ソフトウェアの脆弱性とエクスプロイト マルウェア 望ましくない可能性のあるソフトウェア 悪意のある Web サイトについての綿密な全体像 マイクロソフトセキュリティ インテリジェンスレポート 第 14 版 2012 年 7 月 ~ 12 月 主要な知見の概要

マイクロソフト セキュリティ

インテリジェンス レポート

第 14 版

2012 年 7 月 ～ 12 月

主要な知見の概要

ソフトウェアの脆弱性とエクス

プロイト、マルウェア、望まし

くない可能性のあるソフトウェ

ア、悪意のある Web サイトにつ

いての綿密な全体像

マイクロソフト セキュリティ インテリジェンス

レポート主要な知見の概要

このホワイト ペーパーは情報提供のみを目的としており、明示か暗黙か、または 制定法かを問わず、これらの情報についてマイクロソフトはいかなる責任も負い ません。 このホワイトペーパーは現状有姿のまま提供されます。このドキュメントに記載 されている情報や見解 (URL 等のインターネット Web サイトに関する情報を含 む) は、将来予告なしに変更することがあります。本ソフトウェアの使用から生 じる危険は、お客様が負担するものとします。

Copyright © 2013 Microsoft Corporation. All rights reserved.

マイクロソフト セキュリティ

インテリジェンス レポート、

第 14 版

マイクロソフト セキュリティ インテリジェンス レポートの第 14 版 (SIRv14) では、Microsoft 製およびサードパーティ製ソフトウェアにおけ るソフトウェアの脆弱性とエクスプロイト、悪意のあるコードによる脅威、 および望ましくない可能性のあるソフトウェアについて綿密な全体像を示 します。Microsoft は、過去数年間分、特に 2012 年下半期の傾向に注目し て傾向分析を詳細に行い、その結果に基づいてこの全体像を得ました。 本書では、そのレポートの主要な知見をまとめます。SIRv14 には、評判 の良いベンダーのセキュリティ ソフトウェアを実行することおよびその ソフトウェアを最新の状態に保つことが、マルウェアにさらされる度合い を低減するために最も重要なステップの 1 つであることを示す特集記事が あります。 SIR Web サイトには、世界各地の 100 を超える国や地域で観察された傾 向に関する徹底的な分析も含まれており、組織、ソフトウェア、および ユーザーに対する危険に対処するのに役立つ提案も行っています。 SIRv14 は、www.microsoft.com/japan/sir からダウンロードできます。

世界規模での脅威評価

脆弱性

脆弱性とは、ソフトウェアの弱点のことであり、攻撃者はこれを悪用して ソフトウェアまたはそのソフトウェアが処理するデータの整合性、可用性、 または機密性を損ないます。一部の最悪の脆弱性では、攻撃者がセキュリ ティの低下したシステムにユーザーの知らないうちに悪意のあるコードを 実行させることで、システムを悪用することができます。 図 1. 1H10 ～ 2H121 _{におけるソフトウェア業界全体での脆弱性 (CVE) の重大度、複雑さ、タイプ別露見数、} マイクロソフト製品とそれ以外の製品に対する露見数の推移 1 _{このレポートでは、半年および四半期を表現するために nHyy 形式または nQyy 形式が使用されてい} ます。yy は暦年を n は半期または四半期を示します。たとえば、2H12 は 2012 年の下半期 (7 月 1 日～

 業界全体での脆弱性露見数は、1H12 から 7.8% 減少しました。主な原 因は、アプリケーションの脆弱性露見数が減少したことです。減少し たにもかかわらず、2H12 の脆弱性露見数は 1 年前の 2H11 との比較 で 20% 増加しました。  業界全体の脆弱性露見数が全体的に減少したことは、1H12 から 25.1% 減少した重大度の高い脆弱性の減少のみに起因しています。前 期に 38% であった重大度の高い脆弱性は、2H12 では 30.9% でした。  1H12 のアプリケーションの脆弱性露見数の増加は、2H09 から期間ご とに一貫して減少してきた傾向にストップをかけました。

エクスプロイト

エクスプロイトとは、ソフトウェアの脆弱性を利用する悪意のあるコード のことです。ユーザーの同意を得ずに、一般的にはユーザーの知らないう ちにコンピューターに感染し、妨害し、乗っ取ります。エクスプロイトは、 コンピューターにインストールされたオペレーティング システム、Web ブラウザー、アプリケーション、またはソフトウェア コンポーネントの 脆弱性を標的にします。詳細については、www.microsoft.com/japan/sir からダウンロードできる SIRv14 を参照してください。

図 2 は、3Q11 から 4Q12 までの四半期ごとに Microsoft マルウェア対策 製品が検出したさまざまな種類のエクスプロイトの流行を、影響を受けた コンピューターの台数で示したものです。 図 2. 3Q11 ～ 4Q12 にさまざまなエクスプロイトを報告した一意のコンピューター  2012 年下半期は、HTML または JavaScript を介して広まったエクスプ ロイトを報告しているコンピューターの数が依然として多く、その主 な原因は、マルチプラットフォーム エクスプロイトのファミリ、 Blacole が引き続き流行していることです。  ドキュメントのリーダーとエディターの脆弱性を標的とするエクスプ ロイトは、4Q12 には、Win32/Pdfjsc の検出が増加したことが原因と なって急増しました。  Java エクスプロイトは、3Q12 では 2Q12 の合計の 3 分の 1 以下に減 少しましたが、4Q12 にはその減少分の約半分の増加が見られ、その 年の下半期中に検出件数が 3 番目に多いタイプのエクスプロイトとな りました。

エクスプロイトのファミリ 図 3 は、2012 年の下半期に最も頻繁に検出されたエクスプロイト関連 ファミリを示しています。 図 3. 2H12 に Microsoft マルウェア対策製品が最も多く検出したエクスプロイト ファミリの四半期ごとの傾向 (検出されたコンピューターの台数を相対普及率に準じて色分けしたもの) エクスプロイト プラットフォーム またはテクノロジ 1Q12 2Q12 3Q12 4Q12 Win32/Pdfjsc* ドキュメント 1,430,448 1,217,348 1,187,265 2,757,703 Blacole HTML/JavaScript 3,154,826 2,793,451 2,464,172 2,381,275 CVE-2012-1723* Java — — 110,529 1,430,501 悪意のある IFrame HTML/JavaScript 950,347 812,470 567,014 1,017,351 CVE-2010-2568 (MS10-046) オペレーティング システム 726,797 783,013 791,520 1,001,053 CVE-2012-0507* Java 205,613 1,494,074 270,894 220,780 CVE-2011-3402 (MS11-087) オペレーティング システム 42 24 66 199,648 CVE-2011-3544* Java 1,358,266 803,053 149,487 116,441 シェルコード* シェル コード 105,479 145,352 120,862 73,615 JS/Phoex Java 274,811 232,773 201,423 25,546 * この脆弱性は Blacole キットでも利用されています。この脆弱性の合計は Blacole の検出を除外しています。

 Adobe Reader および Adobe Acrobat の脆弱性をエクスプロイトする 目的で作成された PDF ファイル Win32/Pdfjsc の検出は、3Q12 から 4Q12 までの間に倍増しました。これは、第 4 四半期に最も頻繁に検 出されたエクスプロイト、また、下半期全体では 2 番目に頻繁に検出 されたエクスプロイトとなりました。

 Blacole は、悪意のあるソフトウェアを感染した Web ページを通じて 広める "ブラックホール" と呼ばれるエクスプロイト キットのコン ポーネントに対する Microsoft での検出名です。Blacole は、2012 年 上半期に最も頻繁に検出されました。攻撃を企てる者は、ハッカー フォーラムやその他の違法な店から Blacole キットを購入またはレン タルします。これは、Adobe Flash Player、Adobe Reader、Microsoft Data Access Components (MDAC)、Oracle Java Runtime Environment (JRE) など、人気のある製品やコンポーネントのバージョンの脆弱性に 対するエクスプロイトが含まれた悪意のある Web ページを集めて構 成されています。悪意のある Web サーバーや不正侵入された Web サーバーに攻撃者が Blacole キットをロードすると、適切なセキュリ ティ更新プログラムをインストールしていない訪問者は、ドライブバ イ ダウンロード攻撃を介して感染する危険があります。

マルウェアと望ましくない可能性

のあるソフトウェア

指定する場合を除き、このセクションの情報は、全世界の 6 億台以上のコ ンピューターとインターネットで最もアクセス数が多い一部のオンライン サービスから生成された遠隔測定データから構成されています。感染率は Computers Cleaned per Mille (CCM) (Mille は 1,000) 単位で表し、1 四半期 に Windows® 悪意のあるソフトウェアの削除ツールを 1,000 回実行する ごとにクリーニングされたコンピューターの台数を示します。このツール は、Microsoft Update および Microsoft セーフティとセキュリティ セン ター Web サイトから入手できます。

世界各地での感染パターンの全体像についてですが、世界各地の感染率 (CCM 単位) を図 4 に示します。個別の国や地域での検出件数および削除 件数は、四半期ごとに大きく変動する可能性があります。

図 5. 4Q12 におけるオペレーティング システムおよびサービス パック別感染率 (CCM 単位) "32" = 32 ビット版。"64" = 64 ビット版。SP = サービス パック。RTM = 初期出荷版。4Q12 に MSRT の実行合計が 0.1% 以上のオペレーティング システム。 このデータは、正規化してあります。つまり、各バージョンの Windows の感染率は、1 バージョンあたり同数のコンピューターを比較することで 計算します (たとえば、Windows XP SP3 コンピューター 1,000 台対 Windows 8 RTM コンピューター 1,000 台)。

脅威ファミリ

図 6. 2012 年の注目すべきファミリの検出傾向  2H12 年全体で最も頻繁に検出された Win32/Keygen の検出コン ピューター数は、2Q12 の 480 万台から 4Q12 の 680 万台に四半期ご とに増加しました。Keygen は、ユーザーが製品を不正に実行するた めにさまざまなソフトウェア製品のキーを生成するツールの検知です。  4Q12 に初めて出現したアドウェア検出である Win32/DealPly は、す ぐにこの四半期で 2 番目に頻繁に検出された脅威となりました。 DealPly は、ユーザーの Web 閲覧の習慣に関連した広告を表示するア ドウェア プログラムです。Win32/Protlerdob を含む、特定のサード パーティ製ソフトウェアのインストール プログラムにバンドルされて いることが知られています。

 ジェネリック ファミリ JS/IframeRef の検出は、2Q12 ～ 3Q12 の間に 大幅に減少した後、4Q12 に 5 倍に増加しました。IframeRef は特別に 作成された HTML インライン フレーム (IFrame) タグで、有害な内容 が含まれたリモート Web サイトをリダイレクトします。広く使用さ れた 2 種類の新型亜種が 2012 年の 4 月と 11 月に発見されたことに より、IframeRef の検出が 2Q12 と 4Q12 で増加しました (これらの亜 種は 2013 年 1 月に Trojan:JS/Seedabutor.A および Trojan:JS/Seedabutor.B としてそれぞれ再分類されました)。

家庭および企業での脅威

ドメインに参加しているコンピューターとドメインに参加していないコン ピューターが遭遇する脅威を比較すると、攻撃者が企業ユーザーとホーム ユーザーを標的にするさまざまな方法のほか、どの脅威が各環境で成功す る可能性が最も高いかについても見識を得ることができます。  どちらの環境にも共通するファミリが 6 つあり、とりわけジェネリッ ク ファミリの Win32/Keygen と INF/Autorun、およびエクスプロイト ファミリの Blacole が一般的です。2H12 にドメインに参加していない コンピューターで最も頻繁に検出された Keygen は、ドメインに参加 しているコンピューターの 2 倍でした。ただし、このドメインに参加 しているコンピューターでの検出も両方の四半期で 3 番目にランク付 けされるほどの蔓延でした。  ワームのカテゴリはドメインに参加しているコンピューターで高いまま となりました。1 番頻繁に検出された Win32/Conficker は、年中にわず かに減少しましたが、ドメインに参加しているコンピューターで最も頻 繁に検出された脅威となりました。詳細については、「マイクロソフト セキュリティ インテリジェンス レポート、第 12 版 (2011 年 7 月～ 12 月)」の「Conficker がいかに増殖し続けているか」を参照してください。

 アドウェアは、通常、ドメインに参加しているコンピューターよりド メインに参加していないコンピューターで頻繁に検出されます。アド ウェア ファミリ Win32/DealPly は、第 4 四半期にドメインに参加して いないコンピューターで 2 番目に頻繁に検出された脅威ファミリでし た。また、別のアドウェア ファミリ Win32/Hotbar は 10 位にランク 付けされています。それに反して、ドメインに参加しているコン ピューターで検出された上位 10 位にアドウェア ファミリはありませ ん。 図 7. 2H12 にドメインに参加しているコンピューターで検出された上位 10 位のファミリの四半期ごとの傾向 (検出を報告しているドメインに参加しているコンピューターのパーセンテージに基づく) 0% 2% 4% 6% 8% 10% 12% 14% 16% JS /I fr am eR ef JS /B la co le R ef W in 32 /S ir ef ef IN F/ A ut or un W in 32 /K ey g en W in 32 /C on fic ke r W in 32 /D or kb ot B la co le W in 32 /P d fjs c W in 32 /Z bo t

Misc. Trojans Misc. Potentially Unwanted Software

Worm Exploit Password

Stealers & Monitoring Tools P e rc e n t o f a ll d o m a in -j o in e d c o m p u te rs c le a n e d 1Q12 2Q12 3Q12 4Q12

図 8. 2H12 にドメインに参加していないコンピューターで検出された上位 10 位のファミリの四半期ごとの傾向 (検出を報 告しているドメインに参加していないコンピューターのパーセンテージに基づく) 0% 2% 4% 6% 8% 10% 12% 14% 16% W in 3 2 /K e y g e n W in 3 2 /O b fu sc a to r IN F /A u to ru n B la co le Wi n 3 2 /P d fj sc W in 3 2 /H o tb a r W in 3 2 /D e a lP ly W in 3 2 /S a li ty W in 3 2 /D o rk b o t JS /I F ra m e R e f

Misc. Potentially Unwanted Software

Exploits Adware Viruses Worms Misc. Trojans P e rc e n t o f a ll n o n -d o m a in c o m p u te rs c le a n e d 1Q12 2Q12 3Q12 4Q12

電子メールでの脅威

ブロックされるスパム メッセージ

レポートのこのセクションで提供する情報は、Microsoft Exchange Online Protection によって提供される遠隔測定データをまとめたものです。 Microsoft Exchange Online Protection は、毎月膨大な量のメッセージを処 理する Microsoft の多数の企業顧客にスパム、フィッシング、マルウェア などのフィルタリング サービスを提供しています。

2H12 にブロックされたメールの量は 1H12 よりわずかに増加しましたが、 2010 年の終わり以前に見られたレベルを大きく下回っています。過去 2 年間で観測されたスパムの劇的な減少は、Cutwail (2010 年 8 月) や Rustock (2011 年 3 月) などの大規模なスパム送信ボットネットのテイク ダウンに成功した結果です。2 _{2010 年には、わずか 33 件に 1 件の電子} メール メッセージがブロックまたはフィルターされずに受信者の受信ト レイに配信されていましたが、2H12 には、およそ 4 件に 1 件となりまし た。

図 10. 1H09 ～ 2H12 の各半年間で Exchange Online Protection がブロックしたメッセージ件数

2 _{Cutwail テイクダウンの詳細については、「マイクロソフト セキュリティ インテリジェンス レポート、}

図 11. 2H12 に Exchange Online Protection フィルターがブロックした着信メッセージ (カテゴリ別)

Exchange Online Protection コンテンツ フィルターは、数種類の一般的な タイプのスパム メッセージを認識します。図 11 は、1H12 に検出された スパム タイプの相対な割合を示したものです。

悪意のある Web サイト

フィッシング サイト

世界中のフリー ホスティング サイト、セキュリティが低下した Web サーバー、およびその他の多くの状況で、フィッシング サイトがホスト されています。 図 12. 4Q12 における世界各地のインターネット ホスト 1,000 あたりのフィッシング サイト数  4Q12 に SmartScreen フィルターは、世界中のインターネット ホスト 1,000 台あたり 5.1 のフィッシング サイトを検出しました。  フィッシング サイトの集中率が平均より高い場所には、ブラジル (4Q12 に 1,000 台のインターネット ホストあたり 12.6)、オーストラ リア (9.1)、ロシア (8.3) が挙げられます。フィッシング サイトの集中 率が低い場所には、日本 (1.8)、フィンランド (1.9)、およびスウェーデ ン (2.8) が挙げられます。

マルウェア ホスティング サイト

Internet Explorer の SmartScreen フィルターは、フィッシング サイトに加 え、マルウェアをホストすることで知られるサイトから保護します。 SmartScreen フィルターは、URL の評価データおよび Microsoft マルウェ ア対策技術を使用して、サイトが安全でないコンテンツを配信するかどう かを判断します。フィッシング サイトの場合と同様に、Microsoft では、 各マルウェア ホスティング サイトを閲覧するユーザーの数を追跡し、そ の情報を SmartScreen フィルターの改善とマルウェア配布対策の向上に使 用しています。 図 13. 4Q12 における世界各地のインターネット ホスト 1,000 あたりのマルウェア配信サイト数  4Q12 に SmartScreen フィルターは、世界中のインターネット ホスト 1,000 台あたり 3_{10.8 のマルウェア ホスティング サイトを検出しまし} た。

 中国では、フィッシング サイトの集中率は平均以下 (4Q12 の 1,000 台 のインターネット ホストあたりのフィッシング サイト数 3.4) でした が、マルウェア ホスティング サイトでは非常に高い集中率 (4Q12 の 1,000 台のインターネット ホストあたりのマルウェア ホスティング サ イト数 25.1) となりました。マルウェア ホスティング サイトの集中率 が高いその他の場所には、ブラジル (32.0)、韓国 (17.9)、およびロシア (15.9) が挙げられます。マルウェア ホスティング サイトの集中率が低 い場所には、日本 (5.3)、スウェーデン (5.4)、およびポーランド (6.1) が挙げられます。

ドライブバイ ダウンロード サイト

ドライブバイ ダウンロード サイトとは、Web ブラウザーとそのアドオン の脆弱性を標的とするエクスプロイトを 1 つ以上ホストしている Web サ イトのことです。脆弱なコンピューターは、何もダウンロードしようとし なくても、そのような Web サイトにアクセスするだけで感染する可能性 があります。 図 14. 4Q12 末に Bing が指標とした各国/地域における URL 1,000 あたりのドライブバイ ダウンロード ページ数

本書では、そのレポートの主要な知見をまとめます。SIR Web サイトには、 世界各地の 100 を超える国や地域で観察された傾向に関する詳細な分析 も含まれており、組織、ソフトウェア、およびユーザーに対する危険に対 処するのに役立つ提案も行っています。

One Microsoft Way Redmond, WA 98052-6399 microsoft.com/security