トレンドマイクロ社は、2008年上半期、2008年6月のインターネット脅威マンスリーレポートを発表した。
2008年上半期の脅威傾向
2008年上半期の日本国内における不正プログラム感染被害報告数は14,878件と、昨年の上半期の37,363件と比較すると大きく減少している。上半期は、不正プログラムの感染報告として、USBメモリなどリムーバブルメディアの自動実行機能を悪用する「MAL_OTORUN1(オートラン)」が最も多く報告されている。1つ不正プログラムが長期間にわたり、1位を続ける異様な状況が続いている。USBメモリは感染経路の盲点となりやすく、一層の注意を喚起している。
表1 不正プログラム感染被害報告数ランキング[2008年上半期]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 前年同期順位 |
|---|---|---|---|---|---|
| 1位 | MAL_OTORUN1 | オートラン | その他 | 517件 | NEW |
| 2位 | BKDR_AGENT | エージェント | バックドア | 316件 | 1位 |
| 3位 | JS_IFRAME | アイフレーム | JavaScript | 233件 | NEW |
| 4位 | TROJ_VUNDO | ヴァンドー | トロイの木馬型 | 97件 | 2位 |
| 5位 | TROJ_DELF | デルフ | トロイの木馬型 | 72件 | 圏外 |
| 6位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 63件 | 圏外 |
| 7位 | TROJ_WANTVI | ウォントヴィ | トロイの木馬型 | 53件 | NEW |
| 8位 | MAL_NSANTI | エヌサンティ | その他 | 51件 | NEW |
| 9位 | MAL_HIFRM | ハイフレーム | その他 | 42件 | NEW |
| 10位 | WORM_AUTORUN | オートラン | ワーム型 | 42件 | NEW |
もう1つの特徴は、オンラインゲーム関連の不正プログラム「TSPY_ONLINEG(オンラインゲーム)」が、作成(検体数)と配布(URL数)から総合的に見ると最も多く報告されたことである。悪意を持つ者が、オンラインゲーム関連の情報詐取に注力したと予想されるとのことである。
表2 不正プログラム別攻撃者注力度ランキング[2008年上半期]
| 順位 | 検体名 | 検体数(ユニーク数)×URL数 |
|---|---|---|
| 1位 | TSPY_ONLINEG | 223,110(1665×134) |
| 2位 | DIAL_SAPIR | 104,016(3152×33) |
| 3位 | TROJ_DLOADER | 91,656(603×152) |
| 4位 | TROJ_AGENT | 52,355(283×185) |
| 5位 | DIAL_DIALPASS | 32,784(4098×8) |
Webからの脅威は、2007年同様に続いている。3位の「JS_IFRAME(アイフレーム)」を使用した不正なWebサイトへの誘導などが典型例である。また、不正なドメインのうち約46%が、確認されてから30日以内に削除されており、不正プログラムの配布者の多くが、短期間で配布場所を変更することで、捜査機関からの追跡を逃れようとしている姿勢が読み取れる。不正プログラムを配布するWebサイトでは、「com」や「net」を除き、中国のドメインからの配布が最も多く確認された。
表3 トップレベルドメイン別の取得検体数の上位10ドメイン[2008年上半期]
| 順位 | トップレベルドメイン名 | 検体数(のべ数) |
|---|---|---|
| 1位 | com(商用サイト) | 126,458 |
| 2位 | net(ネットワーク) | 17,347 |
| 3位 | cn(中国) | 7,741 |
| 4位 | org(教育機関) | 3,988 |
| 5位 | fr(フランス) | 3,754 |
| 6位 | info(情報機関) | 3,108 |
| 7位 | ar(アルゼンチン) | 1,828 |
| 8位 | pl(ポーランド) | 1,803 |
| 9位 | it(イタリア) | 1,537 |
| 10位 | ru(ロシア) | 1,435 |
2008年6月の脅威傾向
6月の不正プログラム感染被害の総報告数は4,232件で、5月の3,167件から増加傾向にある。Webサイトでダウンロードされるバックドア「BKDR_AGENT(エージェント)」や不正Webサイトにリダイレクトする「JS_IFRAME」が上位となった。また「TSPY_ONLINEG」は、引き続き6位に入っており、ここでもオンラインゲーム関連の情報搾取を狙った攻撃者の意図が見えるとのことである。そこで、オンラインゲーム関連の不正プログラム(「TSPY_ONLINEG」、「TSPY_ONLING」、「WORM_ONLINEG」)のトップレベルドメインごとの取得検体数を調査した。結果は、他の不正プログラムに比べてオンラインゲーム関連の不正プログラムは、「com」と「cn」に全体の約71%の検体が置かれており、商用サイトと中国のサイトから多く配布されていたとのことが判明したとのことである。ここでも、中国のサイトへの脅威が現実のものとなっている。
表4 不正プログラム感染被害報告数ランキング[2008年6月]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | BKDR_AGENT | エージェント | バックドア | 86件 | 5位 |
| 2位 | JS_IFRAME | アイフレーム | JavaScript | 75件 | 2位 |
| 3位 | MAL_OTORUN1 | オートラン | その他 | 61件 | 1位 |
| 4位 | MAL_HIFRM | ハイフレーム | その他 | 47件 | NEW |
| 5位 | MAL_NSANTI | エヌサンティ | その他 | 18件 | 3位 |
| 6位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 13件 | 6位 |
| 7位 | TROJ_CORELINK | コアリンク | トロイの木馬型 | 12件 | 圏外 |
| 8位 | TROJ_VUNDO | ヴァンドー | トロイの木馬型 | 11件 | 圏外 |
| 9位 | WORM_QQPASS | キューキューパス | ワーム型 | 9件 | 圏外 |
| 9位 | TROJ_DIALER | ダイアラー | トロイの木馬型 | 9件 | 圏外 |
| 9位 | TROJ_GAMETHIEF | ゲームシーフ | トロイの木馬型 | 9件 | NEW |
6月の不正プログラム収集状況
検索ロボットのWeb Crawlerで取得された不正プログラムでは、偽セキュリティソフト「TROJ_FAKEAV.U」や広告を表示する「ADW_MOKEAD」などユーザが視覚的に認識できるものが多く、ユーザの意識的なWebサイトへのアクセスを前提としていることがうかがえる。
Honey Client(意図的にウイルスに感染させ、そのウイルスがダウンロードする不正プログラムを収集する)で取得された不正プログラムでは、「TSPY_ONLING」というオンラインゲーム関連の不正プログラムが多く収集された。ここでも目的は、オンラインゲーム関連の情報搾取であったことが推測できるとのことである。2008年上半期の傾向を顕著に表す結果といえよう。オンラインゲームをプレイするユーザには、より注意が必要となる。
表5 Web CrawlerおよびHoney Clientで取得した検体数ランキング[2008年6月]
Web Crawler(不正Webサイトの巡回)
| 順位 | 検体名 | 検体数(ユニーク) |
|---|---|---|
| 1位 | TROJ_FAKEAV.U | 67 |
| 2位 | TROJ_FRAUDLOA.PG | 16 |
| 3位 | TROJ_DLOADER.FXN | 15 |
| 4位 | ADW_MOKEAD | 12 |
| 5位 | TSPY_ONLINEG.MNU | 11 |
Honey Client(不正プログラムによるダウンロード)
| 順位 | 検体名 | 検体数(ユニーク) |
|---|---|---|
| 1位 | TSPY_ONLING.BT | 27 |
| 2位 | TROJ_DLOADER.FXN | 13 |
| 3位 | ADW_VAPSUP | 11 |
| 4位 | TROJ_DIALER.LI | 9 |
| 5位 | TSPY_ONLINEG.QBP | 8 |
