更新日:2011年9月13日
P2Pファイル交換ソフト環境では、情報漏えいにつながるウイルスや著作権上不適切なファイルなどのコンテンツが多数流通しているといわれています。2008年から実施しているP2Pファイル交換ソフト環境のコンテンツ流通実態調査の中から、マルウェアの流通(第4回)について紹介します。第4回となるマルウェアの流通調査では、WinnyとShareを調査対象としました。
図 1:ダウンロードファイル中のマルウェアの混入率
クローリング調査をもとに専用ツール(*1)によりダウンロードを実施し、マルウェアのチェックを行いました(図 2)。既知マルウェアのチェックでは、トレンドマイクロのアンチウイルスソフト(Server Protect for Linux)を用いてマルウェアの混入有無を判定しました。
図2:調査の流れ
今回の調査で、Winny環境では、ダウンロードファイルのうち、マルウェアを含むファイルの割合は3.7%となり、27個程度のファイルをダウンロードするとそのうちの1つにはマルウェアが含まれていることになります。マルウェアを含むファイルの割合は2010年より若干減少していますが、4年間を通じてほぼ4%前後となっています(表 1)。Share環境でも割合は1.3%となっており、変動のない状況が続いています。このため、今後も、WinnyならびにShare環境を利用するユーザがマルウェアをダウンロードしてしまう危険性は高いといえます。
表1:調査結果
Winny環境では、マルウェアを含むダウンロードファイルのうち、アイコン偽装9割(95.2%)、ファイル名偽装3割(29.9%)です。一方、Share環境では、ファイル名偽装7割(72.2%)と高く、マルウェアを安全なコンテンツに見せかける偽装は定常化しています(表 2)。
表2:偽装の傾向
アイコン偽装は、フォルダに見せかけるアイコン偽装が最も多く、Winny環境では7割(73%)、Share環境では9割(95.3%)にのぼります(図 3)。
図3:アイコン偽装の内訳
既知マルウェアを含むダウンロードファイルのほとんどがアーカイブファイルです(図 4)。Winny環境では、zip形式に次いでlzh形式のアーカイブファイルがマルウェアを含むファイルとしてランキングされていますが(zip:63.0%、lzh:27.3%)、Share環境ではlzh形式のアーカイブファイルが占める割合は非常に小さいものでした(zip:96.1%、lzh:0.6%)。WinnyならびにShare環境共に、zip形式のアーカイブファイルにマルウェアが含まれている割合が高く、アーカイブファイルを解凍するとフォルダアイコンに偽装したマルウェアが表示され、フォルダを開くつもりでマルウェアを実行してしまうことを狙ったものだと思われます。
図 4:既知マルウェアを含むファイル拡張子
Winny環境とShare環境で傾向は異なりますが、マルウェアを含むダウンロードファイルには、アイコン偽装に加えて二重拡張子や多量スペースによるファイル名偽装がおこなわれています(図 5)。これによって、一見、アイコンもファイル名も安全に見えるようにして、マルウェアを実行しやすくしており、注意が必要です。
図5:ファイル名偽装の内訳
Winny環境では、情報漏えいを引き起こすAntinnyタイプが、検知した既知マルウェアの7割(72.9%)、Share環境では3割(32.4%)を占めています(図 6)。また、Winny環境で2割(23.9%)、Share環境で6割(60.7%)を占めるファイル感染型のほとんどは、PE_PARITE.A(Winny環境:100%、Share環境:98.3%)でした。
PE_PARITE.Aは、初めて確認されたのが2002年5月以前であり、最も新しい亜種が確認されたのは2006年9月と比較的古いウィルスです。新しい亜種が確認されていませんが、最近でも感染被害が数多く報告されていることから、このPE_PARITE.AはWinny環境などのP2Pファイル交換ソフト環境内で広く流通し、セキュリティ対策の万全ではないユーザPCに駆除されずに生き残り続けている可能性があります。
図6:既知マルウェアの内訳
Winny環境では、Antinnyタイプのうち、WORM_ANTINNY.JB(14.7%)、WORM_ANTINNY.E(10.1%)の占める割合が高いのに対し、Share環境では、ANTINNY.F(63.8%)が高くなっています。このように、同じ情報漏えいを引き起こすAntinnyタイプであっても、Winny環境とShare環境では、流通傾向に違いがみられます。
図 7:Antinnyタイプの内訳
既知のマルウェアを含むダウンロードファイルを対象に、そのファイルを保持している可能性のあるノードについて傾向分析を行いました。なお、保持ノードの抽出(*2)には、ファイルの所在を格納した情報(キー情報)を使用しました。
上記の保持ノードについて、既知マルウェアを含むダウンロードファイル何種類を保持しているのかを調査してみると、WinnyならびにShare環境共に、1種類のマルウェアファイルが保持しているノードが8割(Winny環境:2377ノード、Share環境:719ノード)でした。また、3種類以下にまで増やすと保持ノードの9割強になります。このことから、多くの保持ノードは、ファイル交換を通して意図せずにマルウェアファイルを保持してしまっている状態にあると考えられます。
ただし、Winny環境では、20種類前後のマルウェアファイルを保持しているノードもあるようです。このように、どこかのノードにマルウェアファイルが保持されていると、そのファイルが流通することになるため、結果として、P2Pファイル交換ソフト環境がマルウェアの流通する環境として定常化してしまうことになります。
図 8:マルウェアファイルの保持傾向
Winny環境とShare環境で流通するマルウェアの傾向を比較すると、表 3のようになります。ファイル拡張子、既知マルウェアのタイプだけではなく、マルウェアに付与されているファイル名についても、Winny環境とShare環境で流通傾向が異なります。
表 3:Winny環境とShare環境で流通するマルウェアの比較
4年間を通じた調査結果から、Winny環境には、依然としてAntinnyタイプの情報漏えいを引き起こす既知マルウェアが多く流通しており、その多くが安全なコンテンツに見せかけた「アイコン偽装」を行い、巧妙にマルウェアを実行させる偽装を行っています。また、Winny環境ならびにShare環境共に、ダウンロードファイル中のマルウェアの混入率(Winny:4%前後で推移、Share:1.3%)がほぼ一定しており、マルウェアの流通する環境として定常化しています。
対策としては、流通するマルウェアの多くが既知であることから、最新の状態にあるアンチウイルスソフトの利用がセキュリティ対策として効果的です。
本稿に記載されている会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
本調査は、総務省から委託を受けた「ネットワークを通じた情報流出の検知及び漏出情報の自動流通停止のための技術開発」の成果の一部です。また、株式会社エヌ・ティ・ティピー・シーコミュニケーションズ、株式会社クロスワープ、トレンドマイクロ株式会社、株式会社フォティーンフォティ技術研究所の協力により実施しました。
担当:寺田/横浜研究所、梅木/セキュリティ・トレーサビリティ事業部、大西/HIRT
グローバルサイン:
重要な電子文書にデジタル署名。広報にも役立っています
