【レポート】USBメモリが感染経路の盲点、最終目的はオンラインゲーム関連の情報搾取 | パソコン

お知らせ: 「マイポ」からのポイント交換を再開いたしました。(5月9日); メール会員100万人突破記念「春の読者プレゼント」結果発表は5月30日です。; マイナビベアがミクシィで部屋を作ったよ。ぜひ見てね！; 一緒に「マイナビ」で働きませんか。採用情報はこちらから。; 旅行券3万円、時計、ビジネスバッグなどが当たる！さらに応募者全員に50マイポもプレゼント

その先を伝える総合情報サイト
マイナビニュース

パソコン

急上昇ワード

[

]

【レポート】

USBメモリが感染経路の盲点、最終目的はオンラインゲーム関連の情報搾取

c-bou　 [2008/07/03]

印刷

トレンドマイクロ社は、2008年上半期、2008年6月のインターネット脅威マンスリーレポートを発表した。

2008年上半期の脅威傾向

2008年上半期の日本国内における不正プログラム感染被害報告数は14,878件と、昨年の上半期の37,363件と比較すると大きく減少している。上半期は、不正プログラムの感染報告として、USBメモリなどリムーバブルメディアの自動実行機能を悪用する「MAL_OTORUN1(オートラン)」が最も多く報告されている。1つ不正プログラムが長期間にわたり、1位を続ける異様な状況が続いている。USBメモリは感染経路の盲点となりやすく、一層の注意を喚起している。

表1 不正プログラム感染被害報告数ランキング[2008年上半期]

順位	検出名	通称	種別	件数	前年同期順位
1位	MAL_OTORUN1	オートラン	その他	517件	NEW
2位	BKDR_AGENT	エージェント	バックドア	316件	1位
3位	JS_IFRAME	アイフレーム	JavaScript	233件	NEW
4位	TROJ_VUNDO	ヴァンドー	トロイの木馬型	97件	2位
5位	TROJ_DELF	デルフ	トロイの木馬型	72件	圏外
6位	TSPY_ONLINEG	オンラインゲーム	トロイの木馬型	63件	圏外
7位	TROJ_WANTVI	ウォントヴィ	トロイの木馬型	53件	NEW
8位	MAL_NSANTI	エヌサンティ	その他	51件	NEW
9位	MAL_HIFRM	ハイフレーム	その他	42件	NEW
10位	WORM_AUTORUN	オートラン	ワーム型	42件	NEW

もう1つの特徴は、オンラインゲーム関連の不正プログラム「TSPY_ONLINEG(オンラインゲーム)」が、作成(検体数)と配布(URL数)から総合的に見ると最も多く報告されたことである。悪意を持つ者が、オンラインゲーム関連の情報詐取に注力したと予想されるとのことである。

表2 不正プログラム別攻撃者注力度ランキング[2008年上半期]

順位	検体名	検体数(ユニーク数)×URL数
1位	TSPY_ONLINEG	223,110(1665×134)
2位	DIAL_SAPIR	104,016(3152×33)
3位	TROJ_DLOADER	91,656(603×152)
4位	TROJ_AGENT	52,355(283×185)
5位	DIAL_DIALPASS	32,784(4098×8)

Webからの脅威は、2007年同様に続いている。3位の「JS_IFRAME(アイフレーム)」を使用した不正なWebサイトへの誘導などが典型例である。また、不正なドメインのうち約46%が、確認されてから30日以内に削除されており、不正プログラムの配布者の多くが、短期間で配布場所を変更することで、捜査機関からの追跡を逃れようとしている姿勢が読み取れる。不正プログラムを配布するWebサイトでは、「com」や「net」を除き、中国のドメインからの配布が最も多く確認された。

表3 トップレベルドメイン別の取得検体数の上位10ドメイン[2008年上半期]

順位	トップレベルドメイン名	検体数(のべ数)
1位	com(商用サイト)	126,458
2位	net(ネットワーク)	17,347
3位	cn(中国)	7,741
4位	org(教育機関)	3,988
5位	fr(フランス)	3,754
6位	info(情報機関)	3,108
7位	ar(アルゼンチン)	1,828
8位	pl(ポーランド)	1,803
9位	it(イタリア)	1,537
10位	ru(ロシア)	1,435

2008年6月の脅威傾向

6月の不正プログラム感染被害の総報告数は4,232件で、5月の3,167件から増加傾向にある。Webサイトでダウンロードされるバックドア「BKDR_AGENT(エージェント)」や不正Webサイトにリダイレクトする「JS_IFRAME」が上位となった。また「TSPY_ONLINEG」は、引き続き6位に入っており、ここでもオンラインゲーム関連の情報搾取を狙った攻撃者の意図が見えるとのことである。そこで、オンラインゲーム関連の不正プログラム(「TSPY_ONLINEG」、「TSPY_ONLING」、「WORM_ONLINEG」)のトップレベルドメインごとの取得検体数を調査した。結果は、他の不正プログラムに比べてオンラインゲーム関連の不正プログラムは、「com」と「cn」に全体の約71%の検体が置かれており、商用サイトと中国のサイトから多く配布されていたとのことが判明したとのことである。ここでも、中国のサイトへの脅威が現実のものとなっている。

表4 不正プログラム感染被害報告数ランキング[2008年6月]

順位	検出名	通称	種別	件数	先月順位
1位	BKDR_AGENT	エージェント	バックドア	86件	5位
2位	JS_IFRAME	アイフレーム	JavaScript	75件	2位
3位	MAL_OTORUN1	オートラン	その他	61件	1位
4位	MAL_HIFRM	ハイフレーム	その他	47件	NEW
5位	MAL_NSANTI	エヌサンティ	その他	18件	3位
6位	TSPY_ONLINEG	オンラインゲーム	トロイの木馬型	13件	6位
7位	TROJ_CORELINK	コアリンク	トロイの木馬型	12件	圏外
8位	TROJ_VUNDO	ヴァンドー	トロイの木馬型	11件	圏外
9位	WORM_QQPASS	キューキューパス	ワーム型	9件	圏外
9位	TROJ_DIALER	ダイアラー	トロイの木馬型	9件	圏外
9位	TROJ_GAMETHIEF	ゲームシーフ	トロイの木馬型	9件	NEW

6月の不正プログラム収集状況

検索ロボットのWeb Crawlerで取得された不正プログラムでは、偽セキュリティソフト「TROJ_FAKEAV.U」や広告を表示する「ADW_MOKEAD」などユーザが視覚的に認識できるものが多く、ユーザの意識的なWebサイトへのアクセスを前提としていることがうかがえる。

Honey Client(意図的にウイルスに感染させ、そのウイルスがダウンロードする不正プログラムを収集する)で取得された不正プログラムでは、「TSPY_ONLING」というオンラインゲーム関連の不正プログラムが多く収集された。ここでも目的は、オンラインゲーム関連の情報搾取であったことが推測できるとのことである。2008年上半期の傾向を顕著に表す結果といえよう。オンラインゲームをプレイするユーザには、より注意が必要となる。