• JP
  • magnifying glass search icon to open search field
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
Palo Alto Networks logo
  • 製品
  • ソリューション
  • サービス
  • 業種
  • パートナー
  • パロアルトネットワークスをお勧めする理由
  • 会社案内
  • その他
  • JP
    Language
  • お問い合わせ
  • リソースセンター
  • サポートを受ける
  • 現在、攻撃を受けていますか?
  • スタート ガイド

2019年も攻撃が続くMyDoom、日本を含む世界が標的に

Brad Duncan 7 29, 2019 at 05:30 午後

本ブログは米国で2019年07月26日に公開されたUnit 42ブログ「MyDoom Still Active in 2019」の日本語翻訳です。


概要

MyDoom は悪名高いコンピュータワームで2004年初めに最初の記録があります。このマルウェアは、 最も破壊的なコンピュータウイルスのトップ10リストに数えられており、推定で380億ドルの被害を出しています。全盛期を過ぎたいまでも同マルウェアはサイバー脅威の界隈でその存在感を示し続けています。

他のマルウェアファミリほど顕著ではないものの、近年もMyDoomのサンプルは一定して検出されており、マルウェア添付ファイル付きの電子メール全体で平均で約1.1%を占めています。そのサンプルは、毎月何万回も記録され続けています。MyDoom を添付した電子メールの大半は中国で登録されたIPアドレスから送信され、次点が大きく差をつけられて米国発のIPアドレスからとなっています。これら電⼦メールは、日本も上位に含まれるなど世界中の受信者に送信されています。業種としては、主にハイテク、卸売業、⼩売業、ヘルスケア、教育、製造業の業界をターゲットとしています。

本稿は、近年のMyDoomによる活動を追跡し、2019年の最初の6ヶ月間の傾向に焦点を当てたものです。

2015年から2018年にかけてのMyDoomの活動

MyDoomの伝播はSMTPプロトコルを利用する電子メールを使って行われます。私たちは、MyDoomを添付ファイルとして含むメールと、あらゆる種類のマルウェアを添付ファイルとして含むメールとを比較しました。2015年から2018年までの4年間で、悪意のある電子メールの平均1.1%にMyDoomが含まれていました。ただし同じ期間に確認された個々のマルウェア サンプルの「数」を見た場合、MyDoomは全電子メールのマルウェア サンプル数で平均21.4%を占めています。

「マルウェア電子メール全体に占めるMyDoomの添付された電子メールの通数の割合」と「マルウェアを添付された電子メールにおけるマルウェアサンプル数全体に占めるMyDoomマルウェアのサンプル数の割合」とを比較した場合に、前者の割合がかなり低い理由はなんでしょうか。その理由は、通常の悪意のある電子メール攻撃キャンペーンが、数百から数千の受信者に同一マルウェア サンプルを添付したメッセージを送信することが多いのに対し、MyDoomはポリモーフィック型であるため、そのファイル ハッシュは各電子メールごとに異なる傾向があるからです。したがって、MyDoomを添付した電子メール数は比較的少ないですが、サンプル数は電子メールを介して配布される他のマルウェアと比べて高くなる傾向があります。表1は2015年から2018年までの統計です。

年 MyDoomを添付した電子メール数 マルウェアを含む電子メールの総数 MyDoomが添付された電子メールの割合 MyDoomのサンプル数 マルウェア サンプル合計数 MyDoomサンプルの割合
2015年 574,674 27,599,631 2.1% 87,119 615,386 14.2%
2016年 589,107 77,575,376 0.8% 142,659 960,517 14.9%
2017年 309,978 79,599,864 0.4% 95,115 340,433 27.9%
2018年 663,212 64,919,295 1.0% 150,075 528,306 28.4%

表1 2015年から2018年までのMyDoom統計

 

図 1 2015年のMyDoomの活動レベル

 

 

図 2 2016年のMyDoomの活動レベル

 

 

図 3 2017年のMyDoomの活動レベル

 

 

図 4 2018年のMyDoomの活動レベル

 

2019年のMyDoomの活動

2019年上半期におけるMyDoomの活動は、2018年のそれとほぼ同等の平均を維持していることが分かっており、電子メールとマルウェアサンプルの両方の割合は若干高くなっています。詳しくは表2を参照してください。

年 MyDoomを添付した電子メール数 マルウェアを含む電子メールの総数 MyDoomが添付された電子メールの割合 MyDoomのサンプル数 マルウェア サンプル合計数 MyDoomサンプルの割合
2019年1月〜6月 465,896 41,002,585 1.1% 92,932 302,820 30.1%

表2 2019年上半期のMyDoomの統計

 

図 5 2019年上半期におけるMyDoomの活動レベル

 

なお、このうち574種類のMyDoomサンプルについては複数の月にまたがって検出されているので、1月から6月までを月別表示した次表3で示すMyDoomマルウェア サンプル総数と、6か月間の通期で総通数を示した表2とでは、マルウェア サンプルの合計数は異なります。

月 MyDoomを添付した電子メール数 MyDoomのサンプル数
2019年1月 54,371 14,441
2019年2月 47,748 11,566
2019年3月 80,537 18,789
2019年4月 92,049 17,278
2019年5月 113,037 15,586
2019年6月 78,154 15,846

表3 2019年上半期のMyDoom月別統計(月別)

 

図 6 2019年1月から6月までのMyDoomの活動を表すグラフ

 

これらの電子メールはどこから来たものでしょうか。2019年上半期で見た上位10か国は次の通りで、日本が上位5番目となっています。

  • 中国:349,454通
  • アメリカ合衆国:18,590通
  • イギリス:10,151通
  • ベトナム:4,426通
  • 大韓民国(韓国):2,575通
  • スペイン:2,154通
  • ロシア:1,007通
  • インド:657通
  • 台湾:536通
  • カザフスタン:388通

 

図 7 2019年上半期にMyDoomを添付した電子メールの送信元となった国

 

ターゲットとされた国についていえば、送信元の国より多様で、均等に分布していました。対象となった上位10カ国は次のとおりです。

  • 中国:72,713 通
  • アメリカ合衆国:56,135 通
  • 台湾:5,628 通
  • ドイツ:5,503通
  • 日本:5,105通
  • シンガポール:3,097通
  • 大韓民国(韓国):1,892 通
  • ルーマニア:1,651通
  • オーストラリア:1,295通
  • イギリス:1,187 通

 

図 8 2019年上半期にMyDoomを添付した電子メールの送信先となった国

 

この期間における対象上位10種の業種は次のとおりです。

  • ハイテク:212,641 通
  • 卸売および小売:84,996 通
  • ヘルスケア:49,782通
  • 教育:37,961通
  • 製造業:32,429通
  • 専門・リーガルサービス:19,401通
  • 電気通信:4,125 通
  • ファイナンス:2,259 通
  • 運輸・物流:1,595 通
  • 保険:796 通

なおこの結果は、弊社の顧客ベースを元にしているという都合上、偏りが見られる可能性があります。しかしながらこのデータからは、中国とアメリカがほとんどのMyDoom添付電子メールの送信元国であり、同時に標的とされた国としてもランキングの上位につけていることが分かります。

MyDoomの特徴

MyDoomの配信には、何年も前からあまり変わらない特徴があります。2019年2月にCylanceがMyDoomのサンプルを分析していますが、現在のMyDoomサンプルにもよく似た特徴があります。MyDoomの配信メールは電子メールの配信不能レポート(DSN)を偽装することが多く、その件名は次のようなものです。

  • Delivery failed
  • Delivery reports about your e-mail
  • Mail System Error – Returned Mail
  • MESSAGE COULD NOT BE DELIVERED
  • RETURNED MAIL: DATA FORMAT ERROR
  • Returned mail: see transcript for details

ただし、件名にランダムなアルファベット文字を含むMyDoom添付メールもしばしば観測されています。MyDoomを添付した電子メールは、このほかに次のような件名も使用することがあります:

  • Click me baby, one more time
  • hello
  • Hi
  • say helo to my litl friend

図8〜図10は2019年7月のMyDoom添付メールのサンプルのスクリーンショットです。

 

図 8 2019年7月のMyDoom添付メールの例(1/3)

 

 

図 9 2019年7月のMyDoom添付メールの例(2/3)

 

 

図 10 2019年7月のMyDoom添付メールの例(3/3)

 

これらのMyDoom付きメールの添付ファイルは実行可能ファイルであるか、実行可能ファイルを含むzipアーカイブです。MyDoomマルウェアは、感染したWindowsホストを悪意のあるスパムボット化し、その後MyDoomを添付した電子メールをさまざまな電子メールアドレスに送信します。感染したWindowsホストにメール クライアントがインストールされていなくてもこの活動は行われます。MyDoomのもう1つの特徴は、1042/tcpポート経由でのさまざまなIPアドレスへの接続試行です。

 

図 11 2019年7月15日にMyDoomに感染したホストから送信された電子メール トラフィック

 

 

図 12 MyDoomに感染したホストから1042/tcpポート経由での接続試行

 

Windows 7ホストの場合、MyDoomは自分自身のコピーをユーザーのAppData\Local\Tempディレクトリにlsass.exeとして作成します。ただしこのマルウェアはWindowsレジストリに登録されず、永続化はされません。Windows XPホストの場合、MyDoom実行可能ファイルは自分自身のコピーをC:\Windows\lsass.exeに作成します。また、WindowsレジストリのHKEY_LOCAL_MACHINEキー以下のSOFTWARE\Microsoft\Windows\CurrentVersion\RunサブキーにTraybarという名前の値を登録することで永続性を確保します。 (図13参照)。

 

図 13 MyDoomはWindows XPホストでは永続性を確保

 

結論

2004年初認のMyDoomはいまだ活動を継続中で、これはMyDoomが生まれ持った破壊性の証といえるでしょう。MyDoomに感染したインフラが長年にわたり十分に残っていることから、今日の脅威勢力図には変わらずMyDoomが登場し続けています。マルウェア添付メール全体に占めるMyDoomの割合は比較的小さいですが、同マルウェアは依然その存在感を示し続けています。

私たちのデータによれば、MyDoomに感染したインフラは主に中国に属するIPアドレス範囲内に存在し、米国は大きく差をつけて次点となっています。なおMyDoomが添付された電子メールの主な受信者もはやり中国と米国ですが、配信自体はグローバルを対象として行われており、他の多くの国々も標的となっています。また、最大のターゲットとなっている産業区分はハイテク業界です。

パロアルトネットワークス製品をご利用のお客様は、MyDoomを容易に検出するThreat Prevention プラットフォームにより同マルウェアから保護されています。AutoFocusをお使いのお客様は次のタグを使用してこれらの活動を追跡できます: MyDoom

パロアルトネットワークスは本稿で見つかったファイルサンプルや侵害の兆候などをふくむ調査結果をCyber Threat Alliance(サイバー脅威アライアンス、以下CTA)のメンバーと共有しました。CTA のメンバーはこのインテリジェンスを使用して、お客様に保護を迅速に提供し、悪意のあるサイバー攻撃者を体系的に阻害することができます。Cyber Threat Allianceの詳細については、次のWebサイトをご覧ください: www.cyberthreatalliance.org

IOC

2019年7月以降に確認されたMyDoom実行ファイルのサンプル

1b46afe1779e897e6b9f3714e9276ccb7a4cef6865eb6a4172f0dd1ce1a46b42

48cf912217c1b5ef59063c7bdb93b54b9a91bb6920b63a461f8ac7fcff43e205

50dfd9af6953fd1eba41ee694fe26782ad4c2d2294030af2d48efcbcbfe09e11

6a9c46d96f001a1a3cc47d166d6c0aabc26a5cf25610cef51d2b834526c6b596

9e4c6410ab9eda9a3d3cbf23c58215f3bc8d3e66ad55e40b4e30eb785e191bf8

 

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

データシート

PA-400シリーズ

パロアルトネットワークスの機械学習を活用したNGFW「PA-400 Series (PA-460、PA-450、PA-440)」なら、分散した大企業の支社、小売店、中規模企業にも次世代ファイアウォール機能を導入できます。
August 3, 2022

最新ニュース、イベント情報、脅威アラートを配信

このフォームを送信すると、お客様は弊社の利用規約とプライバシー ポリシーに同意したものとみなされます。

black youtube icon black twitter icon black facebook icon black linkedin icon
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)

人気のあるリソース

  • 会社概要
  • イベント センター
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • 投資家の皆様へ
  • ブログ
  • Japan Live Community
  • Tech Docs
  • キャリア
  • お問い合わせ
  • サイトマップ

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約
  • トラスト センター
  • ドキュメント
  • 一般事業主行動計画

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告

Copyright © 2023 Palo Alto Networks. All rights reserved