トレンドマイクロは、2008年度のインターネット脅威レポート(日本国内)を発表した。
2008年の総括
2008年の不正プログラム感染被害の総報告数は54,680件で、2007年同時期の61,870件から約11.6%減少している。2008年の特徴をあげるとすれば、「MAL_OTORUN(オートラン)」であろう。表1のように圧倒的な被害数で、2位を大きく引き離している。これは、1月から11月までに通産8カ月1位を占めていることからも、当然の結果といえる。年間の被害数は、分散化が進んだここ3年間でも、突出した数字となっている。
オートランでは、USBメモリによる被害に注目されがちである。しかし、リムーバブルメディアであるSDカードやCFカードにも同様の危険性は存在し、少ないながらも実際に感染が報告されている。悪意を持った攻撃者がユーザーのこのような盲点を狙ってくることが予想される。デジカメユーザーなども注意が必要であろう。2位にランクインした「BKDR_AGENT(エージェント)」は、昨年の1位となったものだ。依然として、バックドア型の不正プログラムも大きな被害を出している。
表1 不正プログラム感染被害報告数ランキング[2008年度]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 前年順位 |
|---|---|---|---|---|---|
| 1位 | MAL_OTORUN | オートラン | その他 | 2570件 | NEW |
| 2位 | BKDR_AGENT | エージェント | バックドア | 786件 | 1位 |
| 3位 | JS_IFRAME | アイフレーム | Java Script | 578件 | NEW |
| 4位 | MAL_HIFRM | ハイフレーム | その他 | 427件 | NEW |
| 5位 | TROJ_GAMETHIEF | ゲームシーフ | トロイの木馬型 | 405件 | NEW |
| 6位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 297件 | 圏外 |
| 7位 | TROJ_LINEAGE | リネージュ | トロイの木馬型 | 259件 | 圏外 |
| 8位 | TROJ_VUNDO | ヴァンドー | トロイの木馬型 | 255件 | 2位 |
| 9位 | TROJ_RENOS | レノス | トロイの木馬型 | 226件 | 圏外 |
| 10位 | TROJ_CABAT | キャバット | トロイの木馬型 | 187件 | NEW |
2008年を顧みると、「Webからの脅威」、「金銭目的」という2つが浮かび上がる。まずは、「Webからの脅威」についてみていくと、不正プログラムの感染のほとんどは、最初はWebからの感染となる(オートランも1次感染はWebからだ)。そして、感染した不正プログラムはWebサイトに接続し、別のプログラムをダウンロードする。悪意を持った攻撃者にとっては、Webからの初期攻撃を成功させ、さらに悪意のWebサイトへ誘導するという連鎖的な「Webからの脅威」を実行しようとしている。
一方、攻撃の発端となる侵入経路は多様化しており、ユーザーが注意を払うアンダーグラウンドなWebサイトやアダルトサイト、英語の迷惑メール以外に、一般にセキュリティ意識の盲点となるUSBメモリや正規Webサイトの改ざんといった手法が見られた。また、偽セキュリティソフトを代表とするソーシャルエンジニアリング手法による詐欺・脅しといった手口も今年の特徴といえるであろう。
そして、これらの不正プログラムの最終目標は「金銭目的」である。表2では、不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)を賭け合わせたもので、攻撃者側の注力度がみてとれる。1位となったTSPY_ONLINEGは、オンラインゲーム関連したID・パスワード情報をねらう不正プログラムである。
表2 不正プログラム別攻撃者注力度ランキング(既知および新規)[2008年1月1日~12月15日]
| 順位 | 検出名 | ユニーク数×URL数 |
|---|---|---|
| 1位 | TSPY_ONLINEG | 2803483(3733×751) |
| 2位 | TROJ_AGENT | 2206274(2303×958) |
| 3位 | TROJ_DLOADER | 1956668(1876×1043) |
| 4位 | DIAL_SAPIR | 425628(3378×126) |
| 5位 | TROJ_DROPPER | 205326(561×366) |
悪意を持った攻撃者にとって、最終目標は換金できる情報をコンピュータやネットワークから盗み取ることにある。TSPY_ONLINEGでは、最終的にオンラインゲーム上の仮想通貨などが狙われている。
この傾向は、今後も続くと予想され、海外ドメインで配布された不正プログラムで日本国内のユーザーが被害を受けるケースも多く、国・地域に依存しにくいインターネット犯罪として、ローリスクで金銭を取得しやすいものが今後も標的になるとトレンドマイクロで警告している。
また、2位のTROJ_AGENT、3位のTROJ_DLOADERは、感染したPCになんらかのファイルやプログラムをダウンロードするという活動をおこなう(亜種も多いのですべてがそのような活動をするとはいえないが)。これも、上述した分析にあてはまる。悪意を持った攻撃者は、情報をより効率的に盗むため、ユーザーに気付かれないよう不正プログラムを侵入させ、見えない形でWebからの連鎖活動を行うのである。その傾向も表2から読み取ることができる。
危険なドメインはどこか
表3は、不正プログラムが取得されたドメインをランキングしたものである。1位の「com」に続き、中国「cn」が2位となっている。中国は、国別では次点のポーランドの7倍以上となり、背景としてレンタルサーバーが安価であることが推測される。
表3 トップレベルドメイン別の取得検体数ランキング[2008年1月1日~12月15日]
| 順位 | トップドメイン | 検体数(のべ) |
|---|---|---|
| 1位 | com(商用サイト) | 270286 |
| 2位 | cn(中国) | 49109 |
| 3位 | net(ネットワーク) | 32029 |
| 4位 | org(教育機関) | 8629 |
| 5位 | info(情報提供) | 6860 |
| 6位 | pl(ポーランド) | 6436 |
| 7位 | fr(フランス) | 4932 |
| 8位 | ar(アルゼンチン) | 4173 |
| 9位 | ru(ロシア) | 3439 |
| 10位 | kr(韓国) | 2156 |
図1は、2001年1月からの不正プログラムによる感染被害報告数をまとめたものだ。
 |
図1 不正プログラム感染被害報告数月別グラフ(インターネット脅威年間レポート【2008年度速報】より引用) |
今後、懸念される脅威の傾向
2008年以降について、トレンドマイクロでは、次のような分析を行う。「Webからの脅威」は今後も継続する一方で、複合感染の発端となる侵入口は多様化させてくるだろう。悪意を持った攻撃者は最初の不正プログラムをいかにコンピュータに侵入させるかでさらに巧妙な手法を使う。2008年は、USBメモリがめだったが、同様のリムーバブルメディアであるSDカードやCFカード等による感染にも注意が必要となる。攻撃の入り口としては、正規サイトの改ざんやユーザーを欺くソーシャルエンジニアリング手法も続くことが予測されるとのことだ。
標的を絞ったターゲット型の攻撃も残る一方で、不特定多数への攻撃も復活の気配が見られる。無差別にWeb改ざんを行う不正プログラムなどはその典型的なものである。オンラインゲームのアカウント情報詐取などでは、手当たり次第の攻撃も有効であり、かつてのマスメーリングを彷彿とさせるような攻撃も可能性があると指摘する。アンダーグラウンドビジネスでは、ローリスク・ローリターンの行為を繰り返すことで大きな利益を得ることが理由と思われる。
明確な悪意を持った攻撃が今後続くであろう。来年もセキュリティ対策は怠りなく、である。
