Cyber Clean Center サイバークリーンセンター
サイバークリーンセンター活動実績
注意喚起活動実績
前月までの注意喚起活動実績
2010年10月度の注意喚起活動実績
6注意喚起数について、当月の注意喚起対象者に前月以前の対象者との重複があった場合であっても、重複を考慮せず算出している。
  累計については、期間を問わず対象者の重複は省いた数値である点に注意。
2.攻撃事象数の推移
検体収集型HoneyPotにおいて国内からの収集数が減少しており、収集元国別比率( 図3 )を見ると、日本の収集数順位は先月の1位から4位となっていた。これは、先月まで多数収集されたWORM_RBOT.SMAが9/20頃から収集されなくなったためであり、攻撃事象型HoneyPotの国内の攻撃推移( 図7 )と照らし合わせると、ダウンロードを行わせる攻撃事象自体がなくなったため減少したと見られる。
また、攻撃事象型HoneyPotでは国内のMS04-007の攻撃事象数が増加していた( 図7 )。これは9月より増加傾向が見られ、特定のIPレンジからの攻撃が顕著に見られた。MS04-007を突いた後はMalwareのダウンロードを行う動きが見られたが、多くはタイムアウトにより取得失敗となっていた。
サイバークリーンセンターでは、以下の2種類のハニーポットを有します。それぞれの状況について示します。
<検体収集型>
マルウェア検体を収集することを主目的として設計されたハニーポット。 検体の収集にともなう攻撃元IPアドレスも記録することができる。 攻撃事象収集型よりも多様なマルウェアを収集することが可能。
<攻撃事象収集型>
  攻撃元IPアドレスを記録することを主目的として設計されたハニーポット。 マイクロソフト社OSの主要な脆弱性に対応している。 検体収集型よりも効率よくボット感染者を見つけることが可能
国内海外別の推移
[調査対象期間:2010/08/01〜2010/10/31]
国内海外別の推移(検体収集型)
図1.検体収集型ハニーポット
国内海外別の推移(検体収集型)
図2.攻撃事象収集型ハニーポット
収集元国別比率
[調査対象期間:2010/10/01〜2010/10/31]
国内海外別の推移(検体収集型) 国内海外別の推移(検体収集型)
図3.検体収集型ハニーポット 図4.攻撃事象収集型ハニーポット
検体種類別比率
[調査対象期間:2010/10/01〜2010/10/31]
国内海外別の推移(検体収集型)
図5.検体収集型ハニーポット
国内海外別の推移(検体収集型)
図6.攻撃事象収集型ハニーポット
攻撃事象別推移
[調査対象期間:2010/08/01〜2010/10/31]
国内海外別の推移(検体収集型)
図7.攻撃事象収集型ハニーポット国内収集推移
国内海外別の推移(検体収集型)
図8.攻撃事象収集型ハニーポット海外収集推移
3.CCCクリーナーの送信ログの傾向
CCC クリーナーには検出状況の送信機能(以下、送信ログ)を実装しています。CCC クリーナー使用者から任意で検出状況について情報(送信ログ)を送付してだくことで、CCC クリーナー実行環境における検出状況の傾向や変化などの観測、ボット対策の検討に役立てております。送信ログの収集数の推移について図9に示します。
送信ログの収集数の推移
[調査対象期間:2009/10/01〜2010/10/31]
送信ログ収集数の推移
図9.送信ログ収集数の推移
送信ログにおけるOSの分布および検出ログの比率
[調査対象期間:2010/10/01〜2010/10/31]
2010年10月1日から2010年10月31日の期間に収集した送信ログにおけるOS の分布を図10に示します。Windows XP SP3 が67.3%、Windows Vista SP2が約17.1%と、どちらのOSにおいても、最新のSPが適用されている送信ログが継続して多く見られています。しかし依然として、Windows XPではSP0からSP2の送信ログが約10%、Windows 2000 からの送信ログも約3.4%確認されており、Windows Updateが実施されていない環境も引き続き多く存在しているようです。

図11はWindows XPおよびWindows Vista のSP毎の検出ログの比率を示したグラフです。図11のグラフが示すように、より新しいSPが適用された環境のからの送信ログの方が、検出ログの比率が低い傾向が見られています。特にWindows 2000やWindows XP SP2については2010年7月13日で製品サポートが終了しています。早急なOSのアップグレードやアップデートなどの対応が望まれます。
送信ログにおけるOSの分布
図10.送信ログにおけるOSの分布
Windows XPおよびWindows Vistaにおける検出ログの比率
図11.Windows XPおよびWindows Vistaにおける検出ログの比率
* 参考 URL
マイクロソフトWindows Vista RTM / Windows XP Service Pack 2 (SP2) / Windows 2000 (Server / Professional) 製品のサポート終了についてのご案内
http://www.microsoft.com/japan/windows/lifecycle/default.mspx
各 OS の検出傾向
[調査対象期間:2009/10/01〜2010/10/31]
Windows 2000 における検出傾向
図12.Windows 2000 における検出傾向
Windows 2000の環境で2010年10月にWORM_TATERFの増加が確認されております。WORM_TATERFはリムーバブルメディアの(USBフラッシュメモリなど)機能を悪用し感染を広げるマルウエアです。またWORM_TATERF以外にもWORM_DOWNADなどリムーバブルメディアの機能を悪用するマルウエアの検出が多く確認されています。
Windows XP における検出傾向
図13.Windows XP における検出傾向
Windows XPの環境でWORM_TATERFやWORM_AUTORUN、Mal_Otorun2などリムーバブルメディアの(USBフラッシュメモリなど)機能を悪用して感染を広げるマルウエアの検出や WORM_ONLINEGなどオンラインゲームのアカウント情報などを狙うマルウエアの検出が、引き続き多く確認されています。
Windows Vista における検出傾向
図14.Windows Vista における検出傾向
Windows Vistaの環境では、2010年7月以降JS_REDIR(Webサイトに挿入された不正なJavaScriptやHTML形式のメール)などの検出の増加が見られます。そのほか、TROJ型のマルウエアが多く確認されており、TROJ_JAVA、JAVA_BYTEVER、TROJ_FAKEAV、TROJ_BREDLABなどWeb サイト経由やメールの添付ファイルとして送られるマルウエアの検出が多く確認されています。
ウィンドウを閉じるPAGE TOP
Copyrights(C) Cyber Clean Center All Rights Reserved.