1.2 各インシデントの動向
(1)マルウェアの動向
05年頃までのマルウェアは、破壊活動や迷惑行為を目的として、単純に感染範囲を広げるマルウェアが主であった。ネットワークで感染を広げるBlaster、CodeRedや電子メールで感染を広げるBagle、Mydoom が代表例である。
05年以降は、攻撃者には金銭的な利益につながる情報や効果をもたらすが、被害者からは存在や活動が見えにくいマルウェアに主流が入れ替わった。同時に、感染したPCがネットワークを構成して連携した攻撃動作をするボットや、他のマルウェアをダウンロードしてインストールするだけのダウンローダ、スパイウェア、偽ウイルス対策ソフトウェアなどマルウェアの構造的な種類が著しく増加した。一部のマルウェアは高い機能を有するようになったが、総じては機能に特化した地味な作りに変化したということもできる。
こうした変化の背景には、犯罪集団などがサイバー攻撃のために資金を注ぎ込むようになったことを受けて、マルウェアの製造、販売を専門にする者が出現し、彼らが作ったボットの管理ツールや、マルウェアの生成ツールキットなどが闇市場で取引されるようになったことがある。マルウェア生成ツールキットが広く使われ始めたため、構造的には類似しているがコードとしては異なるマルウェアが多数生み出されることになった。それらを検知するためのウイルス定義ファイルのサイズが膨れ上がり、振る舞い型など検知技術の革新が迫られることとなった。
(2)Web改ざんの動向
2000年前後に、国内でWebサイトの改ざんが多発した。攻撃者の目的は、政治的なメッセージの主張や、Webサイト保有組織の不備をさらすことにあった。05年以降になると、WebサイトにアクセスするPCをマルウェアに感染させるための罠を仕込む、見た目には目立たない改ざんが主流になった。同時に、ネットワーク経由による主なマルウェアの感染経路が、以前の電子メールからWebサイトに入れ替わったのである。
この背景には、電子メール関連のウイルス感染対策が浸透したことと、Webコンテンツの高度化に伴ってブラウザ関連の脆弱性が増したことがある。Webサイトを改ざんするための手法も、サーバーOSやアプリケーションの脆弱性を狙った攻撃やブルートフォース・辞書攻撃、SQLインジェクション攻撃などと多様化するのみならず、省力化をもくろんだ攻撃ツールによる自動化が進んでいる。
また、Webサイトに仕込まれる罠も複雑化している。改ざんされたWebサイトを閲覧しただけでマルウェアに感染するタイプの攻撃、改ざんされたWebサイトから攻撃用コードが埋め込まれた攻撃用サーバーに誘導する手法、広告配信サーバーに罠を埋め込んで広告を表示する多数のWebサイトを通じて攻撃する手法など、さまざまな攻撃手法が確認されている。
