更新日:2010年5月6日
P2Pファイル交換ソフト環境では、情報漏えいにつながるウイルスや著作権上不適切なファイルなどのコンテンツが多数流通しているといわれています。2008年に続いて実施した第2回P2Pファイル交換ソフト環境のコンテンツ流通実態調査の中から、マルウェアの流通について紹介したいと思います。
クローリング調査をもとに専用ツール(*1)によりダウンロードを実施し、マルウェアチェックを行いました(図 1)。既知マルウェアチェックでは、トレンドマイクロのアンチウイルスソフトを用いてマルウェアの混入有無判定を行いました。未知マルウェアチェックでは、セキュアブレインのZHRシステム(*2)を用いて、挙動によるマルウェア判定を行いました。
図1:調査の流れ
今回の調査で、ダウンロードファイルのうち、既知マルウェアを含むファイルの割合は3.5%となり、2008年より若干低下しました(表 1、図 2)。しかし、30個程度のファイルをダウンロードするとそのうちの1つにはマルウェアが含まれていることになります。
表1:調査結果
図 2:調査結果
マルウェアを含むダウンロードファイルのうち、アイコン偽装95%、ファイル名偽装38%であり、ファイル名を偽装しているマルウェアは、全てアイコンも偽装されていました。マルウェアを安全なコンテンツに見せかける偽装を行っている割合が2008年より増加しています(表 2)。
表2:偽装の傾向
2008年と同様に、フォルダに見せかけるアイコン偽装が多くみられました(図 3)。
図3:アイコン偽装の内訳
既知マルウェアを含むダウンロードファイルは、ほとんどがアーカイブファイルです(図 4、図 5)。アーカイブファイルを解凍するとフォルダアイコンに偽装したマルウェアが表示され、フォルダを開くつもりでマルウェアを実行してしまうことを狙ったものだと思われます。なお、調査対象としたダウンロードファイルの中には、既知マルウェアと未知マルウェアを両方含むアーカイブファイルのありませんでした。
図 4:既知マルウェアを含むファイル拡張子
図 5:未知マルウェアを含むファイル拡張子
マルウェアを含むダウンロードファイルでは、アイコン偽装に加えて二重拡張子や多量スペースによるファイル名偽装を組み合わせていました(図 6)。これによって、一見、アイコンもファイル名も安全に見えるようにして、よりマルウェアを実行しやすくしており、注意が必要です。
図6:二重拡張子の傾向
2008年と同様に、検知した既知マルウェアの約7割が情報漏えいを引き起こすAntinnyタイプでした(図 7)。
未知マルウェアと推測されるファイルのほとんどはワーム型で、計84個の未知マルウェアのうち77個はAntinnyと類似した挙動を示し、残り7個は異なる挙動を示しました。その挙動から今回検知された未知マルウェアのほとんどが、未知のAntinny亜種であると考えられます(図 8)。
図7:既知マルウェアの内訳
図8:未知マルウェアの内訳
調査結果から、依然としてAntinnyタイプの情報漏えいを引き起こす既知マルウェアが多く流通しており、その多くが安全なコンテンツに見せかけた「アイコン偽装」を行い、巧妙にマルウェアを実行させる偽装を行っています。最新の状態にあるアンチウイルスソフトの利用がセキュリティ対策として効果的であるといえます。ただし、少数ではありますが、アンチウイルスソフトで検知できないマルウェアが存在していますので、引き続き十分な注意が必要です。
本稿に記載されている会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
本調査は、総務省から委託を受けた「ネットワークを通じた情報流出の検知及び漏出情報の自動流通停止のための技術開発」の成果の一部です。また、株式会社エヌ・ティ・ティピー・シーコミュニケーションズ、株式会社クロスワープ、社団法人コンピュータソフトウェア著作権協会、トレンドマイクロ株式会社、株式会社セキュアブレイン、株式会社フォティーンフォティ技術研究所の協力により実施しました。
担当:寺田/システム開発研究所、水野/日立GP、大西/HIRT
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
