トレンドマイクロは、2008年11月度のインターネット脅威マンスリーレポートを発表した。
引き続き、オートランの脅威が続く
11月の不正プログラム感染被害の総報告数は5,207件で、10月の5,744件から減少している。しかし、この数カ月で、リムーバブルメディアの設定ファイルである「MAL_OTORUN(オートラン)」の感染報告数が急激に増加している。感染被害報告数ランキング(表1)では、「MAL_OTORUN」が8月以来4カ月連続1位となっており、総報告数における「MAL_OTORUN」の割合も11月は約11%と、2位以下を大きく引き離す突出した報告数となっている。その理由としては、悪意を持った攻撃者によるUSBワームの作成・配布量の増加が有力と推測される。
先月は新しい機能を持ったUSBワームも報告されており、その脅威は、収まる兆しをみせていない。悪意を持った攻撃者にとっては、USBメモリなどのリムーバブルメディアを感染経路として狙う手法は、「効果的な攻撃方法」として今や定番化の様を呈している。また、「WORM_AUTORUN」以外にもリムーバブルメディアに自身をコピーする機能が付加される例も増えており、これも「MAL_OTORUN」の感染報告数増加の一因とみられる。
対策としては、ウイルス定義ファイルを最新にし、USBメモリなどのリムーバブルメディアへのウイルスチェックを欠かさない、不審なUSBメモリは使用しないことである。また、11月の感染報告ランキングでは、不正なWebサイトに誘導する不正プログラム「MAL_HIFRM(ハイフレーム)」が2位、「JS_IFRAME(アイフレーム)」が5位にランクインしている。これらの不正プログラムは、悪意のサイトに埋め込まれている他、正規サイトが改ざんされて埋め込まれるケースも多数、確認されている。ユーザーのWebアクセスをきっかけに不正なサイトに誘導する手法も攻撃者の狙い目になっているといえるものだ。
不正なWebサイトへの誘導はもちろん、USBワームも感染後にWebサイトから別の不正プログラムをダウンロードしてくることがほとんどである。不正プログラムが勝手に不正なWebサイトに接続し、感染することを防ぐには、ユーザーはセキュリティ対策ソフトのWebサイト安全性評価機能などを利用することが有効となる。
表1 不正プログラム感染被害報告数ランキング[2008年11月度]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | MAL_OTORUN | オートラン | その他 | 611件 | 1位 |
| 2位 | MAL_HIFRM | ハイフレーム | その他 | 89件 | 2位 |
| 3位 | TROJ_GAMETHIEF | ゲームシーフ | トロイの木馬型 | 76件 | 9位 |
| 4位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 67件 | 5位 |
| 5位 | JS_IFRAME | アイフレーム | Java Script | 65件 | 10位 |
| 6位 | BKDR_AGENT | エージェント | バックドア | 64件 | 2位 |
| 7位 | WORM_DOWNAD | ダウンアド | ワーム | 60件 | NEW |
| 8位 | TROJ_VUNDO | ヴァンドー | トロイの木馬型 | 55件 | 7位 |
| 9位 | TROJ_DLOADER | ディーローダー | トロイの木馬型 | 44件 | 4位 |
| 9位 | WORM_AUTORUN | オートラン | ワーム | 44件 | 6位 |
11月の不正プログラム収集状況
不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がみてとれる。1位の「TSPY_ONLINEG」、3位の「TROJ_GAMETHI」は、感染報告数ランキングでもそれぞれ4位と3位にランクインしている。ちなみに先月は、1位と2位にランクインしていた。不正プログラムの大量配布によってユーザーの感染報告数が増加したと推測される。また2位の「TROJ_DLOADER」は、前月からユニーク数は若干減ったものの、配布されているURL数は増加しており(先月は48)、ダウンローダー型不正プログラムの配布されるWebサイトの作成も活発であることを示している。
表2 不正プログラム別 攻撃者注力度ランキング[2008年11月度]
| 順位 | 検出名 | ユニーク数×URL数 |
|---|---|---|
| 1位 | TSPY_ONLINEG | 23564(274×86) |
| 2位 | TROJ_DLOADER | 2816(44×64) |
| 3位 | TROJ_GAMETHI | 1938(38×51) |
| 4位 | TROJ_AGENT | 1886(46×41) |
| 5位 | WORM_AUTORUN | 1804(44×41) |
「Honey Client」は、検体収集用のおとりコンピュータ上で不正プログラムを実行し、ダウンロードされるファイルを収集するハニーポットシステムである。その結果が、表3と表4である。のべ数で1位の「TSPY_LDPINCHI.MF」はオンラインゲームのID・パスワードの情報を収集し、外部に送信する機能を持つ。また、自身の存在を隠すルートキットを作成する機能を持つ。オンラインゲームの情報を狙う不正プログラムが、より巧妙化している。
表3 Honey Clientで取得した新規検体数「のべ数」ランキング[2008年11月度]
| ランキング | 検体名 | のべ数 |
|---|---|---|
| 1位 | TSPY_LDPINCH.MF | 302 |
| 2位 | TSPY_ONLINEG.MCL | 65 |
| 3位 | TROJ_DLOADER.DDY | 53 |
| 4位 | TSPY_LDPINCH.OK | 40 |
| 5位 | WORM_ONLINEG.DPW | 29 |
表4 Honey Clientで取得した新規検体数「ユニーク数」ランキング[2008年11月度]
| ランキング | 検体名 | ユニーク数 |
|---|---|---|
| 1位 | TSPY_ONLINEG.MCL | 16 |
| 2位 | TROJ_DROPPER.ACK | 3 |
| 2位 | WORM_ONLINEG.FIZ | 3 |
| 4位 | Adware_IstBar | 2 |
| 4位 | TROJ_PACKED.GEH | 2 |
