ソフォスは25日、2008年（1月から11月まで）の脅威傾向をとりまとめた「ソフォス セキュリティ脅威レポート 2009」（Security threat report: 2009）を発表した。 それによると2008年は、新規感染Webサイトが4.5秒に1件の割合で発生し、1日平均約20,000件も発生したという。これは2007年に比べて約3倍に悪化したペースとなる。悪意のあるメール添付ファイルもふたたび増加しており714通中1通（0.014%）の割合で配信されている。 　 　国別の傾向を見ると、マルウェアをホスティングしているコンピュータのうち、アメリカ所在のものが37%を占め、中国（2007年は51.4%でトップ）を抑え、国別ランキングのトップとなった。3位にロシア（9.1%）、4位にドイツ（2.3%）、5位に韓国（2.1%）が続く。ちなみに日本は0.6%で31位となっている。またスパムを配信するコンピュータのうち、アメリカ所在のものが17.5%を占め、こちらも昨年（22.5%）に引き続き国別ランキングのトップとなった。2位はロシア（7.8%）、3位はトルコ（6.9%）、4位は中国（香港含む）（6.0%）、5位はブラジル（4.4%）だった。ちなみに日本は0.1%で36位となっている。 　実際、スパマーやハッカーに協力しているとして告発された北米の企業に対し、複数のISPが契約を打ち切ってネットへの接続を停止する処置をとったところ、直後に全スパムの75%が減少したことが確認されたとのこと。サイバー攻撃は地域を選ばないため、このことはサイバー犯罪者がアメリカに所在していることを示すものではないが、アメリカが両チャートでワーストワンになったということは、アメリカには非常に多くの感染コンピュータが存在していることを意味すると同レポートでは見なしている。スパムやマルウェアのあらたな攻撃対象として、FacebookやTwitterなどをはじめとするコミュニティサイトがあげられるが、こういった大手サイトがアメリカを中心に誕生・展開していることも起因しているのかもしれない。 　また、背後に国家が存在する疑惑のあるサイバー犯罪、インターネットを利用してハッキングを行うサイバー集団も増加している。インターネットを介したスパイ行為や攻撃で非難を受けている国々として、中国、北朝鮮、ロシアおよびグルジアなどが同レポートではあげられている。これらの国々が自国サイトだけでなくアメリカなどのサイトにも活動範囲を広げていることは想像に難くない。また地域や国に関係なく、金銭やデータを一般ユーザや企業から盗む攻撃も増加しており、特に、脆弱なWebサイトへの侵入やマルウェア亜種を自動作成するツールの利用が増加しているとのこと。 　同レポートでソフォスは、「すべてのコンピュータユーザーはいままで以上にセキュリティ対策を強化して、サイバー攻撃に備える必要があります。ソフォスは、すべてのユーザーに対して、アンチマルウェア、クライアントファイアウォールをはじめとするセキュリティソフトをインストールし、OSやセキュリティソフトのパッチや最新の対策を適用することを強く推奨します」と呼びかけている。 今年も、セキュリティ研究者らが、クリスマスの祝賀メッセージなどを装って広がるマルウェアへの注意を呼びかけている。昨年末以降大きな問題となっているトロイの木馬「Storm」の手口を真似たものと見られている。 ベトナムにあるハノイ工科大学Bach Khoa Internetwork Security Centerの研究者は、「XmasStorm」と名付けた新種のマルウェアが、クリスマスなどにかこつけたスパム・メールを通じて広がりつつあるとの警告を12月14日に出した。 　このスパム・メッセージは、「Merry Xmas!」「Merry Christmas card for you!」などの件名が付けられており、電子クリスマス・カード・サービスなどを行っているとされるWebサイトへのリンクが含まれている。しかしこのサイトには、アクセスしたPCをハイジャックするマルウェアが仕込まれており、対策が不十分なPCにボットをインストールして、攻撃者の制御下に置こうと待ちかまえている。 　Back Khoaアプリケーション・セキュリティ・グループの責任者グエン・ミン・ドゥク（Nguyen Minh Duc）氏によると、XmasStormは元々中国で開発されたものだという。先月から攻撃者たちは、「superchristmasday.com」や「funnychristmasguide.com」など、このマルウェアに関係する75以上のドメイン名でサイトを登録しているという。ドメイン名登録情報検索サービス（WHOIS）で調べたところ、これらのドメインは、それぞれ12月1日と19日に中国内のアドレスに登録されたことが判明した。 　Nguyen氏は、「これまでもクリスマスや新年などの特別な時期には、正規の電子カードを装って悪意のあるコードを仕込み、ウイルスを散布する攻撃が行われていた。この時期は、知らない相手から送られてきた電子メールは受け取らない（閲覧しない）ようにしたほうがよい」と述べている。 　米国サンディエゴに支社のあるスロバキアのセキュリティ会社ESET LLCの研究者も、同じような攻撃の事例を報告している。ESETの研究者ピエールマーク・ビューロー（Pierre-Marc Bureau）氏は12月22日、「ecard.exe」というファイルをホスティングしているWebサイトに誘導しようとするスパム・メールが急増しているという警告を出した。（Nuwar Back to Electronic Cards｜ESET Threat Blog） RSAセキュリティは24日、フィッシングやオンライン犯罪関連ニュースを集めた「Monthly AFCC NEWS」最新号を発行した。 　「AFCC」は、RSA社の「Anti-Fraud Command Center」 （AFCC：オンライン不正対策指令センター）のことだ。AFCC は、フィッシング、ファーミング、トロイの木馬の攻撃を遮断する、24時間365日稼働の対策センターだ。AFCCは185か国以上に設置された110,000件以上のフィッシング攻撃を遮断した経験を持ち、フィッシングおよびあらたなオンライン上の脅威に関する業界の主要情報ソースとなっている。その最新号である「Vol.17」では、「オンライン販売されるトロイの木馬」という記事が掲載され、最新のオンライン犯罪の動向が紹介されている。 　それによると、すでにアングラの詐欺師たちの間では、「オンライン犯罪用品の売買」は珍しいものではないという。攻撃用の堅牢なホスティング・サービス、トロイの木馬感染サービス、現金化サービスなど多種多様な犯罪サービスが流通している。犯罪者仲間のために既製のフィッシング・キットを提供するベンダーとウェブサイトも普通に存在している。そのなかで先週、RSAは新しいタイプのサービスと製品を捕捉した。トロイの木馬攻撃と組み合わせることができる、既製の不正HTMLインジェクション・キット、そしてそれを購入できる詐欺師向けのオンラインショップ「Webインジェクション・ショップで」ある。 　「ウェブ・インジェクション・ショップ」は、顧客のニーズに柔軟に対応していて、ロシア人向けにロシア語のページが用意されていたりもする。価格はターゲットや注入のタイプなどによって、10USドルから30USドル程度までさまざまで、詐欺師たちは実際の画面を見ながらさまざまなインジェクション・キットを選べるようになっている。それらはWebページ全体、あるいは不正なHTMLの断片で、知識のないオンライン・バンキング・ユーザが信用情報を含むさまざまな情報を漏らすように設計されている。 　たとえば、トロイの木馬 Sinowalは、トリガーリストにある膨大な数のドメインに応じて注入できる不正HTMLページの巨大なプールを持っていて、感染したユーザからさまざまな情報を収集することができる。たとえば、「取引番号」「口座番号」などの個人情報の入力を要求するフィールドを追加できるようになっている。また、トロイの木馬が注入する不正HTMLは、できるだけ違和感なく表示されるように、攻撃対象サイトのデザインや全体の流れにマッチするようにカスタマイズ可能となっている。Webインジェクション・ショップは2種類のタイプのHTMLインジェクション・キットを提供しており、1つは、ユーザに社会保障番号、母親の旧姓、PINコードなど本来必要のない情報をリクエストするフィールドを注入するページ内HTML変更型で、それぞれの金融機関が運営しているサイトのページにシームレスに混入するようにデザインされている。もう1つの感染タイプは、ユーザの（特定のPCの）ローカルのブラウザに不正なページをまるごと挿入するページ全体感染型である。こちらも、本来聞かれていない情報をユーザに入力するようにリクエストする。さらに“Balance Grabber”（残高採集者）と呼ばれる機能も販売されていたという。これはひとたびユーザが自らの銀行口座へのログインに成功すると、銀行口座の残高フィールドを探し出す不正なプログラムがそのPCのローカル環境で実行され、その口座の利用頻度、引き出し限度額まで確認するものだ。 　HTMLインジェクション自体は、信用情報のような機密情報を盗み出すアプローチとしては特に目新しいわけではない。しかし、RSAにとっても、HTMLインジェクションを工業製品のように生産できる中心的存在、しかも詐欺師たちが誰でもアクセスできるように設置されたものを捕捉したのは初めてとのことだ。今回RSAが捕捉したショップはフィッシング・キットを販売している他のウェブサイトと酷似しており、このショップで販売されているインジェクション・キットは世界中の金融機関をターゲットにしていた。膨大な数の顧客から情報を盗み出すために設計されたキットを、詐欺師たちは自由にメニューから選べるようになっていたとのこと。 　Monthly AFCC NEWSでは、フィッシング・キットなどと同様、いずれはインジェクション・キットも、無料あるいはわずか数ドルで流通するようになるだろうと予測している。そもそもHTMLページは比較的設計しやすいので、この見通しがはずれることはないとしている。犯罪者にとっては、より“仕事道具”を購入しやすくなるわけで、この予想はけっして明るい未来を指すものではない。今後もこれらオンライン犯罪者の最新動向について知識を持っておき、さまざまな事態を想定しておくことは大切だろう。