Comments
Description
Transcript
マイクロソフト セキュリティ インテリジェンス レポート 主要な
ソフトウェアの脆弱性とエクスプロイ ト、マルウェア、望ましくない可能性 のあるソフトウェア、悪意のある Web サイトについての綿密な全体像 マイクロソフト セキュリティ インテリジェンス レポート 第 15 版 2013 年 1 月~ 6 月 主要な知見の概要 マイクロソフト セキュリティ インテリジェンス レポート このホワイト ペーパーは情報提供のみを目的としており、明示か暗黙か、 または制定法かを問わず、これらの情報についてマイクロソフトはいかな る責任も負いません。 このホワイトペーパーは現状有姿のまま提供されます。このドキュメント に記載されている情報や見解 (URL 等のインターネット Web サイトに関す る情報を含む) は、将来予告なしに変更することがあります。本ソフト ウェアの使用から生じる危険は、お客様が負担するものとします。 Copyright © 2013 Microsoft Corporation.All rights reserved. Microsoft、Microsoft ロゴ、Active Directory、ActiveX、Bing、Forefront、 Hotmail、Internet Explorer、MSDN、Outlook、Security Shield ロゴ、 SmartScreen、System Center、Visual Basic、Win32、Windows、Windows Server、Windows Vista は Microsoft のグループ企業各社の登録商標です。 記載されている会社名、製品名には、各社の商標のものもあります。 2013 年 1 月~ 6 月 1 マイクロソフト セキュリティ インテリジェンス レポート、 第 15 版 マイクロソフト セキュリティ インテリジェンス レポートの第 15 版 (SIRv15) では、マイクロソフト製およびサードパーティ製ソフトウェアに おけるソフトウェアの脆弱性とエクスプロイト、悪意のあるコードによる 脅威、および望ましくない可能性のあるソフトウェアについて綿密な全体 像を示します。マイクロソフトは、過去数年間分、特に 2013 年上半期の 傾向に注目して傾向分析を詳細に行い、その結果に基づいてこの全体像を 得ました。 本書では、そのレポートの主要な知見をまとめます。 SIR Web サイトには、世界各地の 100 を超える国や地域で観察された傾向 に関する徹底的な分析も含まれており、組織、ソフトウェア、およびユー ザーに対する危険に対処するのに役立つ提案も行っています。 SIRv15 は、www.microsoft.com/japan/sir からダウンロードできます。 2 マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 脆弱性 脆弱性とは、ソフトウェアの弱点のことであり、攻撃者はこれを悪用して ソフトウェアまたはそのソフトウェアが処理するデータの整合性、可用性、 または機密性を損ないます。一部の最悪の脆弱性では、攻撃者がセキュリ ティの低下したシステムにユーザーの知らないうちに悪意のあるコードを 実行させることで、システムを悪用することができます。 図 1. 2H10 ~ 1H131 におけるソフトウェア業界全体での脆弱性 (CVE) の重大度、複雑さ、タイプ別露見数、マイクロ ソフト製品とそれ以外の製品に対する露見数の推移 1,400 1,600 Medium (4–6.9) 1,200 1,000 High (7–10) 800 600 400 Low (0–3.9) 200 Industrywide vulnerability disclosures Industrywide vulnerability disclosures Low complexity (greatest risk) 1,200 1,400 1,000 Medium complexity (medium risk) 800 600 400 200 High complexity (least risk) 0 0 2H10 1H11 2H11 1H12 2H12 2H10 1H13 2,000 1H11 2H11 1H12 2H12 1H13 3,000 2,500 1,600 Application vulnerabilities 1,400 1,200 1,000 800 600 Operating system vulnerabilities 400 Browser vulnerabilities 200 Non-Microsoft 2,000 1,500 1,000 500 Microsoft 0 0 2H10 Industrywide Vulnerability Disclosures Industrywide vulnerability disclosures 1,800 1H11 2H11 1H12 2H12 1H13 2H10 1H11 2H11 1H12 2H12 1H13 業界の脆弱性露見は 2H12 から 1.3%、1H12 から 10.1% 減少しました。 1H13 におけるオペレーティング システムの脆弱性露見の増大は、同じ 時期のアプリケーションの脆弱性露見の減少とほぼ相殺され、全体的 な変化はほとんどありませんでした。しかし全体として、脆弱性露見 は 2009 年以前よりも大幅に下回っています。半年間の露見総数が 3,500 件以上に上った 2009 年は異常でした。 1 このレポートでは、半年および四半期を表現するために nHyy 形式または nQyy 形式が使用されてい ます。yy は暦年を n は半期または四半期を示します。たとえば、1H13 は 2013 年の上半期 (1 月 1 日~ 6 月 30 日)、4Q12 は 2012 年の第 4 四半期 (10 月 1 日~ 12 月 31 日) を表します。 2013 年 1 月~ 6 月 3 遭遇率: マルウェアの流行を解析 するための新しい評価指標を導入 マイクロソフト セキュリティ インテリジェンス レポートでは数年間にわ たり、Computers Cleaned per Mille (CCM) という評価指標を使用して感染 率を報告してきました。CCM は、悪意のあるソフトウェアの削除ツール (MSRT) を 1,000 回実行するごとにクリーニングされたコンピューターの台 数を示します。MSRT では、マルウェアの特定のファミリによる感染の流 行の範囲に関して全体像を把握できます。ツールの世界的な普及、大規模 なインストール ベース、および定期的にスケジュールされるリリースに より、さまざまなコンピューターの集合の間で相対的な感染率を継続的に 比較するのが容易になります。 ユーザーがマルウェアのエコシステムで直面する脆弱性の全体像をより的 確に説明するために、マイクロソフトは遭遇率という新しい評価指標を導 入します。この評価指標は、四半期などの指定された期間において、 Microsoft のリアルタイムのセキュリティ製品を実行しているコンピュー ターに占める、マルウェアに遭遇したコンピューターのパーセンテージで す。マルウェアに遭遇したコンピューターは、必ずしも脅威による攻撃を 受けるわけではなく、リアルタイムのセキュリティ製品が脅威を検出して その実行を防ぐ可能性があります。このような検出は、そのコンピュー ターの感染率ではなく、遭遇率として計算されます。 感染率と遭遇率を組み合わせることで、マルウェアの状況をより広い視点 から把握できます。これらの 2 つの評価指標が示す異なる視点により、マ ルウェアの流行と、世界的な状況において可能性のあるその影響をより明 確につかむことができます。 図 2 は、3Q12 から 2Q13 までの四半期ごとに遭遇率と比較した世界中の感 染率を示したものです。比較のためにスケールが等しくなっています (1,000 回あたり 100 台は 10% に当たります)。 4 マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 200.0 20% 180.0 18% 160.0 16% 140.0 14% 120.0 12% 100.0 10% 80.0 8% 60.0 6% 40.0 4% 20.0 2% 0.0 Percent of reporting computers (encounter rate) Computers cleaned per 1,000 scanned (CCM) 図 2. 3Q12 から 2Q13 までの四半期ごとの世界中の遭遇率と感染率 0% 3Q12 4Q12 Infection rate (CCM) 1Q13 2Q13 Encounter rate 図 2 に示すように、予想されるとおり、マルウェアの遭遇はその感染より もかなり頻繁に発生しています。マイクロソフトのセキュリティ製品に よって報告されているように、1H12 の各四半期には、平均して世界中のコ ンピューターの約 17.0% がマルウェアに遭遇しました。それと同時に、 MSRT は 1,000 台中約 6 台 (0.6%) のコンピューターからマルウェアを検出 し、削除しました。 2013 年 1 月~ 6 月 5 エクスプロイト エクスプロイトとは、ソフトウェアの脆弱性を利用する悪意のあるコード のことです。ユーザーの同意を得ずに、通常はユーザーの知らないうちに コンピューターに感染し、妨害し、乗っ取ります。エクスプロイトは、コ ンピューターにインストールされたオペレーティング システム、Web ブ ラウザー、アプリケーション、またはソフトウェア コンポーネントの脆 弱性を標的にします。詳細については、www.microsoft.com/japan/sir から ダウンロードできる SIRv15 を参照してください。 図 3 は、3Q12 から 2Q13 までの四半期ごとに Microsoft マルウェア対策製 品が検出したさまざまな種類のエクスプロイトの流行を、遭遇したコン ピューターの台数で示したものです。 図 3. 3Q12 ~ 2Q13 にさまざまなエクスプロイトが報告されたコンピューター Percent of reporting computers (encounter rate) 3.0% 2.5% 2.0% HTML/JavaScript Java 1.5% 1.0% Operating system 0.5% 0.0% 3Q12 6 4Q12 1Q13 2Q13 Documents Adobe Flash (SWF) Other マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 個々のエクスプロイトの検出は、エクスプロイト キットの配布者が キットからさまざまなエクスプロイトを追加しては削除するため、四 半期によってしばしば大幅に増減します。このようなバリエーション は、図 3. に示すように、さまざまなエクスプロイトの種類の関連する 流行に影響を与える可能性もあります。 Web ベース (HTML/JavaScript) の脅威は、引き続き 2Q13 に最も頻繁に 遭遇したエクスプロイトの種類であり、Java によるエクスプロイトと オペレーティング システムによるエクスプロイトがそれに続きます。 HTML/JavaScript によるエクスプロイトの遭遇率は 1Q13 に最大になり ましたが、その主な原因はマルチプラットフォーム エクスプロイトの ファミリである Blacole でした。同四半期に世界中のコンピューターの 1.12% がこれに遭遇しました (Blacole の詳細については、次の節を参照 してください)。 2013 年 1 月~ 6 月 7 エクスプロイトのファミリ 図 4 は、2013 年の上半期に最も頻繁に検出されたエクスプロイト関連 ファミリを示しています。 図 4. 1H13 にマイクロソフトのマルウェア対策製品が最も多く検出したエクスプロイト ファミリの四 半期ごとの遭遇率に関する傾向 (相対普及率に準じて色分けしたもの) プラットフォーム エクスプロイト またはテクノロジ 3Q12 4Q12 1Q13 2Q13 HTML/IframeRef* HTML/JavaScript 0.37% 0.58% 0.98% 1.08% Blacole HTML/JavaScript 1.60% 1.34% 1.12% 0.62% CVE-2012-1723 Java 0.84% 1.32% 0.89% 0.61% 0.51% 0.57% 0.57% 0.53% CVE-2010-2568 (MS10-046) オペレーティング システム CVE-2012-0507 Java 0.91% 0.53% 0.49% 0.31% CVE-2013-0422 Java — — 0.38% 0.33% — 0.11% 0.62% 0.04% 0.77% 1.56% 0.53% 0.12% CVE-2011-3402 (MS12-034) オペレーティング システム Pdfjsc ドキュメント CVE-2013-0431 Java — — 0.10% 0.32% CVE-2010-0840 Java 0.31% 0.17% 0.18% 0.21% 合計には、エクスプロイト キットの一部として検出されたエクスプロイトは含まれていません。 *合計には、エクスプロイトとして分類された IframeRef のバリエーションのみが含まれています。 8 マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 1H13 に最も頻繁に遭遇した HTML/IframeRef は、特別に作成された HTML インライン フレーム (IFrame) タグの一般的な検出の一種です。 このタグは、有害な内容が含まれたリモート Web サイトにリダイレク トします。実際のエクスプロイトよりも適切だと見なされるエクスプ ロイト ダウンローダーであり、これらの有害なページはさまざまな手 法を使用して、ブラウザーやプラグインの脆弱性につけ込みます。唯 一の共通性は、攻撃者がインライン フレームを使用してユーザーにエ クスプロイトを配布するということです。これらのシグネチャのいず れかによって配布および検出された実際のエクスプロイトは、頻繁に 変更される可能性があります。 2 つの大流行した IframeRef のバリエーションは、1Q13 に JS/Seedabutor のバリエーションとして再分類されました。しかし、攻撃を受けた Apache Web サーバーでホストされていた Web ページに悪意のあるイ ンライン フレームを追加する、いわゆる "Darkleech" 攻撃に対応して、 バリエーションの Trojan:JS/IframeRef.K の検出定義ファイルがマイクロ ソフトのマルウェア対策製品に追加された後も、IframeRef の遭遇率は 依然として高い状態でした。 2013 年 1 月~ 6 月 9 マルウェア この節の情報は、全世界の 10 億台以上のコンピューターとインターネッ トで最もアクセス数が多い一部のサービスを含む複数のソースから生成さ れた遠隔測定データから構成されています。 マイクロソフト セキュリティ インテリジェンス レポート のこの版には、 遭遇率というマルウェアの流行を評価するための新しい指標が含まれてい ます。この節のグラフのいくつかには、それに付随する分析と合わせて、 確立された CCM 評価指標を使用して評価された感染率のデータと共に、 遭遇率のデータを示しています。 世界各地での脅威パターンの全体像について、2013 年第 2 四半期の世界各 地の感染率と遭遇率を図 5 に示します。 10 マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 図 5. 2Q13 の国/地域別感染率 (上) と遭遇率 (下) 2013 年 1 月~ 6 月 11 セキュリティ ソフトウェアの使用 MSRT の最新リリースでは、コンピューターの管理者がマイクロソフトへ のデータ提供に同意した場合、コンピューター上のリアルタイムのマル ウェア対策ソフトウェアの状態に関する詳細を収集し、報告します。この 遠隔測定により、世界中のセキュリティ ソフトウェアの使用パターンを 分析し、感染率と関連付けることが可能になります。図 6 は、3Q12 から 2Q13 までの四半期ごとにリアルタイムのセキュリティ ソフトウェアに よって保護されている、または保護されていないことを MSRT が検出した、 世界中のコンピューターのパーセンテージを示したものです。 図 6. 3Q12 から 2Q13 にリアルタイムのセキュリティ ソフトウェアによって保護されていた世界中のコンピューターのパー センテージ 80% Always protected Percent of computers running the MSRT 70% 60% 50% 40% 30% Intermittently protected 20% 10% Unprotected 0% 3Q12 12 4Q12 1Q13 2Q13 マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 オペレーティング システム別の感染率と遭遇率 Windows オペレーティング システムのさまざまなバージョンで使用可能 な機能およびアップデートと、ユーザーや組織が各バージョンを使用する 方法の違いが、さまざまなバージョンとサービス パックの感染率に影響 を与えています。図 7. は、2Q13 に MSRT の総実行数の少なくとも 0.1% が ある、現在サポート対象の Windows オペレーティング システム/サービス パック別の感染率を示したものです。 図 7. 2Q13 のオペレーティング システムおよびサービス パック別感染率 (CCM 単位) 10.0 9.1 Computers cleaned per 1,000 scanned (CCM) CLIENT 8.8 9.0 SERVER 8.0 7.0 6.0 5.0 5.0 5.0 5.4 4.9 4.8 4.0 3.0 2.3 2.0 1.4 1.0 0.0 32 32 64 SP3 SP2 Windows XP Windows Vista 32 64 32 RTM 64 SP1 Windows 7 32 64 RTM Windows 8 0.4 64 Windows Server 2012 RTM "32" = 32 ビット版。"64" = 64 ビット版。SP = サービス パック。RTM = 初期出荷版。2Q13 に MSRT の実行合計が 0.1% 以上 のオペレーティング システム。 このデータは、正規化してあります。つまり、各バージョンの Windows の感染率は、1 バージョンあたり同数のコンピューターを比 較することで計算します (たとえば、Windows XP SP3 コンピューター 1,000 台対 Windows 8 RTM コンピューター 1,000 台)。 2013 年 1 月~ 6 月 13 図 8. は、2Q13 のサポート対象の Windows クライアント オペレーティング システム (32 ビット版と 64 ビット版の合計) 別の感染率と遭遇率の違いを 示したものです。 図 8. 2Q13 のサポート対象の Windows クライアント オペレーティング システム別の感染率と遭遇率 Computers cleaned per 1,000 scanned (CCM) 9.1 INFECTION ENCOUNTER RATE 8.0 RATE 24% 19.1% 6.0 5.5 16.3% 18% 16.5% 4.9 12.4% 4.0 12% 2.0 6% 1.6 0.0 0% Windows XP Windows Vista SP3 SP2 14 30% Percent of reporting computers (encounter rate) 10.0 Windows 7 SP1 Windows 8 RTM Windows XP Windows Vista Windows 7 SP3 SP2 SP1 Windows 8 RTM マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 脅威ファミリ 図 9 は、この 4 四半期にわたって大幅に増加または減少したいくつかの ファミリの検出傾向を示したものです。 図 9. 3Q12 ~ 2Q13 におけるいくつかの有名なマルウェア ファミリの検出傾向 Percent of reporting computers (encounter rate) 2.5% 2.0% Win32/Obfuscator INF/Autorun JS/IframeRef 1.5% Win32/Gamarue 1.0% Win32/Sirefef JS/Seedabutor 0.5% 0.0% 3Q12 4Q12 1Q13 2Q13 一般的な検出の Win32/Obfuscator、INF/Autorun、および HTML/IframeRef が、1H13 に最も頻繁に遭遇した脅威の上位 3 位を占め ました。自動実行は、この期間に世界中で最も頻繁に遭遇した脅威で あり、Windows の自動実行機能を使用して、マウントされたボリューム 間に広がるワームの一般的な検出の一種です。Windows XP および Windows Vista の機能への変更により、この手法は時間と共に効果が失 われてきました。しかし、攻撃者はそれを標的にしようとするマル ウェアを引き続き配布しており、マイクロソフトのマルウェア対策製 品は、これらの試みが成功しない場合でも、それを検出して阻止して います。 2013 年 1 月~ 6 月 15 Obfuscator の検出は、1Q13 の第 4 位から 2Q13 の第 1 位に増加し、 半期全体では世界中で最も頻繁に遭遇した脅威の第 2 位となりました。 Obfuscator は、マルウェアの Obfuscator ツールによって変更されたプ ログラムの一般的な検出の一種です。これらのツールは一般に、暗号 化、圧縮、デバッグ対策、エミュレーション対策などの手法を組み合 わせることで、セキュリティ製品による解析や検出を妨げる目的でマ ルウェア プログラムを改変します。一般には、元のプログラムと同じ 機能を維持しているが、別のコード、データ、および形状を使用した 別のプログラムが作り出されます。 家庭および企業での脅威 ホーム ユーザーと企業ユーザーの使用パターンは、大きく異なる傾向が あります。これらの違いを分析すると、攻撃者が企業ユーザーとホーム ユーザーを標的にするさまざまな方法のほか、どの脅威が各環境で成功す る可能性が最も高いかについても見識を得ることができます。 図 10. 3Q12 ~ 2Q13 におけるコンシューマーおよび企業コンピューター別のマルウェアの遭遇率 20% Percent of reporting computers (encounter rate) 18% Consumer 16% 14% 12% 10% Enterprise 8% 6% 4% 2% 0% 3Q12 16 4Q12 1Q13 2Q13 マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 企業環境では一般に、一定数のマルウェアがユーザーのコンピュー ターにアクセスできないようにする企業ファイアウォールなどの綿密 な防御手段を導入しています。したがって、企業コンピューターはコ ンシューマー コンピューターよりもマルウェアの遭遇率が低い傾向が あります。1Q13 のコンシューマー コンピューターの遭遇率は、企業コ ンピューターの遭遇率の 1.5 倍であり、2Q13 には相対的な差が 1.8 に 増加しています。 図 11 と 図 12 は、1H13 に企業およびコンシューマー向けセキュリティ製品 でそれぞれ検出された上位 10 位のファミリを示します。 図 11. 1H13 に Microsoft 企業向けセキュリティ製品で検出された上位 10 位のファミリの四半期ごとの傾 向 (各ファミリに遭遇したコンピューターのパーセンテージに基づく) 2013 年 1 月~ 6 月 17 図 12. 1H13 に Microsoft コンシューマー向けセキュリティ製品で検出された上位 10 位のファミリの四半期ごとの傾向 (各ファミリに遭遇したコンピューターのパーセンテージに基づく) 両方のリストに共通しているファミリは 8 つあります。そのうち Win32/Conficker と JS/Seedabutor は、企業コンピューターよりもコン シューマー コンピューターでより広く流行していました。Java/CVE2012-1723 と Blacole の 2 つのエクスプロイト ファミリは、企業コン ピューターの上位 10 位の脅威に入っていましたが、コンシューマー コンピューターにはありませんでした。ワーム ファミリの Win32/Gamarue とウイルス ファミリの Win32/Sality は、コンシュー マー コンピューターの上位 10 位の脅威に入っていましたが、企業コ ンピューターにはありませんでした。 一般的な検出の Win32/Obfuscator と INF/Autorun は、コンシューマー コンピューターで最も頻繁に遭遇した脅威の第 1 位と第 2 位を占めま したが、企業コンピューターではさほど頻繁には遭遇しませんでした。 2Q13 における企業コンピューターでの Obfuscator の遭遇率 (3.8%) は、コ ンシューマー コンピューターでの遭遇率 (0.6%) の 6 倍を上回りました。 企業コンピューターでの自動実行の遭遇率 (3.4%) は、コンシューマー コンピューターでの遭遇率 (1.4%) の 2 倍を上回りました。 18 マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 電子メールでの脅威 ブロックされるスパム メッセージ マイクロソフト セキュリティ インテリジェンス レポートのこの節の情報 は、Exchange Online Protection によって提供される遠隔測定データをまと めたものです。Exchange Online Protection は、毎月膨大な量のメッセージ を送受信する Microsoft の多数の企業顧客にスパム、フィッシング、マル ウェアなどのフィルタリング サービスを提供しています。 図 13. 2012 年 7 月から 2013 年 6 月にかけて Exchange Online Protection でブロックされたメッセージ 35 Spam messages blocked (in billions) 30 25 20 15 10 5 0 Jul 2013 年 1 月~ 6 月 Aug Sep Oct Nov Dec Jan Feb Mar Apr May Jun 19 1H13 にブロックされたメールの量は 2H12 よりわずかに増加しました が、2010 年の終わり以前に見られたレベルを大きく下回っています。 2010 年以降に観測されたスパムの劇的な減少は、Cutwail (2010 年 8 月) や Rustock (2011 年 3 月) などの大規模なスパム送信ボットネットのテイ クダウンに成功した結果です。2Exchange Online Protection でブロック またはフィルターが不要だと判断された電子メール メッセージは、 2010 年にはわずか 33 件に 1 件でしたが、1H13 にはおよそ 4 件に 1 件と なりました。 図 14.2H09 ~ 1H13 の各半年間で Exchange Online Protection がブロックしたメッセージ件数 Spam messages blocked (in billions) 500 450 400 350 300 250 200 150 100 50 0 2H09 2 1H10 2H10 1H11 2H11 1H12 2H12 1H13 Cutwail テイクダウンの詳細については、マイクロソフト セキュリティ インテリジェンス レポート 第 10 版 (2010 年 7 月~ 12 月) を参照してください。Rustock テイクダウンの詳細については、マイクロ ソフトダウンロード センターにある「Rustock の脅威との闘い」を参照してください。 20 マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 図 15. 1H13 に Exchange Online Protection フィルターでブロックされた着信メッセージ (カテゴリ別) Other 1.5% Pharmacy (nonsexual) 42.7% 419 scams 15.5% Gambling 1.2% Stock Dating/sexually 1.5% explicit material 2.2% Financial 3.4% Image-only 17.6% Malware 5.5% Phishing 3.8% Non-pharmacy product ads 5.0% Exchange Online Protection コンテンツ フィルターは、数種類の一般的 なタイプのスパム メッセージを認識します。図 15. は、1H13 に検出さ れたスパム タイプの相対普及率を示したものです。 2013 年 1 月~ 6 月 21 悪意のある Web サイト フィッシング サイト 世界中のフリー ホスティング サイト、セキュリティが低下した Web サー バー、およびその他の多くの状況で、フィッシング サイトがホストされ ています。 図 16.2Q13 における世界各地のインターネット ホスト 1,000 あたりのフィッシング サイト数 2Q13 に SmartScreen フィルターは、世界中のインターネット ホスト 1,000 台あたり 4.2 のフィッシング サイトを検出しました。 フィッシング サイトの集中率が平均より高い場所には、インドネシア (2Q13 に 1,000 台のインターネット ホストあたり 11.6)、ウクライナ (10.9)、 ロシア (8.5) が挙げられます。フィッシング サイトの集中率が低い場 所には、台湾 (1.2)、日本 (1.3)、および韓国 (1.9) が挙げられます。 22 マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 マルウェア ホスティング サイト Internet Explorer の SmartScreen フィルターは、フィッシング サイトに加え、 マルウェアをホストすることで知られるサイトから保護します。 SmartScreen フィルターは、ファイルおよび URL の評判データおよびマイ クロソフトのマルウェア対策技術を使用して、サイトが安全でないコンテ ンツを配信するかどうかを判断します。フィッシング サイトの場合と同様 に、マイクロソフトでは、各マルウェア ホスティング サイトを閲覧する ユーザーの数に関して匿名データを収集し、その情報を SmartScreen フィ ルターの改善とマルウェア配布対策の向上に使用しています。 図 17. 2Q13 における世界各地のインターネット ホスト 1,000 あたりのマルウェア配信サイト数 1H13 に、マルウェアをホストするサイトは、フィッシング サイトより も大幅に頻繁に検出されました。SmartScreen フィルターは、1Q13 に 世界中のインターネット ホスト 1,000 台あたり 11.7 のマルウェア ホス ティング サイトを検出し、2Q13 には 1,000 台あたり 17.7 を検出しまし た。 2013 年 1 月~ 6 月 23 中国では、フィッシング サイトの集中率は平均以下 (2Q13 は 1,000 台 のインターネット ホストあたりのフィッシング サイト数 2.3) でしたが、 マルウェア ホスティング サイトでは非常に高い集中率 (2Q13 は 1,000 台 のインターネット ホストあたりのマルウェア ホスティング サイト数 37.7) となりました。マルウェア ホスティング サイトの集中率が高い その他の場所には、ウクライナ (71.2)、ロシア (43.6)、およびブラジル (33.6) が挙げられます。マルウェア ホスティング サイトの集中率が低 い場所には、フィンランド (6.1)、デンマーク (7.0)、および日本 (7.0) が 挙げられます。 ドライブバイ ダウンロード サイト ドライブバイ ダウンロード サイトとは、Web ブラウザーとそのアドオン の脆弱性を標的とするエクスプロイトを 1 つ以上ホストしている Web サ イトのことです。脆弱なコンピューターは、何もダウンロードしようとし なくても、そのような Web サイトにアクセスするだけで感染する可能性 があります。 図 18. 2Q13 (下) 末に Bing.com が指標とした各国/地域における URL 1,000 あたりのドライブバイ ダウンロード ページ数 24 マイクロソフト セキュリティ インテリジェンス レポート、第 15 版 本書では、そのレポートの主要な知見をまとめます。SIR Web サイトには、 世界各地の 100 を超える国や地域で観察された傾向に関する徹底的な分析 も含まれており、組織、ソフトウェア、およびユーザーに対する危険に対 処するのに役立つ提案も行っています。 SIRv15 は、www.microsoft.com/japan/sir からダウンロードできます。 2013 年 1 月~ 6 月 25 One Microsoft Way Redmond, WA 98052-6399 microsoft.com/security