更新日:2010年5月17日
P2Pファイル交換ソフト環境では、情報漏えいにつながるウイルスや著作権上不適切なファイルなどのコンテンツが多数流通しているといわれています。2008年から実施しているP2Pファイル交換ソフト環境のコンテンツ流通実態調査の中から、マルウェアの流通(第3回)について紹介します。第3回となるマルウェアの流通調査では、Winnyに加え、Shareも調査対象としました。
図 1:ダウンロードファイル中のマルウェアの混入率
クローリング調査をもとに専用ツール(*1)によりダウンロードを実施し、マルウェアのチェックを行いました(図 2)。既知マルウェアのチェックでは、トレンドマイクロのアンチウイルスソフト(Server Protect for Linux)を用いてマルウェアの混入有無判定を行いました。未知マルウェアのチェックでは、セキュアブレインのZHRシステム(*2)を用いて、挙動によるマルウェア判定を行いました。
図2:調査の流れ
今回の調査で、Winny環境では、ダウンロードファイルのうち、マルウェアを含むファイルの割合は4.2%(既知:4.1%、未知:0.1%)となり、2009年より若干増加しました(表 1)。25個程度のファイルをダウンロードするとそのうちの1つにはマルウェアが含まれていることになります。
表1:調査結果
Winny環境では、マルウェアを含むダウンロードファイルのうち、アイコン偽装9割強、ファイル名偽装3割弱です。Share環境では、ファイル名偽装の傾向は高く(75.1%)、マルウェアを安全なコンテンツに見せかける偽装を行っている状況は定常化しているといえます(表 2)。
表2:偽装の傾向
アイコン偽装は、フォルダに見せかけるアイコン偽装が最も多く、Winny環境では7割(74.6%)、Share環境では9割(95.7%)にのぼります(図 3)。
図3:アイコン偽装の内訳
既知マルウェアを含むダウンロードファイルのほとんどがアーカイブファイルです(図 4)。Winny環境では、zip形式に次いでlzh形式のアーカイブファイルがマルウェアを含むファイルとしてランキングされていますが(zip:69.0%、lzh:25.6%)、Share環境ではlzh形式のアーカイブファイルが占める割合は非常に小さいものでした(zip:92.6%、lzh:1.4%)。WinnyならびにShare環境共に、zip形式のアーカイブファイルにマルウェアが含まれている割合が高く、アーカイブファイルを解凍するとフォルダアイコンに偽装したマルウェアが表示され、フォルダを開くつもりでマルウェアを実行してしまうことを狙ったものだと思われます。
図 4:既知マルウェアを含むファイル拡張子
Winny環境とShare環境で傾向は異なりますが、マルウェアを含むダウンロードファイルには、アイコン偽装に加えて二重拡張子や多量スペースによるファイル名偽装がおこなわれています(図 5)。これによって、一見、アイコンもファイル名も安全に見えるようにして、マルウェアを実行しやすくしており、注意が必要です。
図5:ファイル名偽装の内訳
Winny環境では、情報漏えいを引き起こすAntinnyタイプが、検知した既知マルウェアの7割(72.9%)、Share環境では4割(39.0%)を占めています(図 6)。また、Winny環境で2割(21.7%)、Share環境で6割(57.3%)を占めるファイル感染型のほとんどは、PE_PARITE.A(Winny環境:97.4%、Share環境:98.9%)でした。
図6:既知マルウェアの内訳
Winny環境では、Antinnyタイプのうち、WORM_ANTINNY.JB(18.0%)、WORM_ANTINNY.E(13.1%)の占める割合が高いのに対し、Share環境では、WORM_ANTINNY.AC(24.0%)が高くなっています。このように、同じ情報漏えいを引き起こすAntinnyタイプであっても、Winny環境とShare環境では、流通傾向に違いがみられました。
図 7:Antinnyタイプの内訳
Winny環境、Share環境のいずれにおいても、未知マルウェアと推測されるファイルはすべてワーム型でした(図 8)。特に、Winny環境に流通する未知マルウェアは、既知マルウェアのWORM_ANTINNY.ANと類似した挙動を示したことから、同様の原種から派生した亜種と考えられます。
図 8:未知マルウェアの内訳
Winny環境とShare環境で流通するマルウェアの傾向を比較すると、表 3のようになります。ファイル拡張子、既知マルウェアのタイプだけではなく、マルウェアに付与されているファイル名についても、Winny環境とShare環境で流通傾向の異なることがわかりました。
表 3:Winny環境とShare環境で流通するマルウェアの比較
3年間を通じた調査結果から、Winny環境には、依然としてAntinnyタイプの情報漏えいを引き起こす既知マルウェアが多く流通しており、その多くが安全なコンテンツに見せかけた「アイコン偽装」を行い、巧妙にマルウェアを実行させる偽装を行っています。また、Winny環境におけるダウンロードファイル中のマルウェアの混入率が、ほぼ4%前後と一定しており、マルウェアの流通する環境として定常化していると言えます。
対策としては、流通するマルウェアの多くが既知であることから、最新の状態にあるアンチウイルスソフトの利用がセキュリティ対策として効果的であるといえます。ただし、少数ではありますが、アンチウイルスソフトで検知できないマルウェアが存在していますので、引き続き十分な注意が必要です。
本稿に記載されている会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
本調査は、総務省から委託を受けた「ネットワークを通じた情報流出の検知及び漏出情報の自動流通停止のための技術開発」の成果の一部です。また、株式会社エヌ・ティ・ティピー・シーコミュニケーションズ、株式会社クロスワープ、社団法人コンピュータソフトウェア著作権協会、トレンドマイクロ株式会社、株式会社セキュアブレイン、株式会社フォティーンフォティ技術研究所の協力により実施しました。
担当:寺田/システム開発研究所、水野/日立GP、大西/HIRT
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
