ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB09007:P2Pファイル交換ソフト環境で流通するマルウェア(2009年)

更新日:2010年5月6日

P2Pファイル交換ソフト環境では、情報漏えいにつながるウイルスや著作権上不適切なファイルなどのコンテンツが多数流通しているといわれています。2008年に続いて実施した第2回P2Pファイル交換ソフト環境のコンテンツ流通実態調査の中から、マルウェアの流通について紹介したいと思います。

結果要約

  • マルウェアは約30ファイルに1つ
  • 流通量が多いアーカイブファイル(zip、lzh、rar)に限定すると、マルウェアは約7ファイルに1つ
  • マルウェアのうち、フォルダなどの安全なコンテンツに見せかけたアイコン偽装を行っているマルウェアは約9割、さらに約4割がファイル名偽装
  • 既知マルウェアの7割が情報漏えいを引き起こすAntinnyとその亜種
  • 未知マルウェアは約500ファイルに1つで、未知のAntinny亜種の可能性が高い

調査概要

  • 対象P2Pファイル交換ソフトウェア:Winny
  • 調査実施時期:2008年12月〜2009年1月(計3回実施)
  • 調査サンプル数:合計29,103ファイル(1回目10,260ファイル、2回目11,305ファイル、3回目7,538ファイル)

調査手法

クローリング調査をもとに専用ツール(*1)によりダウンロードを実施し、マルウェアチェックを行いました(図 1)。既知マルウェアチェックでは、トレンドマイクロのアンチウイルスソフトを用いてマルウェアの混入有無判定を行いました。未知マルウェアチェックでは、セキュアブレインのZHRシステム(*2)を用いて、挙動によるマルウェア判定を行いました。

図1:調査の流れ
図1:調査の流れ

調査結果

今回の調査で、ダウンロードファイルのうち、既知マルウェアを含むファイルの割合は3.5%となり、2008年より若干低下しました(表 1、図 2)。しかし、30個程度のファイルをダウンロードするとそのうちの1つにはマルウェアが含まれていることになります。

表1:調査結果
表1:調査結果

図2:調査結果
図 2:調査結果

マルウェアのほとんどが巧妙に偽装

マルウェアを含むダウンロードファイルのうち、アイコン偽装95%、ファイル名偽装38%であり、ファイル名を偽装しているマルウェアは、全てアイコンも偽装されていました。マルウェアを安全なコンテンツに見せかける偽装を行っている割合が2008年より増加しています(表 2)。

表2:偽装の傾向
表2:偽装の傾向

フォルダに見せかける偽装がトップ

2008年と同様に、フォルダに見せかけるアイコン偽装が多くみられました(図 3)。

図3:アイコン偽装の内訳
図3:アイコン偽装の内訳

既知マルウェアを含むファイルのほとんどがアーカイブファイル

既知マルウェアを含むダウンロードファイルは、ほとんどがアーカイブファイルです(図 4、図 5)。アーカイブファイルを解凍するとフォルダアイコンに偽装したマルウェアが表示され、フォルダを開くつもりでマルウェアを実行してしまうことを狙ったものだと思われます。なお、調査対象としたダウンロードファイルの中には、既知マルウェアと未知マルウェアを両方含むアーカイブファイルのありませんでした。

図 4:既知マルウェアを含むファイル拡張子
図 4:既知マルウェアを含むファイル拡張子

図 5未知マルウェアを含むファイル拡張子
図 5:未知マルウェアを含むファイル拡張子

アイコン偽装+ファイル名偽装

マルウェアを含むダウンロードファイルでは、アイコン偽装に加えて二重拡張子や多量スペースによるファイル名偽装を組み合わせていました(図 6)。これによって、一見、アイコンもファイル名も安全に見えるようにして、よりマルウェアを実行しやすくしており、注意が必要です。

図 6:二重拡張子の傾向
図6:二重拡張子の傾向

情報漏えいを引き起こすAntinnyタイプが多く存在

2008年と同様に、検知した既知マルウェアの約7割が情報漏えいを引き起こすAntinnyタイプでした(図 7)。
未知マルウェアと推測されるファイルのほとんどはワーム型で、計84個の未知マルウェアのうち77個はAntinnyと類似した挙動を示し、残り7個は異なる挙動を示しました。その挙動から今回検知された未知マルウェアのほとんどが、未知のAntinny亜種であると考えられます(図 8)。

図7:既知マルウェアの内訳
図7:既知マルウェアの内訳

図 8:未知マルウェアの内訳
図8:未知マルウェアの内訳

調査結果から、依然としてAntinnyタイプの情報漏えいを引き起こす既知マルウェアが多く流通しており、その多くが安全なコンテンツに見せかけた「アイコン偽装」を行い、巧妙にマルウェアを実行させる偽装を行っています。最新の状態にあるアンチウイルスソフトの利用がセキュリティ対策として効果的であるといえます。ただし、少数ではありますが、アンチウイルスソフトで検知できないマルウェアが存在していますので、引き続き十分な注意が必要です。

*1
専用ツールによるダウンロード
Winnyでは、仮想キーと呼ばれる「他ノードが保持するファイルを自ノードが保持しているように記述する情報」が流れています。この情報に基づきファイルのダウンロードを行うと、Winnyノード間でファイルの中継動作が発生してしまう場合があり、結果として著作物やマルウェアの複製を助長してしまう可能性があります。
本調査では,クローリング調査により、実ファイル保持可能性が高いファイル所在情報を抽出した後、専用ツールでダウンロードする調査方法を採用することで、ファイルの中継動作を発生しないような運用方式で実施しました。
*2
ZHR(Zero Hour Response)システム
株式会社セキュアブレインによる検体解析システム。

商品名称等に関する表示

本稿に記載されている会社名、製品名は、それぞれの会社の商標もしくは登録商標です。


本調査は、総務省から委託を受けた「ネットワークを通じた情報流出の検知及び漏出情報の自動流通停止のための技術開発」の成果の一部です。また、株式会社エヌ・ティ・ティピー・シーコミュニケーションズ、株式会社クロスワープ、社団法人コンピュータソフトウェア著作権協会、トレンドマイクロ株式会社、株式会社セキュアブレイン、株式会社フォティーンフォティ技術研究所の協力により実施しました。

関連情報

更新履歴

2010年5月6日
  • 表2に注釈を追記しました。
2010年3月1日
  • このページを新規作成および公開しました。

担当:寺田/システム開発研究所、水野/日立GP、大西/HIRT