セキュリティ調査レポート Vol.1
Winny/ShareをはじめとするP2Pネットワーク常時監視体制を有するディアイティでは、暴露ウイルスに感染する傾向を把握するため、感染した情報が一定期間にどの程度流出し、その原因となるファイルについて独自のツールにより調査、集計しました。
「自分は大丈夫・・・」と思っているWinny/Share利用者でも、いつかは、暴露ウイルスに感染する可能性があります。
暴露ウイルス感染した場合の状況を安全にシミュレーションできるツールを用意しています。
下記ページで配布しているので体験してみてください。
http://www.dit.co.jp/products/exp/index.html
暴露ウイルスに感染した場合、ウイルスがどのように業務ファイル等を収集し、流出ファイルができあがるのかを視覚的に分かりやすい動画を作成しました。これにより、暴露ウイルスの恐ろしい動きがわかります。
※この動画は一例です。暴露ウイルスの種類は数多くあり、挙動も一様ではありません。
資料2:ファイル共有ネットワークで広まる「タコイカウイルス」感染時の状態について
WinnyやShareなどに流れているウイルスは情報漏えいをおこす暴露ウイルスだけではなく、パソコン内のファイルを壊してしまう通称「タコイカウイルス」もあります。このウイルスによって、ファイルやフォルダを壊された場合、元のファイルやフォルダには回復することができません。見かけは可愛いアイコンですが、最悪の結果をもたらします。
Winny/Shareネットワークにおける暴露ウイルス感染実態
暴露ウイルスの感染で公開されたファイルにおける、感染した時間帯の傾向
●調査の目的
Winnyの利用による企業の情報資産のP2Pネットワーク上への漏洩・流出が、社会的問題として取り上げられてから久しく、ダウンロード制限法によってWinnyネットワーク上のウイルス感染、情報流出は減少傾向にあると言われている一方、大規模な流出が新聞紙上を賑わしています。Winny/ShareをはじめとするP2Pネットワーク常時監視体制を有するディアイティでは、暴露ウイルスに感染する傾向を把握するため、感染した情報が一定期間にどの程度流出し、その原因となるファイルについて独自のツールにより調査、集計しました。
●調査対象
対象とするファイル
-
WinnyおよびShareネットワーク上で、暴露ウイルスの感染によって新規に公開された圧縮ファイル(zipファイル)
サンプル収集期間
-
2010年2月1日から、2010年3月31日まで
サンプル数
-
Winnyネットワーク: 45ファイル
Shareネットワーク: 172ファイル
合計: 217ファイル
※感染時期が不明なファイル、故意に公開したファイル、破損により中身の確認が不能なファイルは対象外
●調査項目
- 暴露ウイルス感染と情報流出開始の曜日、時間の傾向
- 暴露ウイルスを含む圧縮ファイル数
- 暴露ウイルスのファイル名と拡張子
1.暴露ウイルス感染と情報流出開始の曜日、時間の傾向
-
1-1. 暴露ウイルスに感染した曜日:
図1 曜日毎の感染ファイル検出数の割合
従来パソコン利用者数が多い週末において、P2Pネットワーク上への流出ファイルが多いとされましたが、図1の曜日ごとの割合では、大きな偏りが無いことが見られます。
-
1-2. 暴露ウイルスに感染した時間(24時間):
図2-1:平日、休日における時間毎の検出割合
(1)感染の第1ピーク:平日が0時頃、休日が20時頃
-
帰宅時間について平日が19時、休日が17時頃と推定した場合、ファイルのダウンロードおよび展開に要する時間を考慮すると、Winny/Share利用者が在宅時にだけダウンロードしているとは考えにくく、外出中もパソコンを稼働させてダウンロードを継続していると考えられます。
帰宅した後、外出中にダウンロードさせておいた圧縮ファイルを解凍し、個々のファイルを閲覧する際に感染していると推測できます。
-
自宅での閲覧が主に考えられますが、外出先から自宅のPCに接続し、ファイルを操作している可能性もあります。
図2-2 平日、休日を合計した、時間毎の検出数の推移 (参考)
2. 暴露ウイルスを含む圧縮ファイル数
| 暴露ウイルスが作成して公開された圧縮ファイル総数 | 217ファイル | |
| 暴露ウイルス有 | 単一のウイルスを含む | 165ファイル |
|---|---|---|
| 複数のウイルスを含む | 7ファイル | |
| 合計 | 172ファイル (179ウイルス) |
|
| 暴露ウイルス無 | 45ファイル | |
3. 暴露ウイルスのファイル名と拡張子
-
暴露ウイルスに多いファイル名 上位5種:
| ファイル名 | 個数 |
|---|---|
| [著名なアーティスト名].scr | 31 |
| エロ.scr | 26 |
| 出産.scr | 22 |
| 新しいフォルダ.sc | 21 |
| 結婚式.scr | 19 |
3-1. ファイル名
Winny/Share利用者が共有するファイルには商用の音楽、動画、プライバシーを含む写真などに人気が集中する傾向があり、閲覧の興味を引くための名称が多く使われています。
-
3-2. 拡張子の特徴
- 暴露ウイルスはアイコン偽装して圧縮ファイルに紛れ込んでいることが多い
- 実行形式のスクリーンセーバーファイル(拡張子scr)が特に多い
- スクリーンセーバーファイルはそれ自体が実行ファイルであり、かつ他のファイルを参照、起動する形態のため、ウイルスの偽装に利用されやすい
暴露ウイルスが仕込まれたファイルには以下のような特徴があります。
まとめ
これまでにディアイティが実施してきたP2Pネットワーク上における企業情報流出事故の解析結果と、今回の暴露ウイルス感染実態調査の結果について照らし合わせ、Winny/Share利用者の暴露ウイルス感染経緯の傾向を推測しました。- 外出中もパソコンを稼働させ、常時何らかのファイルをダウンロードさせている
- 帰宅後、ダウンロードが完了したファイルを開くことで暴露ウイルスに感染する
「自分は大丈夫・・・」と思っているWinny/Share利用者でも、いつかは、暴露ウイルスに感染する可能性があります。
暴露ウイルス感染した場合の状況を安全にシミュレーションできるツールを用意しています。
下記ページで配布しているので体験してみてください。
http://www.dit.co.jp/products/exp/index.html
補足資料
資料1:暴露ウイルス感染時の状態について暴露ウイルスに感染した場合、ウイルスがどのように業務ファイル等を収集し、流出ファイルができあがるのかを視覚的に分かりやすい動画を作成しました。これにより、暴露ウイルスの恐ろしい動きがわかります。
※この動画は一例です。暴露ウイルスの種類は数多くあり、挙動も一様ではありません。
資料2:ファイル共有ネットワークで広まる「タコイカウイルス」感染時の状態について
WinnyやShareなどに流れているウイルスは情報漏えいをおこす暴露ウイルスだけではなく、パソコン内のファイルを壊してしまう通称「タコイカウイルス」もあります。このウイルスによって、ファイルやフォルダを壊された場合、元のファイルやフォルダには回復することができません。見かけは可愛いアイコンですが、最悪の結果をもたらします。
Copyright 2004-2013 dit Co., Ltd. All rights reserved.