ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB10003:P2Pファイル交換ソフト環境で流通するマルウェア(2010年)

更新日:2010年5月17日

P2Pファイル交換ソフト環境では、情報漏えいにつながるウイルスや著作権上不適切なファイルなどのコンテンツが多数流通しているといわれています。2008年から実施しているP2Pファイル交換ソフト環境のコンテンツ流通実態調査の中から、マルウェアの流通(第3回)について紹介します。第3回となるマルウェアの流通調査では、Winnyに加え、Shareも調査対象としました。

1. 結果要約

  • マルウェアは約25ファイルに1つ(図 1)
  • 流通量が多いアーカイブファイル(zip、lzh、rar)に限定すると、マルウェアは約6ファイルに1つ(図 1)
  • マルウェアのうち、フォルダなどの安全なコンテンツに見せかけたアイコン偽装を行っているマルウェアは約9割、さらに約3割がファイル名偽装
  • 既知マルウェアの7割が情報漏えいを引き起こすAntinnyとその亜種
  • 未知マルウェアは約1,000ファイルに1つで、未知のAntinny亜種の可能性が高い

図 1:ダウンロードファイル中のマルウェアの混入率
図 1:ダウンロードファイル中のマルウェアの混入率

2. 調査概要

2-1. Winny

  • 調査実施時期:2009年12月〜2010年1月(計3回実施)
  • 調査サンプル数:合計24,247ファイル(1回目6,714ファイル、2回目7,108ファイル、3回目10,425ファイル)。

2-2. Share

  • 調査実施時期:2009年12月〜2010年1月(計3回実施)
  • 調査サンプル数:合計27,103ファイル(1回目7,879ファイル、2回目7,389ファイル、3回目11,835ファイル)。

3. 調査手法

クローリング調査をもとに専用ツール(*1)によりダウンロードを実施し、マルウェアのチェックを行いました(図 2)。既知マルウェアのチェックでは、トレンドマイクロのアンチウイルスソフト(Server Protect for Linux)を用いてマルウェアの混入有無判定を行いました。未知マルウェアのチェックでは、セキュアブレインのZHRシステム(*2)を用いて、挙動によるマルウェア判定を行いました。

図2:調査の流れ
図2:調査の流れ

4. 調査結果

今回の調査で、Winny環境では、ダウンロードファイルのうち、マルウェアを含むファイルの割合は4.2%(既知:4.1%、未知:0.1%)となり、2009年より若干増加しました(表 1)。25個程度のファイルをダウンロードするとそのうちの1つにはマルウェアが含まれていることになります。

表1:調査結果
表1:調査結果

4-1. マルウェアのほとんどが巧妙に偽装

Winny環境では、マルウェアを含むダウンロードファイルのうち、アイコン偽装9割強、ファイル名偽装3割弱です。Share環境では、ファイル名偽装の傾向は高く(75.1%)、マルウェアを安全なコンテンツに見せかける偽装を行っている状況は定常化しているといえます(表 2)。

表2:偽装の傾向
表2:偽装の傾向

4-2. フォルダに見せかける偽装がトップ

アイコン偽装は、フォルダに見せかけるアイコン偽装が最も多く、Winny環境では7割(74.6%)、Share環境では9割(95.7%)にのぼります(図 3)。

図3:アイコン偽装の内訳
図3:アイコン偽装の内訳

4-3. 既知マルウェアを含むファイルのほとんどがアーカイブファイル

既知マルウェアを含むダウンロードファイルのほとんどがアーカイブファイルです(図 4)。Winny環境では、zip形式に次いでlzh形式のアーカイブファイルがマルウェアを含むファイルとしてランキングされていますが(zip:69.0%、lzh:25.6%)、Share環境ではlzh形式のアーカイブファイルが占める割合は非常に小さいものでした(zip:92.6%、lzh:1.4%)。WinnyならびにShare環境共に、zip形式のアーカイブファイルにマルウェアが含まれている割合が高く、アーカイブファイルを解凍するとフォルダアイコンに偽装したマルウェアが表示され、フォルダを開くつもりでマルウェアを実行してしまうことを狙ったものだと思われます。

図 4:既知マルウェアを含むファイル拡張子
図 4:既知マルウェアを含むファイル拡張子

4-4. アイコン偽装+ファイル名偽装

Winny環境とShare環境で傾向は異なりますが、マルウェアを含むダウンロードファイルには、アイコン偽装に加えて二重拡張子や多量スペースによるファイル名偽装がおこなわれています(図 5)。これによって、一見、アイコンもファイル名も安全に見えるようにして、マルウェアを実行しやすくしており、注意が必要です。

ファイル名偽装の内訳
図5:ファイル名偽装の内訳

4-5. 情報漏えいを引き起こすAntinnyタイプが多く存在

Winny環境では、情報漏えいを引き起こすAntinnyタイプが、検知した既知マルウェアの7割(72.9%)、Share環境では4割(39.0%)を占めています(図 6)。また、Winny環境で2割(21.7%)、Share環境で6割(57.3%)を占めるファイル感染型のほとんどは、PE_PARITE.A(Winny環境:97.4%、Share環境:98.9%)でした。

図6:既知マルウェアの内訳
図6:既知マルウェアの内訳

Winny環境では、Antinnyタイプのうち、WORM_ANTINNY.JB(18.0%)、WORM_ANTINNY.E(13.1%)の占める割合が高いのに対し、Share環境では、WORM_ANTINNY.AC(24.0%)が高くなっています。このように、同じ情報漏えいを引き起こすAntinnyタイプであっても、Winny環境とShare環境では、流通傾向に違いがみられました。

図 7:Antinnyタイプの内訳
図 7:Antinnyタイプの内訳

Winny環境、Share環境のいずれにおいても、未知マルウェアと推測されるファイルはすべてワーム型でした(図 8)。特に、Winny環境に流通する未知マルウェアは、既知マルウェアのWORM_ANTINNY.ANと類似した挙動を示したことから、同様の原種から派生した亜種と考えられます。

図 8:未知マルウェアの内訳
図 8:未知マルウェアの内訳

Winny環境とShare環境で流通するマルウェアの傾向を比較すると、表 3のようになります。ファイル拡張子、既知マルウェアのタイプだけではなく、マルウェアに付与されているファイル名についても、Winny環境とShare環境で流通傾向の異なることがわかりました。

表 3:Winny環境とShare環境で流通するマルウェアの比較
表 3:Winny環境とShare環境で流通するマルウェアの比較

3年間を通じた調査結果から、Winny環境には、依然としてAntinnyタイプの情報漏えいを引き起こす既知マルウェアが多く流通しており、その多くが安全なコンテンツに見せかけた「アイコン偽装」を行い、巧妙にマルウェアを実行させる偽装を行っています。また、Winny環境におけるダウンロードファイル中のマルウェアの混入率が、ほぼ4%前後と一定しており、マルウェアの流通する環境として定常化していると言えます。
対策としては、流通するマルウェアの多くが既知であることから、最新の状態にあるアンチウイルスソフトの利用がセキュリティ対策として効果的であるといえます。ただし、少数ではありますが、アンチウイルスソフトで検知できないマルウェアが存在していますので、引き続き十分な注意が必要です。

*1
専用ツールによるダウンロード
Winnyでは、仮想キーと呼ばれる「他ノードが保持するファイルを自ノードが保持しているように記述する情報」が流れています。この情報に基づきファイルのダウンロードを行うと、Winnyノード間でファイルの中継動作が発生してしまう場合があり、結果として著作物やマルウェアの複製を助長してしまう可能性があります。本調査では、クローリング調査により、実ファイル保持可能性が高いファイル所在情報を抽出した後、Winny、Share専用ツールでダウンロードする調査方法を採用しました。
*2
ZHR(Zero Hour Response)システム
株式会社セキュアブレインによる検体解析システム。

商品名称等に関する表示

本稿に記載されている会社名、製品名は、それぞれの会社の商標もしくは登録商標です。


本調査は、総務省から委託を受けた「ネットワークを通じた情報流出の検知及び漏出情報の自動流通停止のための技術開発」の成果の一部です。また、株式会社エヌ・ティ・ティピー・シーコミュニケーションズ、株式会社クロスワープ、社団法人コンピュータソフトウェア著作権協会、トレンドマイクロ株式会社、株式会社セキュアブレイン、株式会社フォティーンフォティ技術研究所の協力により実施しました。

更新履歴

2010年5月17日
  • このページを新規作成および公開しました。

担当:寺田/システム開発研究所、水野/日立GP、大西/HIRT