マルウェアのホスティング先は80％が米国

ロシアについては「ウイルスの産地」との評判が聞かれるが、これはあながち間違っていないのかもしれない。実際、ロシアではウイルスの作成や販売が行なわれ、さらにはスパイウェアがサービス契約でサポートされる例まである。では、こうした不正コードは、最終的にどこに行きつくのだろう？ セキュリティサービス企業の Finjan の調査により、これらのコードのほとんどは、米国のサーバーに向かうことが明らかになった。

Finjan は、1000万の個別 URL を検査し、さらに各ドメインをホストしているサーバーを調査して、その結果を2007年第1四半期『Web Security Trends Report』にまとめた。それによると、不正コードを含む URL の80％以上が、米国のサーバーにホスティグされていることが明らかになった。米国の次に多いのが英国で、その割合は10％だった。

一方、McAfee (NYSE:MFE) の『SiteAdvisor』による最近の調査では、マルウェアがホスティングされている割合の高い国として、南太平洋諸島の国々が挙げられている。しかし、SiteAdvisor でわかるのはトップレベルドメイン (TDL) までで、こうしたサイトが実際にどこを拠点としているかまではわからない。

この調査では、人口1200人のニュージーランド領トケラウのドメインは危険度が高いとされている。しかし、同島のドメイン登録サービスはサンフランシスコの企業が行なっており、ドメインが「.tk」で登録されているからといって、該当のサーバーが実際に同国に存在するとは限らない。

今回 Finjan の調査によって明らかとなったのは、不正コードがロシアや中国で作られていたとしても、こうしたコードがホスティングされるのは、メンテナンスやセキュリティ管理がきちんと行なわれていない米国のサーバーだということだ。こうしたサーバーの例としては、無料のホスティングサイトや放置されて誰も管理していないサイトなどが挙げられる。

さらに、大きな発見として、不正コードの80％以上でコードの秘匿化が図られていることも判明した。この場合、パターンマッチングやシグネチャベースのマルウェア対策ソフトは用をなさない。

Finjan の CTO (最高技術責任者) を務める Yuval Ben-Itzhak 氏は、次のように述べている。「マルウェアの脅威とインターネットの動的な性質を考えると、シグネチャを照合するのではなく、ネットワーク経由でやってくるコードをその場ですぐチェックする、リアルタイムの検知技術が必要だ。コードの作成元を問わず、ネットワーク上のすべてのコンテンツを調べなければならない」