マイクロソフト セキュリティ インテリジェンス...
TRANSCRIPT
マイクロソフト セキュリティ インテリジェンス レポート 第 16 版 | 2013 年 7 月 ~ 12 月
主要な知見の概要 この文書に記載された内容は情報提供のみを目的としたものであり、 明示、黙示または法律の規定にかかわらず、これらの情報についてマイクロソフトはいかなる責任も負わないものとします。 この文書は「現状のまま」提供されます。この文書に記載される情報および意見は、URL その他のインターネット Web サイトへの参照を含め、事前の通知なしに変更されることがあります。 そのリスクは読者が負うことになります。 Copyright © 2014 Microsoft Corporation. All rights reserved. 記載されている実在の会社名および製品名は、各社の商標である場合があります。
マイクロソフト セキュリティ インテリジェンス レポート、第 16 版、2013 年 7 月 ~ 12 月 1
マイクロソフト セキュリティ
インテリジェンス レポート、第 16 版 マイクロソフト セキュリティ インテリジェンス レポートの第 16 版 (SIRv16) では、マイクロソフト製およびサードパーティ製ソフトウェアにおけるソフトウェア脆弱性、エクスプロイト、および悪意のあるコードによる脅威について綿密な全体像を示します。マイクロソフトは、過去数年間分、特に 2013 年下半期に注目して傾向分析を詳細に行い、その結果に基づいてこの全体像を得ました。
このドキュメントは、そのレポートの主要な知見をまとめたものです。
SIR Web サイトには、世界各地の 100 を超える国や地域で観察された傾向に関する徹底的な分析も含まれており、組織、ソフトウェア、およびユーザーに対するリスクの管理に役立つ提案も行っています。
SIRv16 は www.microsoft.com/japan/sir からダウンロードできます。
2 主要な知見の概要
脆弱性 脆弱性とは、ソフトウェアの弱点のことであり、攻撃者はこれを悪用してソフトウェアまたはそのソフトウェアが処理するデータの整合性、可用性、または機密性を損ないます。一部の最悪の脆弱性では、攻撃者がセキュリティの低下したシステムにユーザーの知らないうちに悪意のあるコードを実行させることで、システムを悪用することができます。
図 1. 1H11 ~ 2H13 におけるソフトウェア業界全体での脆弱性 (CVE) の深刻度、複雑さ、種類別公開数、およびマイクロソフト製品とそれ以外の製品に関する公開数の動向 1
• 2H13 の業界での脆弱性公開数は 1H13 から 6.5%、2H12 から 12.6% 増加し
ました。脆弱性公開数の増加の大部分は、アプリケーションの脆弱性の公開が増
加したことによります。しかし全体として、脆弱性公開数は、1H12 の最近のピーク
レベルよりも低いままで、 2009 年以前のレベルよりずっと低くなっています。半年間
の公開総数が 3,500 件以上に上った 2009 年以前は異常でした。
1 レポート全体を通して、半期および四半期を指すのに nHyy または nQyy という書式が使用されています。yy は暦年、n は半期または四半期を示します。 たとえば、2H13 は 2013 年の下半期 (6 月 1 日~ 12 月 31 日) を表し、4Q12
は 2012 年の第 4 四半期 (10 月 1 日~ 12 月 31 日) を表します。
0
200
400
600
800
1,000
1,200
1,400
1,600
1H11 2H11 1H12 2H12 1H13 2H13
Indu
stry
wid
e vu
lner
abili
ty d
isclo
sure
s
Medium (4–6.9)
High (7–10)
Low (0–3.9)
0
200
400
600
800
1,000
1,200
1,400
1H11 2H11 1H12 2H12 1H13 2H13
Indu
stry
wid
e vu
lner
abili
ty d
isclo
sure
s
Medium complexity (medium risk)
High complexity (lowest risk)
Low complexity (highest risk)
0
200
400
600
800
1,000
1,200
1,400
1,600
1,800
1H11 2H11 1H12 2H12 1H13 2H13
Indu
stry
wid
e vu
lner
abili
ty d
isclo
sure
s
Other applicat ions
Core operat ing systemOperat ing system applicat ionsWeb browsers
0
500
1,000
1,500
2,000
2,500
3,000
1H11 2H11 1H12 2H12 1H13 2H13
Vuln
erab
ility
disc
losu
res
Non-Microsof t
Microsof t
マイクロソフト セキュリティ インテリジェンス レポート、第 16 版、2013 年 7 月 ~ 12 月 3
エクスプロイト エクスプロイトとは、ソフトウェアの脆弱性を利用する悪意のあるコードのことです。ユーザーの同意を得ずに、通常はユーザーの知らないうちにコンピューターを感染させ、妨害し、乗っ取ります。エクスプロイトは、コンピューターにインストールされたオペレーティング システム、Web ブラウザー、アプリケーション、またはソフトウェア コンポーネントの脆弱性を標的にします。
図 2 に、2013 年の四半期ごとにマイクロソフトのマルウェア対策製品が検出したさまざまな種類のエクスプロイトの流行を、遭遇率で示します。遭遇率は、マイクロソフトのリアルタイム セキュリティ製品を実行しているコンピューターのうち、マルウェアの遭遇を報告したコンピューターのパーセンテージです。たとえば、4Q13 において Java エクスプロイト試行の遭遇率は 1.0% でした。これは、4Q13 にマイクロソフトのリアルタイム セキュリティ ソフトウェアを実行していたコンピューターの 1% が Java エクスプロイト試行に遭遇し、99% は遭遇しなかったことを意味します。つまり、4Q13 には、ランダムに選択した 1 台のコンピューターは、約 1% の可能性で Java エクスプロイト試行に遭遇したことになります。
図 2. 2013 年におけるさまざまな種類のエクスプロイト試行の遭遇率
0.0%
0.2%
0.4%
0.6%
0.8%
1.0%
1.2%
1.4%
1.6%
1.8%
2.0%
1Q13 2Q13 3Q13 4Q13
Perc
ent o
f all
repo
rtin
g co
mpu
ters
(enc
ount
er ra
te)
Operat ing system
Adobe Flash (SWF)Documents
Java
HTML/ JavaScript
4 主要な知見の概要
• 複数の種類のエクスプロイトを報告したコンピューターは、検出した種類ごとにカウントされています。
• 個々のエクスプロイトの検出は、エクスプロイト キットの配布者がキットに対してさまざまなエクスプロイトの追加/削除を行うため、四半期によって著しく増減することがよくあります。このような変動も、図 2 に示すように、さまざまなエクスプロイトの種類の相対的な蔓延度に影響を与える可能性があります。 • 四半期ごとに減少していますが、2H13 では、Java エクスプロイトは最も遭遇率が高かった種類のエクスプロイトでした。 • Web ベース (HTML/JavaScript) の脅威の遭遇は、2H13 では半数以下に減少して、遭遇率が 2 位の種類のエクスプロイトになりました。
• オペレーティング システム、Adobe Flash、およびドキュメントエクスプロイトの検出は、2013 年の下半期中、ほぼ横ばいでした。
エクスプロイト ファミリ
図 3 は、2013 年の下半期中に非常に頻繁に検出された、エクスプロイト関連のファミリを挙げています。
図 3. 2H13 にマイクロソフトのリアルタイム マルウェア対策製品が最も多く検出およびブロックしたエクスプロイト ファミリの四半期ごとの遭遇率に関する傾向 (相対的な蔓延度に応じて色分けしたもの)
エクスプロイト プラットフォームまたはテクノロジ 1Q13 2Q13 3Q13 4Q13
CVE-2012-1723 Java 0.72% 0.47% 0.55% 0.32%
CVE-2010-2568 (CplLnk) オペレーティング システム 0.31% 0.33% 0.35% 0.37%
CVE-2013-1493 Java 0.01% 0.20% 0.43% 0.24%
HTML/IframeRef* HTML/JavaScript 0.82% 0.92% 0.35% 0.30%
CVE-2013-0422 Java 0.35% 0.27% 0.29% 0.18%
CVE-2012-0507 Java 0.39% 0.25% 0.18% 0.17%
Blacole HTML/JavaScript 0.88% 0.35% 0.17% 0.17%
CVE-2010-0840 Java 0.12% 0.19% 0.14% 0.20%
CVE-2013-2423 Java - 0.10% 0.15% 0.10%
CVE-2011-3544 Java 0.16% 0.13% 0.11% 0.10%
各脆弱性の合計には、エクスプロイト キットの一部として検出されたエクスプロイトは含まれません。
*合計には、エクスプロイトとして分類された IframeRef の亜種のみが含まれます。
2H13 の業界全体
での脆弱性公開数
は増加しましたが、
深刻度の高い脆弱
性は減少しました。
マイクロソフト セキュリティ インテリジェンス レポート、第 16 版、2013 年 7 月 ~ 12 月 5
• 全体としては、エクスプロイトの遭遇率は 2H13 に著しく減少しました。 • CVE-2012-1723 (Java ランタイム環境 (JRE) の脆弱性) は、2H13 において最も
標的とされた回数が多い脆弱性でしたが、1Q13 のピークからは著しく減少しています。CVE-2012-1723 を標的とするエクスプロイトは、その脆弱性を利用すると、コンピューター上で攻撃者が選択したプログラムをダウンロードおよび実行できます。CVE-2012-1723 は多くの場合、ドライブバイ ダウンロードを通じて悪用されます (ドライブバイ ダウンロード サイトの詳細については、19 ページを参照してください)。
• CVE-2010-2568 は、2H13 において標的とされた回数が 2 番目に多い脆弱性であり、Windows シェルに存在する脆弱性です。多くの場合、検出は Win32/CplLnk ファミリの亜種として識別されます。ただし、他の複数のマルウェア ファミリもこの脆弱性の悪用を試みます。この脆弱性は、2010 年中頃にマルウェア ファミリ Win32/Stuxnet による使用で最初に確認され、それ以降その他多くのファミリによって悪用されてきましたが、これらのファミリの多くは脆弱性の公開よりも前から存在し、後から、この脆弱性の悪用を試行するように改変されました。マイクロソフトは、この問題に対処するため、2010 年 8 月にセキュリティ情報 MS10-046 を公開しました。
• Blacole は、「Blackhole」と呼ばれるエクスプロイト キットのコンポーネントに対するマイクロソフトの検出名であり、感染した Web ページを通じて悪意のあるソフトウェアを配布します。攻撃を試みようとする人物は、ハッカー フォーラムにおいて、およびその他の非合法の経路を通じて、Blacole キットを購入するか賃借します。攻撃者が悪意のある、または侵害された Web サーバー上で Blacole キットを読み込むと、適切なセキュリティ更新プログラムをインストールしていない訪問者は、ドライブバイ ダウンロード攻撃による感染のリスクにさらされます。1Q13 には、すべての報告コンピューターの 0.88% で Blacole に遭遇しましたが、その後急減し、3Q13 と 4Q13 では共に遭遇率はわずか 0.17% になっています。Blacole キットの作成者は「Paunch」と呼ばれ、新しいエクスプロイトと手法でキットを頻繁に更新したことで知られていましたが、2013 年 10 月にキットの開発は突如停止し、その後 Paunch とされる人物がロシア当局により逮捕されました。2
2 Blackhole マルウェア エクスプロイト キットの容疑者を逮捕 (bbc.com、2013 年 10 月 9 日、http://www.bbc.com/news/technology-24456988 (英語情報))。
全体としては、エクスプロイトの遭遇率は
2H13 に著しく減少しました。
6 主要な知見の概要
マルウェア コンピューターに感染しようとするマルウェアの試行の多くは成功しません。インターネットに接続されているパーソナル コンピューターの 4 分の 3 以上はリアルタイム セキュリティ ソフトウェアによって保護されています。リアルタイム セキュリティ ソフトウェアは、脅威がないかどうかコンピューターとネットワーク トラフィックを常時監視し、可能であれば脅威がコンピューターに感染する前にブロックします。そのため、マルウェアの状況を包括的に把握するには、除去された感染だけでなく、ブロックされた感染試行も考慮することが重要です。
このため、マイクロソフトは以下の 2 種類の指標を使用してマルウェアの蔓延度を測定しています。3
• 遭遇率は、マイクロソフトのリアルタイム セキュリティ製品を実行しているコンピューターのうち、マルウェアの遭遇を報告したコンピューターの単なるパーセンテージです。たとえば、3Q13 におけるドイツでのマルウェア ファミリ
Win32/Sefnit の遭遇率は 1.73% でした。このデータは、3Q13 にドイツでマイクロソフトのリアルタイム セキュリティ ソフトウェアを実行していたコンピューターのうち、1.73% は Sefnit ファミリに遭遇したことを報告し、98.27% は報告しなかったことを意味します (遭遇率の計算では、マイクロソフトにデータを提供することを選択したユーザーのコンピューターのみが考慮されています)。
• Computers cleaned per mille (CCM) は、悪意のあるソフトウェアの削除ツール (MSRT) を実行している 1,000 台の一意のコンピューターのうち感染が除去されたコンピューターの台数として定義されている、感染率の指標です。MSRT は、Microsoft Update サービスを通じて配布される無料のツールであり、200 以上の蔓延度の高い脅威または深刻な脅威をコンピューターから除去します。MSRT はリアルタイム ツールではないため、コンピューター上に既に存在する脅威のみを検出および除去します。感染が試行されるタイミングではブロックしません。
3 マイクロソフトは、定期的に自社のデータ収集方法を確認および改良して、その範囲と精度を向上させています。このため、SIR のこの版で提示された統計は、以前の版の相当する統計と若干異なる場合があります。
マイクロソフト セキュリティ インテリジェンス レポート、第 16 版、2013 年 7 月 ~ 12 月 7
図 4 に、2 つの指標の相違を示します。
図 4. 2013 年における四半期別の全世界の遭遇率と感染率
図 4 で示されているように、また一般に予想されるとおり、マルウェアの遭遇はマルウェアの感染よりも大幅に頻繁に発生します。2013 の各四半期は、平均で、マイクロソフトに報告する世界中のコンピューターの約 21.2% がマルウェアに遭遇しています。同時に、MSRT は、1,000 台のコンピューターのうち、約 11.7 台 (1.17%) からマルウェアを除去しました。遭遇率と感染率の情報を組み合わせると、マルウェアがどのように伝搬し、コンピューターがどのように感染するかについてさまざまな視点を提供するため、マルウェアの状況のより幅広い像を示すのに役立てることができます。
全世界のマルウェアの蔓延度
全世界の脅威パターンの全体像について、図 5 に 4Q13 の世界各地の感染率と遭遇率を示します。
0
50
100
150
200
250
0%
5%
10%
15%
20%
25%
1Q13 2Q13 3Q13 4Q13
Com
pute
rs c
lean
ed p
er 1,
000
scan
ned
(CCM
)
Perc
ent o
f all
repo
rtin
g co
mpu
ters
(enc
ount
er ra
te)
Encounter rate Infection rate (CCM)
8 主要な知見の概要
図 5. 4Q13 における国/地域別の遭遇率 (上) と感染率 (下)
セキュリティ ソフトウェアの使用
MSRT の最近のリリースでは、コンピューターの管理者がマイクロソフトへのデータ提供を選択している場合、コンピューター上のリアルタイム マルウェア対策ソフトウェアの状態に関する詳細を収集し、報告します。この遠隔測定により、世界中のセキュリティ ソフトウェアの使用パターンを分析し、感染率と関連付けることが可能になります。図 6 は、リアルタイムのセキュリティ ソフトウェアによって保護されている、または保護されていないことを MSRT が検出した、世界中のコンピューターのパーセンテージを 2013 年の四半期ごとに示します。
世界中のコンピューターの約 4 分の 3 は、 リアルタイムのセキュ リティ ソフトウェアを
常に実行しています。
マイクロソフト セキュリティ インテリジェンス レポート、第 16 版、2013 年 7 月 ~ 12 月 9
図 6. 2013 年におけるリアルタイムのセキュリティ ソフトウェアによって保護されていた世界中のコンピューターのパーセンテージ
オペレーティング システム別の感染率
Windows オペレーティング システムのさまざまなバージョンで利用できる機能と更新プログラム、個人ユーザーと組織による各バージョンの使用方法の差異は、バージョンとサービス パックごとの感染率に影響します。図 7 は、現在サポートされている Windows オペレーティング システムとサービス パックの組み合わせごとの感染率を示します。
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
1Q13 2Q13 3Q13 4Q13
Perc
ent o
f com
pute
rs ru
nnin
g th
e M
SRT
Intermit tent lyprotected
Unprotected
Always protected
10 主要な知見の概要
図 7. 3Q13 および 4Q13 におけるオペレーティング システムとサービス パックごとの感染率 (CCM)
SP = サービス パック。RTM = Release to Manufacturing。Windows XP のサポートは、4Q13 の四半期末よりも後である 2014 年 4 月 8 日に終了しました。CCM の数値は、2014 年により標準的なレベルに戻ると予想されています。
• このデータは正規化されています。つまり、Windows の各
バージョンの感染率は、1 バージョンあたり同数のコンピュー
ターを比較することで計算されています (たとえば、Windows
XP SP3 のコンピューター 1,000 台対 Windows 8 RTM のコン
ピューター 1,000 台)。
• 4Q13 の感染率は、サポートされているすべての Windows クライアント プラット
フォームにおいて、3Q13 よりも何倍も高くなりましたが、これは Win32/Rotbrow の
影響によるものです。CCM の数値は、2014 年により標準的なレベルに戻ると予
想されています。
脅威ファミリ
図 8 は、過去 4 四半期にわたって著しく増加または減少したいくつかのファミリの検出傾向を示します。
9.5
5.3 4.9
2.10.3
3.41.6 1.3 0.5
24.2
32.4
25.9
17.3
0.8
3.1 3.91.9 1.6 0.9
0.0
5.0
10.0
15.0
20.0
25.0
30.0
35.0
SP3 SP2 SP1 RTM RTM SP2 SP2 RTM SP1 RTM
Windows XP WindowsVista
Windows 7 Windows 8 Windows 8.1 WindowsServer 2003
WindowsServer 2008
Windows Server 2008 R2 WindowsServer 2012
Com
pute
rs c
lean
ed p
er 1,
000
scan
ned
(CCM
)
3Q13 4Q13
全プラットフォームでの感染率は、Rotbrow
が原因で 4Q13 に
何倍も高くなりました。
マイクロソフト セキュリティ インテリジェンス レポート、第 16 版、2013 年 7 月 ~ 12 月 11
図 8. 2013 年におけるいくつかの注目すべきマルウェア ファミリの検出傾向
• 2H13 における遭遇率の上位 4 ファミリである、Win32/Rotbrow、
Win32/Brantall、Win32/Wysotot、および Win32/Sefnit は新し
いファミリ、またはかなりの期間休眠状態であった後に再出現した
ものです。blogs.technet.com/mmpc にある MMPC ブログのエン
トリ「Rotbrow: The Sefnit distributor」(2013 年 12 月 10 日、
英語情報) を参照してください。
• Wysotot は、ユーザーの Web ブラウザーのスタート ページを変
更する、トロイの木馬のファミリです。通常、無料のソフトウェアま
たはゲームを宣伝するソフトウェア同梱プログラムによってインス
トールされます。Wysotot は、2013 年 10 月に初めて検出され、2014 年 3 月に
MSRT に検出署名が追加されました。Wysotot の詳細については、
blogs.technet.com/mmpc にある MMPC ブログのエントリ「MSRT March 2014 –
Wysotot」(2014 年 3 月 11 日、英語情報) を参照してください。
0%
1%
2%
3%
4%
5%
6%
7%
1Q13 2Q13 3Q13 4Q13
Perc
ent o
f all
repo
rtin
g co
mpu
ters
(enc
ount
er ra
te)
Win32/ Rotbrow
Win32/ ObfuscatorWin32/ Wysotot
Win32/ Brantall
Win32/ GamarueWin32/ Sefnit
INF/ Autorun
Win32/ Sality
2H13 の上位ファミリのうち 4 つは、新しいもの、またはかなりの期間休眠状態であった後に再出現したものです。
12 主要な知見の概要
家庭および企業での脅威
ホーム ユーザーと企業ユーザーの使用パターンは、非常に異なる傾向があります。これらの違いを分析すると、攻撃者が企業ユーザーとホーム ユーザーを標的にするさまざまな方法や、どの脅威が各環境で成功する可能性が高いかについて見識を得ることができます。
図 9. 2013 年における消費者向けおよび企業向けコンピューターでのマルウェアの遭遇率
• 企業環境では一般に、マルウェアによるユーザーのコンピューターへのアクセスをある
段階で防止する、企業ファイアウォールなどの多層防御の手段を実装しています。
したがって、企業向けコンピューターは消費者向けコンピューターよりもマルウェアの
遭遇率が低い傾向があります。図 9 に示すように、3Q13 も 4Q13 も、消費者向
けコンピューターの遭遇率は、企業コンピューターの遭遇率の約 2.2 倍でした。
図 10 および図 11 に、2H13 における、ドメインに参加しているコンピューターと非ドメイン コンピューターで検出された上位 10 位のファミリをそれぞれ示します。
0%
5%
10%
15%
20%
25%
1Q13 2Q13 3Q13 4Q13
Perc
ent o
f all
repo
rtin
g co
mpu
ters
(enc
ount
er ra
te) Consumer
Enterprise
マイクロソフト セキュリティ インテリジェンス レポート、第 16 版、2013 年 7 月 ~ 12 月 13
図 10. 2H13 における、ドメインに参加しているコンピューターで検出された上位 10 ファミリの四半期ごとの傾向 (各ファミリに遭遇したコンピューターのパーセンテージに基づく)
図 11. 2H13 における、非ドメイン コンピューターで検出された上位 10 ファミリの四半期ごとの傾向 (各ファミリに遭遇したコンピューターのパーセンテージに基づく)
0.0%
0.2%
0.4%
0.6%
0.8%
1.0%
1.2%
1.4%
1.6%W
in32/
Conf
icker
INF/
Auto
run
Win3
2/Ga
mar
ue
Win3
2/Sir
efef
HTM
L/Ifr
ameR
ef
Win3
2/Ob
fusc
ator
Win3
2/Ro
tbro
w
Win3
2/Br
anta
ll
Win3
2/Zb
ot
Java
/CVE
-201
2-17
23
Worms Miscellaneous Trojans Trojan Downloaders &Droppers
PW Stealers& Mon.Tools
Exploits
Perc
ent o
f all
repo
rtin
g co
mpu
ters
(enc
ount
er ra
te)
3Q13
4Q13
0%
1%
2%
3%
4%
5%
6%
7%
Win3
2/Ob
fusc
ator
Win3
2/Se
fnit
Win3
2/W
ysot
ot
Win3
2/Sir
efef
Win3
2/Ro
tbro
w
Win3
2/Br
anta
ll
INF/
Auto
run
Win3
2/Ga
mar
ue
Win3
2/Do
rkbo
t
Win3
2/Sa
lity
Miscellaneous Trojans Trojan Downloaders &Droppers
Worms Viruses
Perc
ent o
f all
repo
rtin
g co
mpu
ters
(enc
ount
er ra
te)
3Q13
4Q13
14 主要な知見の概要
• INF/Autorun、Win32/Brantall、Win32/Gamarue、Win32/Obfuscator、および
Win32/Rotbrow の 5 つの脅威は、両方のリストで共通でした。すべての脅威は、
非ドメイン コンピューターの方がドメインに参加しているコンピューターよりも高い遭
遇率でした。これらのファミリに関する詳細については、10 ページの「脅威ファミリ」を
参照してください。
• Win32/Conficker は、2H13 において、ドメインに参加し
ているコンピューターで最も遭遇率が高かったファミリであり、セ
キュリティ情報 MS08-067 で解決される脆弱性を悪用する
ことによって拡散するワームです。また、ドメイン環境で一般
的に使用されているネットワーク共有とリムーバブル ドライブを
通じて拡散する能力もあります。
• Win32/Sefnit は、2H13 において、非ドメイン コンピューターで 6 番目に遭遇率が
高かったファミリですが、長期間休眠状態であった後、3Q13 に著しく活動が活発
になりました。Sefnit は、リモートの攻撃者がコンピューターを使用してさまざまな活
動を実行できるようにするボットで、Tor 匿名ネットワークを使用してボットネットにコ
マンドを発行します。
ホーム ユーザーと 企業ユーザーの 使用パターンは、
非常に異なる傾向があります。
マイクロソフト セキュリティ インテリジェンス レポート、第 16 版、2013 年 7 月 ~ 12 月 15
電子メールの脅威 インターネット経由で送信された電子メール メッセージの 75% 以上は、迷惑メールです。このような迷惑メールはすべて、受信者の受信トレイや電子メール プロバイダーのリソースに重い負担をかけるだけでなく、電子メールで送信されるマルウェア攻撃やフィッシング試行が急増する可能性がある環境も生み出します。
ブロックされるスパム メッセージ
マイクロソフト セキュリティ インテリジェンス レポートのこのセクションの情報は、Exchange Online Protection によって提供される遠隔測定データをまとめたものです。Exchange Online Protection は、スパム、フィッシング、マルウェアのフィルタリング サービスを提供します。Exchange Online Protection は、何万ものマイクロソフトの企業カスタマーによって使用されており、毎月何百億というメッセージを処理します。
図 12. 2013 年の各月で Exchange Online Protection でブロックされたメッセージ
-
5
10
15
20
25
30
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Spam
mes
sage
s blo
cked
(in
billi
ons)
16 主要な知見の概要
• 図 13 に示すように、2H13 にブ
ロックされたメールの量は 1H13 と同レ
ベルで、2010 年の年末よりも前に確
認されたレベルをかなり下回るレベ
ルを維持しています。2010 年以降に
観測されたスパムの劇的な減少は、
有名な Cutwail (2010 年 8 月) や
Rustock (2011 年 3 月) など、多数
の大規模なスパム送信ボットネットの
テイクダウンの成功の結果として起こりました。4
Exchange Online Protection でブ
ロックまたはフィルターが不要だと判定された電子メール メッセージは、2010 年には
わずか 33 件に 1 件でしたが、2H13 にはおよそ 4 件に 1 件となりました。
図 14. 2013 年 7 月~ 10 月に Exchange Online Protection フィルターでブロックされた受信メッセージ (カテゴリ別)
4 Cutwail のテイクダウンの詳細については、マイクロソフト セキュリティ インテリジェンス レポート、第 10 版 (2010 年 7 月~
12 月) を参照してください。 Rustock のテイクダウンの詳細については、Microsoft ダウンロード センターから入手できる「Rustock の脅威との闘い」を参照してください。
Pharmacy(non-sexual)
43.1%
Image-only20.5%
419 scams14.0%
Malware7.1%
Non-pharmacy product ads
4.2%
Phishing4.1%
Financial2.5%
Dating/sexually explicit material
1.4%
Stock1.3%
Other1.9%
図 13. 1H10 ~ 2H13 の各半年間の、Exchange Online Protection でブロックされたメッセージ
-
50
100
150
200
250
300
350
400
450
500
1H10 2H10 1H11 2H11 1H12 2H12 1H13 2H13
Spam
mes
sage
s blo
cked
(in
billi
ons)
マイクロソフト セキュリティ インテリジェンス レポート、第 16 版、2013 年 7 月 ~ 12 月 17
悪意のある Web サイト 攻撃者は多くの場合、フィッシング攻撃の実行やマルウェアの配布に
Web サイトを使用します。通常、悪意のある Web サイトは、外見上は完全に正規であり、経験豊富なコンピューター ユーザーであっても表面上は悪意のある性質を示すものは確認できません。
フィッシング サイトの世界各地での分布
世界中のフリー ホスティング サイト、セキュリティが低下した Web サーバー、およびその他の多くの状況で、フィッシング サイトがホスティングされています。報告されたフィッシング サイトのデータベースで IP アドレスの地理的検索を実行すると、サイトの地理的分布を示すマップを作成し、パターンを分析することが可能になります。
図 15. 4Q13 における世界各地のインターネット ホスト 1,000 あたりのフィッシング サイト数
• 4Q13 に SmartScreen フィルターは、世界中のインターネット ホスト 1,000 あたり 5.5 のフィッシング サイトを検出しました。
• フィッシング サイトの集中率が平均よりも高い場所には、ウクライナ (4Q13 に
1,000 台のインターネット ホストあたり 14.2)、インドネシア (12.8)、南アフリカ (12.5) が挙げられます。フィッシング サイトの集中率が低い場所には、台湾 (1.4)、日本 (1.4)、および韓国 (1.6) が挙げられます。
18 主要な知見の概要
マルウェア ホスティング サイト
Internet Explorer の SmartScreen フィルターは、フィッシング サイトに加え、マルウェアをホスティングしていることが判明しているサイトから保護します。SmartScreen フィルターは、ファイルと URL の評価データ、およびマイクロソフトのマルウェア対策テクノロジを使用して、サイトが安全でないコンテンツを配信しているかどうかを判定します。
マルウェア ホスティング サイトの世界各地での分布
図 16. 4Q13 における世界各地のインターネット ホスト 1,000 あたりのマルウェア配布サイト数
• 2H13 には、マルウェアをホスティングするサイトは、フィッシング サイトよりも著しく高
い頻度でした。SmartScreen フィルターは、4Q13 に世界中のインターネット ホスト
1,000 あたり 18.4 のマルウェア ホスティング サイトを検出しました。
• フィッシング サイトの集中率は平均以下 (4Q13 は 1,000 台のインターネット ホス
トあたりのフィッシング サイト数 2.3) であった中国でも、マルウェア ホスティング サイ
トでは非常に高い集中率 (4Q13 は 1,000 台のインターネット ホストあたりのマル
ウェア ホスティング サイト数 35.8) でした。マルウェア ホスティング サイトの集中率が
高いその他の場所には、ウクライナ (59.2)、ルーマニア (57.8)、およびロシア (41.0)
が挙げられます。マルウェア ホスティング サイトの集中率が低い場所には、日本
(6.7)、ニュージーランド (7.6)、およびフィンランド (8.8) が挙げられます。
マイクロソフト セキュリティ インテリジェンス レポート、第 16 版、2013 年 7 月 ~ 12 月 19
ドライブバイ ダウンロード サイト
ドライブバイ ダウンロード サイトとは、Web ブラウザーおよびそのアドオンにある脆弱性を標的とするエクスプロイトを 1 つ以上ホスティングしている Web サイトのことです。脆弱性が存在するコンピューターを使用しているユーザーは、何もダウンロードしようとしなくても、そのような Web サイトにアクセスするだけでマルウェアに感染する可能性があります。
図 17. 4Q13 の四半期末における、Bing によってインデックスが作成された各国/地域での URL 1,000 あたりのドライブバイ
ダウンロード ページ数
このドキュメントは、そのレポートの主要な知見をまとめたものです。SIR Web サイトには、世界各地の 100 を超える国や地域で観察された傾向に関する徹底的な分析も含まれており、組織、ソフトウェア、およびユーザーに対するリスクの管理に役立つ提案も行っています。
SIRv16 は www.microsoft.com/japan/sir からダウンロードできます。
One Microsoft Way Redmond, WA 98052-6399 microsoft.com/security