ページの本文へ

Hitachi

Hitachi Incdent Response Team

HIRT-PUB11003:P2Pファイル交換ソフト環境で流通するマルウェア(2011年)

更新日:2011年9月13日

P2Pファイル交換ソフト環境では、情報漏えいにつながるウイルスや著作権上不適切なファイルなどのコンテンツが多数流通しているといわれています。2008年から実施しているP2Pファイル交換ソフト環境のコンテンツ流通実態調査の中から、マルウェアの流通(第4回)について紹介します。第4回となるマルウェアの流通調査では、WinnyとShareを調査対象としました。

1. 結果要約

  • マルウェアの流通する環境として定常化(流通するマルウェアの種類や割合に関して変動なし)しており、ウィルス感染ならびに情報漏えいに関する脅威は低減していない
  • マルウェアは27ファイルに1つ(図 1)
  • 流通量が多いアーカイブファイル(zip、lzh、rar)に限定すると、マルウェアは7ファイルに1つ(図 1)
  • マルウェアのうち、フォルダなどの安全なコンテンツに見せかけたアイコン偽装を行っているマルウェアは9割、さらに3割がファイル名偽装
  • 既知マルウェアの7割が情報漏えいを引き起こすAntinnyとその亜種

図 1:ダウンロードファイル中のマルウェアの混入率
図 1:ダウンロードファイル中のマルウェアの混入率

2. 調査概要

2-1. Winny

  • 調査実施時期:2010年12月〜2011年1月(計3回実施)
  • 調査サンプル数:合計29,520ファイル(1回目10,007ファイル、2回目9,654ファイル、3回目9,859ファイル)
  • 既知マルウェアを保持しているIPアドレスの傾向分析:2011年1月9日0時〜1時の1時間

2-2. Share

  • 調査実施時期:2010年12月〜2011年1月(計3回実施)
  • 調査サンプル数:合計33,169ファイル(1回目11,191ファイル、2回目9,708ファイル、3回目12,270ファイル)
  • 既知マルウェアを保持しているIPアドレスの傾向分析:2011年1月9日0時〜1時の1時間

3. 調査手法

クローリング調査をもとに専用ツール(*1)によりダウンロードを実施し、マルウェアのチェックを行いました(図 2)。既知マルウェアのチェックでは、トレンドマイクロのアンチウイルスソフト(Server Protect for Linux)を用いてマルウェアの混入有無を判定しました。

図2:調査の流れ
図2:調査の流れ

4. 調査結果

今回の調査で、Winny環境では、ダウンロードファイルのうち、マルウェアを含むファイルの割合は3.7%となり、27個程度のファイルをダウンロードするとそのうちの1つにはマルウェアが含まれていることになります。マルウェアを含むファイルの割合は2010年より若干減少していますが、4年間を通じてほぼ4%前後となっています(表 1)。Share環境でも割合は1.3%となっており、変動のない状況が続いています。このため、今後も、WinnyならびにShare環境を利用するユーザがマルウェアをダウンロードしてしまう危険性は高いといえます。

表1:調査結果
表1:調査結果

4-1. マルウェアのほとんどが巧妙に偽装

Winny環境では、マルウェアを含むダウンロードファイルのうち、アイコン偽装9割(95.2%)、ファイル名偽装3割(29.9%)です。一方、Share環境では、ファイル名偽装7割(72.2%)と高く、マルウェアを安全なコンテンツに見せかける偽装は定常化しています(表 2)。

表2:偽装の傾向
表2:偽装の傾向

4-2. フォルダに見せかける偽装がトップ

アイコン偽装は、フォルダに見せかけるアイコン偽装が最も多く、Winny環境では7割(73%)、Share環境では9割(95.3%)にのぼります(図 3)。

図3:アイコン偽装の内訳
図3:アイコン偽装の内訳

4-3. 既知マルウェアを含むファイルのほとんどがアーカイブファイル

既知マルウェアを含むダウンロードファイルのほとんどがアーカイブファイルです(図 4)。Winny環境では、zip形式に次いでlzh形式のアーカイブファイルがマルウェアを含むファイルとしてランキングされていますが(zip:63.0%、lzh:27.3%)、Share環境ではlzh形式のアーカイブファイルが占める割合は非常に小さいものでした(zip:96.1%、lzh:0.6%)。WinnyならびにShare環境共に、zip形式のアーカイブファイルにマルウェアが含まれている割合が高く、アーカイブファイルを解凍するとフォルダアイコンに偽装したマルウェアが表示され、フォルダを開くつもりでマルウェアを実行してしまうことを狙ったものだと思われます。

図 4:既知マルウェアを含むファイル拡張子
図 4:既知マルウェアを含むファイル拡張子

4-4. アイコン偽装+ファイル名偽装

Winny環境とShare環境で傾向は異なりますが、マルウェアを含むダウンロードファイルには、アイコン偽装に加えて二重拡張子や多量スペースによるファイル名偽装がおこなわれています(図 5)。これによって、一見、アイコンもファイル名も安全に見えるようにして、マルウェアを実行しやすくしており、注意が必要です。

ファイル名偽装の内訳
図5:ファイル名偽装の内訳

4-5. 情報漏えいを引き起こすAntinnyタイプが多く存在

Winny環境では、情報漏えいを引き起こすAntinnyタイプが、検知した既知マルウェアの7割(72.9%)、Share環境では3割(32.4%)を占めています(図 6)。また、Winny環境で2割(23.9%)、Share環境で6割(60.7%)を占めるファイル感染型のほとんどは、PE_PARITE.A(Winny環境:100%、Share環境:98.3%)でした。

PE_PARITE.Aは、初めて確認されたのが2002年5月以前であり、最も新しい亜種が確認されたのは2006年9月と比較的古いウィルスです。新しい亜種が確認されていませんが、最近でも感染被害が数多く報告されていることから、このPE_PARITE.AはWinny環境などのP2Pファイル交換ソフト環境内で広く流通し、セキュリティ対策の万全ではないユーザPCに駆除されずに生き残り続けている可能性があります。

図6:既知マルウェアの内訳
図6:既知マルウェアの内訳

Winny環境では、Antinnyタイプのうち、WORM_ANTINNY.JB(14.7%)、WORM_ANTINNY.E(10.1%)の占める割合が高いのに対し、Share環境では、ANTINNY.F(63.8%)が高くなっています。このように、同じ情報漏えいを引き起こすAntinnyタイプであっても、Winny環境とShare環境では、流通傾向に違いがみられます。

図 7:Antinnyタイプの内訳
図 7:Antinnyタイプの内訳

4-6. 既知マルウェアを保持しているノードの傾向分析

既知のマルウェアを含むダウンロードファイルを対象に、そのファイルを保持している可能性のあるノードについて傾向分析を行いました。なお、保持ノードの抽出(*2)には、ファイルの所在を格納した情報(キー情報)を使用しました。

4-6-1. 調査期間中の保持ノード数

  • Winny環境では、検知した既知マルウェアを含むダウンロードファイルは603種類で、これらのファイルを保持しているノードは3,005ノード。
    2010年の調査では、877種類で、2,587ノード(2010年1月8日23時〜24時)
  • 調査サンプル数:合計33,169ファイル(1回目11,191ファイル、2回目9,708ファイル、3回目12,270ファイル)
  • Share環境では、検知した既知マルウェアを含むダウンロードファイルは328種類で、これらのファイルを保持しているノードは906ノード
    2010年の調査では、336種類で、1,347ノード(2010年1月8日23時〜24時)

4-6-2. マルウェアファイルの保持傾向

上記の保持ノードについて、既知マルウェアを含むダウンロードファイル何種類を保持しているのかを調査してみると、WinnyならびにShare環境共に、1種類のマルウェアファイルが保持しているノードが8割(Winny環境:2377ノード、Share環境:719ノード)でした。また、3種類以下にまで増やすと保持ノードの9割強になります。このことから、多くの保持ノードは、ファイル交換を通して意図せずにマルウェアファイルを保持してしまっている状態にあると考えられます。

ただし、Winny環境では、20種類前後のマルウェアファイルを保持しているノードもあるようです。このように、どこかのノードにマルウェアファイルが保持されていると、そのファイルが流通することになるため、結果として、P2Pファイル交換ソフト環境がマルウェアの流通する環境として定常化してしまうことになります。

図 8:マルウェアファイルの保持傾向
図 8:マルウェアファイルの保持傾向

5. まとめ

Winny環境とShare環境で流通するマルウェアの傾向を比較すると、表 3のようになります。ファイル拡張子、既知マルウェアのタイプだけではなく、マルウェアに付与されているファイル名についても、Winny環境とShare環境で流通傾向が異なります。

表 3:Winny環境とShare環境で流通するマルウェアの比較
表 3:Winny環境とShare環境で流通するマルウェアの比較

4年間を通じた調査結果から、Winny環境には、依然としてAntinnyタイプの情報漏えいを引き起こす既知マルウェアが多く流通しており、その多くが安全なコンテンツに見せかけた「アイコン偽装」を行い、巧妙にマルウェアを実行させる偽装を行っています。また、Winny環境ならびにShare環境共に、ダウンロードファイル中のマルウェアの混入率(Winny:4%前後で推移、Share:1.3%)がほぼ一定しており、マルウェアの流通する環境として定常化しています。
対策としては、流通するマルウェアの多くが既知であることから、最新の状態にあるアンチウイルスソフトの利用がセキュリティ対策として効果的です。

*1
専用ツールによるダウンロード
Winnyでは、仮想キーと呼ばれる「他ノードが保持するファイルを自ノードが保持しているように記述する情報」が流れています。この情報に基づきファイルのダウンロードを行うと、Winnyノード間でファイルの中継動作が発生してしまう場合があり、結果として著作物やマルウェアの複製を助長してしまう可能性があります。本調査では、クローリング調査により、実ファイル保持可能性が高いファイル所在情報を抽出した後、Winny、Share専用ツールでダウンロードする調査方法を採用しました。
*2
保持ノードの抽出
Winny環境における保持ノードの抽出には、ファイルの所在を格納した情報(キー情報)の出現頻度を元に、実ファイルを保持している可能性の高いノードを割り出す方法を採用しました。また、Share環境における保持ノードの抽出には、特徴的な傾向を有するキー情報を元に、実ファイルを保持している可能性の高いノードを割り出す方法を採用しました。

寺田真敏,鵜飼裕司,金居良治,土居範久:"P2Pファイル交換ソフトウェア環境を対象とした観測に関する一考察",電子情報通信学会 2007年 暗号と情報セキュリティシンポジウム(SCIS2007) (2007年1月)
寺田真敏,重本倫宏,仲小路博史,吉成愛子,宮川雄一,湯川隆司,鵜飼裕司,金居良治:"P2Pファイル交換ソフトウェア環境Shareにおける効率的なファイル保持ノード特定手法",情報処理学会 コンピュータセキュリティ研究報告 Vol.2010-CSEC-49 No.5 (2010年5月)

商品名称等に関する表示

本稿に記載されている会社名、製品名は、それぞれの会社の商標もしくは登録商標です。


本調査は、総務省から委託を受けた「ネットワークを通じた情報流出の検知及び漏出情報の自動流通停止のための技術開発」の成果の一部です。また、株式会社エヌ・ティ・ティピー・シーコミュニケーションズ、株式会社クロスワープ、トレンドマイクロ株式会社、株式会社フォティーンフォティ技術研究所の協力により実施しました。

更新履歴

2011年9月13日
  • このページを新規作成および公開しました。

担当:寺田/横浜研究所、梅木/セキュリティ・トレーサビリティ事業部、大西/HIRT