Cyber Clean Center サイバークリーンセンター
サイバークリーンセンター活動実績
注意喚起活動実績
前月までの注意喚起活動実績
2010年11月度の注意喚起活動実績
6注意喚起数について、当月の注意喚起対象者に前月以前の対象者との重複があった場合であっても、重複を考慮せず算出している。
  累計については、期間を問わず対象者の重複は省いた数値である点に注意。
2.攻撃事象数の推移
検体収集型HoneyPot推移( 図1 )にて11/10前後に海外からの収集数が増加している。これは中国の特定IPより多数のIRCBOTがダウンロードされたためであり、国内または台湾の複数IPがMS08-067の脆弱性を突いて侵入した後、IRCBOTをダウンロードさせる動作を行っていた。この中国特定IPは定期的に観測されており、ダウンロードに失敗している場合もあり不安定な動作をしているが引き続き注意を払う必要がある。
また、攻撃事象型HoneyPotでの検体種類別( 図4 )ではWORM_DOWNAD.ADの収集数が先月の約半数となっている。詳細を調べるとWORM_DOWNAD.ADのダウンロード成功にまで至る攻撃事象が減少しており、国内・海外共に半減している傾向が見られた。
サイバークリーンセンターでは、以下の2種類のハニーポットを有します。それぞれの状況について示します。
<検体収集型>
マルウェア検体を収集することを主目的として設計されたハニーポット。 検体の収集にともなう攻撃元IPアドレスも記録することができる。 攻撃事象収集型よりも多様なマルウェアを収集することが可能。
<攻撃事象収集型>
  攻撃元IPアドレスを記録することを主目的として設計されたハニーポット。 マイクロソフト社OSの主要な脆弱性に対応している。 検体収集型よりも効率よくボット感染者を見つけることが可能
国内海外別の推移
[調査対象期間:2010/09/01〜2010/11/30]
国内海外別の推移(検体収集型)
図1.検体収集型ハニーポット
国内海外別の推移(検体収集型)
図2.攻撃事象収集型ハニーポット
収集元国別比率
[調査対象期間:2010/11/01〜2010/11/30]
国内海外別の推移(検体収集型) 国内海外別の推移(検体収集型)
図3.検体収集型ハニーポット 図4.攻撃事象収集型ハニーポット
検体種類別比率
[調査対象期間:2010/11/01〜2010/11/30]
国内海外別の推移(検体収集型)
図5.検体収集型ハニーポット
国内海外別の推移(検体収集型)
図6.攻撃事象収集型ハニーポット
攻撃事象別推移
[調査対象期間:2010/09/01〜2010/11/30]
国内海外別の推移(検体収集型)
図7.攻撃事象収集型ハニーポット国内収集推移
国内海外別の推移(検体収集型)
図8.攻撃事象収集型ハニーポット海外収集推移
3.CCCクリーナーの送信ログの傾向
CCC クリーナーには検出状況の送信機能(以下、送信ログ)を実装しています。CCC クリーナー使用者から任意で検出状況について情報(送信ログ)を送付してだくことで、CCC クリーナー実行環境における検出状況の傾向や変化などの観測、ボット対策の検討に役立てております。送信ログの収集数の推移について図9に示します。
送信ログの収集数の推移
[調査対象期間:2009/11/01〜2010/11/30]
送信ログ収集数の推移
図9.送信ログ収集数の推移
送信ログにおけるOSの分布および検出ログの比率
[調査対象期間:2010/11/01〜2010/11/30]
2010年11月1日から2011年11月30日の期間に収集した送信ログにおけるOS の分布を図10に示します。Windows XP SP3 が71%、Windows Vista SP2が約17.4%と、どちらのOSにおいても、最新のSPが適用されている送信ログが継続して多く見られています。しかし依然として、Windows XPではSP0からSP2の送信ログが約8%、Windows 2000 からの送信ログも約1.7%確認されており、Windows Updateが実施されていない環境も引き続き多く存在しているようです。

図11はWindows XPおよびWindows Vista のSP毎の検出ログの比率を示したグラフです。図11のグラフが示すように、より新しいSPが適用された環境のからの送信ログの方が、検出ログの比率が低い傾向が見られています。特にWindows 2000やWindows XP SP2については2010年7月13日で製品サポートが終了しています。早急なOSのアップグレードやアップデートなどの対応が望まれます。
送信ログにおけるOSの分布
図10.送信ログにおけるOSの分布
Windows XPおよびWindows Vistaにおける検出ログの比率
図11.Windows XPおよびWindows Vistaにおける検出ログの比率
* 参考 URL
マイクロソフトWindows Vista RTM / Windows XP Service Pack 2 (SP2) / Windows 2000 (Server / Professional) 製品のサポート終了についてのご案内
http://www.microsoft.com/japan/windows/lifecycle/default.mspx
各 OS の検出傾向
[調査対象期間:2009/11/01〜2010/11/30]
Windows 2000 における検出傾向
図12.Windows 2000 における検出傾向
Windows 2000の環境では、ネットワーク感染型のマルウエア(WORM型)の検出が多く確認されています。ボット型マルウエアであるWORM_RBOT、WORM_SDBOTや、リムーバブルメディア(USBフラッシュメモリなど)機能を悪用するWORM_DOWNADなども多く確認されています。
Windows XP における検出傾向
図13.Windows XP における検出傾向
Windows XPの環境では、WORM_TATERFやMal_Otorun2などリムーバブルメディアの(USBフラッシュメモリなど)機能を悪用して感染を広げるマルウエアの検出や WORM_ONLINEGなどオンラインゲームのアカウント情報などを狙うマルウエアの検出が、引き続き多く確認されています。また、今月はスパイウエア系のTSPY_FRETHOG の検出が確認されています。
Windows Vista における検出傾向
図14.Windows Vista における検出傾向
Windows Vistaの環境では、JAVAを対象としたTROJ_JAVA、JAVA_BYTEVER、JAVA_LOADERやTROJ_DLWIMAD、TROJ_FAKEAVなどが多く検出が確認されています。これらのマルウエアは、Web サイト経由でダウンロードやメールの添付ファイルなどとして送られてきたマルウエアと考えらます。
ウィンドウを閉じるPAGE TOP
Copyrights(C) Cyber Clean Center All Rights Reserved.