トレンドマイクロは、2010年上半期、2010年6月度のインターネット脅威マンスリーレポートを発表した。
2010年上半期の脅威傾向
2010年上半期の日本国内における不正プログラム感染被害報告数は9,885件と、2009年の上半期の28,628件から減少している。「WORM_DOWNAD(ダウンアド)」に代表される単純に自己を複製し感染を繰り返すワームの被害は減少している。一方、ガンブラーなどに代表されるWeb経由で感染する不正プログラムは多数確認されているのが特徴といえよう。
2010年の上期は、ガンブラーによる正規のWebサイト改ざんをきっかけにした不正プログラム感染が猛威をふるった。ランキングでは改ざんされたWebサイトに埋め込まれる「JS_ONLOAD(オンロード)」、「MAL_HIFRM(ハイフレーム)」、「JS_GUMBLAR(ガンブラー)」、「JS_IFRAME(アイフレーム)」、改ざんされたWebサイトを閲覧したユーザが誘導される不正なWebサイトから感染する「TROJ_FAKEAV(フェイクエイブイ)」、「TROJ_BREDOLAB(ブレドラボ)」がランクインしている。
2009年までは、ガンブラーによる一連の攻撃はWebサーバのアカウント/パスワードを詐取する事例が確認されていた。2010年では、偽セキュリティソフトなど金銭や情報を直接詐取する被害が報告されている。偽セキュリティソフトである「TROJ_FAKEAV」が、2010年には圏外だったが、5位にランクインしていることからもその傾向がうかがえる。「TROJ_FAKEAV」では、マイクロソフトの無償セキュリティソフト「Microsoft Security Essentials」に似せた画面を表示し、ユーザを巧妙に騙そうとしていた。
上半期の不正プログラム感染被害報告数ランキング(表1)では、USBメモリなどリムーバブルメディアを悪用する不正な設定ファイル「MAL_OTORUN(オートラン)」とOSの脆弱性を悪用し感染を広げる「WORM_DOWNAD」が1位、2位にランクインしている。しかし、2009年と比べると減少傾向にあり、脅威も縮小傾向にあるといえる。しかし、「WORM_DOWNAD」は脆弱性の悪用の他に、USBメモリへの感染、ファイル共有、パスワード攻撃など感染を拡散する機能が複数搭載されているため、根絶することが難しく、一度駆除したにも関わらず再感染を繰り返してしまう。引き続き注意が必要であろう。
表1 不正プログラム感染被害報告数ランキング[2010年上半期]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 前年同期順位 |
|---|---|---|---|---|---|
| 1位 | MAL_OTORUN | オートラン | その他 | 315件 | 1位 |
| 2位 | WORM_DOWNAD | ダウンアド | ワーム | 266件 | 2位 |
| 3位 | JS_ONLOAD | オンロード | Java Script | 124件 | New |
| 4位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬型 | 112件 | 圏外 |
| 5位 | MAL_HIFRM | ハイフレーム | その他 | 96件 | 8位 |
| 6位 | BKDR_AGENT | エージェント | バックドア | 91件 | 3位 |
| 7位 | JS_GUMBLAR | ガンブラー | Java Script | 85件 | New |
| 8位 | JS_IFRAME | アイフレーム | Java Script | 70件 | 7位 |
| 9位 | WORM_AUTORUN | オートラン | ワーム | 68件 | 圏外 |
| 10位 | TROJ_BREDOLAB | ブレドラボ | トロイの木馬型 | 62件 | New |
2010年上半期の脅威トピックについては、以後のレポートでも機会をみて紹介しよう。
2010年6月の脅威傾向
6月の不正プログラム感染被害の総報告数は1774件で、5月の1403件から増加している。今月の注目は、南アフリカで開催されている2010 FIFAワールドカップであろう。このような世界的なイベントあわせて関連ニュースを装ったスパムメールも確認された。メール本文には「ワールドカップ2010関連のスキャンダル、添付ファイル参照」とあり、ユーザーの関心を惹こうとしている。このようにFIFAワールドカップ関連ニュースを装い、添付ファイルを開かせようとしているのである(図1)。
 |
図1 FIFAワールドカップ関連ニュースを装ったスパムメール(同社Webサイトより) |
添付された不正なHTMLファイル内にはランキング6位のJS_REDIR(リデアー)として検出される不正なコードが含まれていいる。添付ファイルを実行するとワールドカップとは無関係なサイト(図2)が開かれ、同時にユーザに気づかれないように裏で別のURLに接続する。
 |
図2 まったく無関係なWebサイトが開かれる(同社Webサイトより)< |
接続先のサーバからPDFファイルやJavaファイルをダウンロードし、アプリケーションの脆弱性を利用してさまざまな不正ファイルを作成する。これらのファイルが実行されると、偽セキュリティソフトをインストールしたり、FTPのパスワードが盗まれたりする。この攻撃では、ガンブラー攻撃でもリダイレクト先として利用されるURL「.ru:8080」が利用されていることが確認されている。
表2 不正プログラム感染被害報告数ランキング[2010年6月]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD | ダウンアド | ワーム | 59件 | 1位 |
| 2位 | MAL_HIFRM | ハイフレーム | その他 | 22件 | 2位 |
| 3位 | MAL_OTORUN | オートラン | その他 | 21件 | 3位 |
| 4位 | HTML_ALLAPLE | オールアプレ | その他 | 20件 | 圏外 |
| 4位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬 | 20件 | 4位 |
| 6位 | BKDR_AGENT | エージェント | バックドア | 17件 | 5位 |
| 6位 | JS_REDIR | リデアー | Java Script | 17件 | 圏外 |
| 8位 | JS_PEGEL | ペーゲル | Java Script | 16件 | New |
| 8位 | MAL_XED-22 | ゼッドトゥエンティートゥー | その他 | 16件 | 圏外 |
| 10位 | WORM_AUTORUN | オートラン | ワーム | 15件 | 圏外 |