よりも効率よくボット感染者を見つけることが可能
国内海外別の推移
[調査対象期間:2010/07/01〜2010/09/30]
国内海外別の推移(検体収集型)
図1.検体収集型ハニーポット
国内海外別の推移(検体収集型)
図2.攻撃事象収集型ハニーポット
収集元国別比率
[調査対象期間:2010/09/01〜2010/09/30]
国内海外別の推移(検体収集型) 国内海外別の推移(検体収集型)
図3.検体収集型ハニーポット 図4.攻撃事象収集型ハニーポット
検体種類別比率
[調査対象期間:2010/09/01〜2010/09/30]
国内海外別の推移(検体収集型)
図5.検体収集型ハニーポット
国内海外別の推移(検体収集型)
図6.攻撃事象収集型ハニーポット
攻撃事象別推移
[調査対象期間:2010/07/01〜2010/09/30]
国内海外別の推移(検体収集型)
図7.攻撃事象収集型ハニーポット国内収集推移
国内海外別の推移(検体収集型)
図8.攻撃事象収集型ハニーポット海外収集推移
3.CCCクリーナーの送信ログの傾向
CCC クリーナーには検出状況の送信機能(以下、送信ログ)を実装しています。CCC クリーナー使用者から任意で検出状況について情報(送信ログ)を送付してだくことで、CCC クリーナー実行環境における検出状況の傾向や変化などの観測、ボット対策の検討に役立てております。送信ログの収集数の推移について図9に示します。
送信ログの収集数の推移
[調査対象期間:2009/09/01〜2010/09/30]
送信ログ収集数の推移
図9.送信ログ収集数の推移
送信ログにおけるOSの分布および検出ログの比率
[調査対象期間:2010/09/01〜2010/09/30]
2010年9月1日から2010年9月30日の期間に収集した送信ログにおけるOS の分布を図10に示します。Windows XP SP3 が68.8%、Windows Vista SP2が約17%と、どちらのOSにおいても、最新のSPが適用されている送信ログが継続して多く見られています。
しかし依然として、Windows XPではSP0からSP2の送信ログが約10%、Windows 2000 からの送信ログも約2.7%確認されており、Windows Updateが実施されていない環境も引き続き多く存在しているようです。

図11はWindows XPおよびWindows Vista のSP毎の検出ログの比率を示したグラフです。図11のグラフが示すように、より新しいSPが適用された環境のからの送信ログの方が、検出ログの比率が低い傾向が見られています。特にWindows 2000やWindows XP SP2については2010年7月13日で製品サポートが終了しています。早急なOSのアップグレードやアップデートなどの対応が望まれます。
送信ログにおけるOSの分布
図10.送信ログにおけるOSの分布
Windows XPおよびWindows Vistaにおける検出ログの比率
図11.Windows XPおよびWindows Vistaにおける検出ログの比率
* 参考 URL
マイクロソフトWindows Vista RTM / Windows XP Service Pack 2 (SP2) / Windows 2000 (Server / Professional) 製品のサポート終了についてのご案内
http://www.microsoft.com/japan/windows/lifecycle/default.mspx
各 OS の検出傾向
[調査対象期間:2009/09/01〜2010/09/30]
Windows 2000 における検出傾向
図12.Windows 2000 における検出傾向
Windows 2000の環境でWORM型などのいわゆるネットワーク経由で感染するマルウエアの検出が目立ちます。特に引き続きUSBの自動再生機能を悪用やMS08-067の脆弱性を悪用し感染を広げるWORM_DOWNADの検出が引き続き確認されています。
Windows XP における検出傾向
図13.Windows XP における検出傾向
Windows XPの環境でWORM_TATERFやWORM_AUTORUN、Mal_Otorun2などリムーバブルメディア(USBフラッシュメモリなど)機能を悪用して感染を広げるマルウエアの検出や WORM_ONLINEGなどオンラインゲームのアカウント情報などを狙うマルウエアの検出が、引き続き多く確認されています。
Windows Vista における検出傾向
図14.Windows Vista における検出傾向
Windows Vistaの環境では、WORM型ではなくTROJ型のマルウエアを多く確認しており、特にTORJ_JAVA、JAVA_BYTEVER、TROJ_FAKEAV、TROJ_GETCODEC、TROJ_BREDLAB、TROJ_BREDOLABなどWeb サイト経由やメールの添付ファイルとして送られるマルウエアの検出が、引き続き多く確認されています。
ウィンドウを閉じるPAGE TOP
Copyrights(C) Cyber Clean Center All Rights Reserved.