トレンドマイクロは、2008年7月度のインターネット脅威マンスリーレポートを発表した。
2008年7月の脅威傾向
7月の不正プログラム感染被害の総報告数は6,368件で、6月の4,232件から増加している。これは、6月が少なかったとみるべきであろう。トレンドマイクロでは7月17日にSQLインジェクションによるWebサイト改ざんを警告した。「TROJ_ASPROX(アスプロクス)」という不正プログラムがWindowsフォルダを書き換え、TCPの80番ポートを開きプロキシサーバとして活動する。
この不正プログラムに感染すると、攻撃者の踏み台にされる。攻撃者はさらに、不正なWebサイトにアクセスするようにIFRAMEタグを埋め込む。その不正なWebサイトを閲覧すると、不正なJavaScriptがダウンロードされ、さらに別の不正なプログラムがダウンロードされるという連鎖攻撃を行うものだ。トレンドマイクロでは、全世界で最大21万ページ、国内で約1万ページに疑わしい記述があると指摘している。
感染報告1位の「TROJ_CABAT(キャバット)」は新たに発見されたオンラインゲーム関連の情報を盗む不正プログラムである。表1の上位10種の半数をこの種の不正プログラムが占めている。新種の作成・配布数(表2)でも「TSPY_ONLINEG(オンラインゲーム)」が上位であることからオンラインゲーム関連の情報を狙った攻撃が続いていることがうかがえる。
また、USBメモリを媒介とする「MAL_OTORUN1(オートラン)」も、以前として報告数・配布数の上位を維持している。この猛威は当分続くであろう。
夏休みには不正プログラムの配布も増加傾向
夏季休暇の前後は不正プログラムの配布が活発化する傾向にある。休暇中にはユーザの警戒心が緩むこともあり、攻撃者はその隙を狙っていると思われる。休暇中はオンラインゲームなどをする機会も多い。オンラインゲームユーザは、より一層の注意が必要となるであろう。
また、企業側のWebアプリケーションなどでも対策が必要となる。休暇中には、メンテナンスの要員も手薄になりがちとなる。そんな休暇中に悪意を持った攻撃を受けた場合、対応などで後手にまわりかねない。休暇前には、脆弱性のチェックなどを確認しておくべきであろう。
また、いざという時のための体制の準備(緊急連絡網の整備や休暇中のスケジュールの共有)などもしておくとが望ましい。さらに、OSやアプリケーションのセキュリティホールの修正といったことも合わせて考慮しておくべきである。
表1 不正プログラム感染被害報告数ランキング[2008年7月度]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | TROJ_CABAT | キャバット | トロイの木馬型 | 163件 | NEW |
| 2位 | TROJ_GAMETHIEF | ゲームシーフ | トロイの木馬型 | 156件 | 9位 |
| 3位 | MAL_OTORUN1 | オートラン | その他 | 141件 | 3位 |
| 4位 | TROJ_LINEAGE | リネージュ | トロイの木馬型 | 133件 | 圏外 |
| 5位 | BKDR_AGENT | エージェント | バックドア | 95件 | 1位 |
| 6位 | JS_IFRAME | アイフレーム | Java Script | 72件 | 2位 |
| 7位 | MAL_NSANTI | エヌサンティ | その他 | 70件 | 5位 |
| 8位 | TROJ_RENOS | レノス | トロイの木馬型 | 68件 | 圏外 |
| 9位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 65件 | 6位 |
| 10位 | MAL_HIFRM | ハイフレーム | その他 | 56件 | 4位 |
7月の不正プログラム収集状況
不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)を掛け合わせた数字を比較することで、攻撃者側の注力度が見てとれる(表2)。7月は、不正なWebサイトから不正プログラムをダウンロードする「TROJ_DLOADER」が、最も注力度が高くなっている。攻撃者からみれば、最も効率的な不正プログラムといえるからだ。また、2008年上半期1位であったオンラインゲーム関連の不正プログラムである「TSPY_ONLINEG」は2位に入り、オンラインゲーム関連の情報もこれまで同様に狙われている点に注意をしたい。
表2 不正プログラム別、攻撃者注力度ランキング
| 順位 | 検出名 | ユニーク数×URL数 |
|---|---|---|
| 1位 | TROJ_DLOADER | 52884(452×117) |
| 2位 | TSPY_ONLINEG | 29520(492×60) |
| 3位 | TROJ_ZLOB | 23751(377×63) |
| 4位 | TROJ_AGENT | 18762(177×106) |
| 5位 | TROJ_DIALER | 3542(253×14) |
「Web Crawler」は悪意のWebサイトを巡回し、ダウンロードできるファイルを自動収集するハニーポットシステムだ。その結果が、表3と表4である。7月は、USBメモリ経由で感染を広げる「WORM_AUTORUN」の亜種が2種ランクインしている。今年に入ってから猛威をふるっている不正プログラムの代表ともいえるものである。二次的な感染経路として、USBメモリなどを介するものであるが、最初の感染経路はやはりWebサイトからというのが、理解してもらえるであろう。
また、ユニーク数で1位の「TSPY_QQPASS」は、中国で主に利用されているインスタントメッセンジャーのアカウント情報を盗み取る不正プログラムである。
表3 Web Crawlerで取得した新規検体数の「のべ数」のランキング[2008年7月度]
| 順位 | 検体名 | 検出数 |
|---|---|---|
| 1位 | WORM_AUTORUN.MCS | 132 |
| 2位 | TSPY_QQPASS.BV | 48 |
| 3位 | ADW_CINMUS | 44 |
| 4位 | WORM_AUTORUN6 | 32 |
| 5位 | TROJ_GAMETHIE.NA | 30 |
表4 Web Crawlerで取得した新規検体数の「ユニーク数」のランキング[2008年7月度]
| 順位 | 検体名 | 検出数 |
|---|---|---|
| 1位 | TSPY_QQPASS.BV | 17 |
| 2位 | WORM_AUTORUN.MCS | 11 |
| 3位 | ADW_FRAUDLOAD | 6 |
| 4位 | TROJ_POPHOT.FG | 5 |
| 5位 | WORM_AUTORUN6 | 5 |
