【レポート】

トレンドマイクロが2008年国内のインターネット脅威年間レポートを発表

 

トレンドマイクロは、2008年度のインターネット脅威レポート(日本国内)を発表した。

2008年の総括

2008年の不正プログラム感染被害の総報告数は54,680件で、2007年同時期の61,870件から約11.6%減少している。2008年の特徴をあげるとすれば、「MAL_OTORUN(オートラン)」であろう。表1のように圧倒的な被害数で、2位を大きく引き離している。これは、1月から11月までに通産8カ月1位を占めていることからも、当然の結果といえる。年間の被害数は、分散化が進んだここ3年間でも、突出した数字となっている。

オートランでは、USBメモリによる被害に注目されがちである。しかし、リムーバブルメディアであるSDカードやCFカードにも同様の危険性は存在し、少ないながらも実際に感染が報告されている。悪意を持った攻撃者がユーザーのこのような盲点を狙ってくることが予想される。デジカメユーザーなども注意が必要であろう。2位にランクインした「BKDR_AGENT(エージェント)」は、昨年の1位となったものだ。依然として、バックドア型の不正プログラムも大きな被害を出している。

表1 不正プログラム感染被害報告数ランキング[2008年度]

順位検出名 通称 種別 件数 前年順位
1位MAL_OTORUN オートラン その他 2570件 NEW
2位BKDR_AGENT エージェント バックドア 786件 1位
3位JS_IFRAME アイフレーム Java Script 578件 NEW
4位MAL_HIFRM ハイフレーム その他 427件 NEW
5位TROJ_GAMETHIEF ゲームシーフ トロイの木馬型 405件 NEW
6位TSPY_ONLINEG オンラインゲーム トロイの木馬型 297件 圏外
7位TROJ_LINEAGE リネージュ トロイの木馬型 259件 圏外
8位TROJ_VUNDO ヴァンドー トロイの木馬型 255件 2位
9位TROJ_RENOS レノス トロイの木馬型 226件 圏外
10位TROJ_CABAT キャバット トロイの木馬型 187件 NEW

2008年を顧みると、「Webからの脅威」、「金銭目的」という2つが浮かび上がる。まずは、「Webからの脅威」についてみていくと、不正プログラムの感染のほとんどは、最初はWebからの感染となる(オートランも1次感染はWebからだ)。そして、感染した不正プログラムはWebサイトに接続し、別のプログラムをダウンロードする。悪意を持った攻撃者にとっては、Webからの初期攻撃を成功させ、さらに悪意のWebサイトへ誘導するという連鎖的な「Webからの脅威」を実行しようとしている。

一方、攻撃の発端となる侵入経路は多様化しており、ユーザーが注意を払うアンダーグラウンドなWebサイトやアダルトサイト、英語の迷惑メール以外に、一般にセキュリティ意識の盲点となるUSBメモリや正規Webサイトの改ざんといった手法が見られた。また、偽セキュリティソフトを代表とするソーシャルエンジニアリング手法による詐欺・脅しといった手口も今年の特徴といえるであろう。

そして、これらの不正プログラムの最終目標は「金銭目的」である。表2では、不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)を賭け合わせたもので、攻撃者側の注力度がみてとれる。1位となったTSPY_ONLINEGは、オンラインゲーム関連したID・パスワード情報をねらう不正プログラムである。

表2 不正プログラム別攻撃者注力度ランキング(既知および新規)[2008年1月1日~12月15日]

順位検出名 ユニーク数×URL数
1位TSPY_ONLINEG 2803483(3733×751)
2位TROJ_AGENT 2206274(2303×958)
3位TROJ_DLOADER 1956668(1876×1043)
4位DIAL_SAPIR 425628(3378×126)
5位TROJ_DROPPER 205326(561×366)

悪意を持った攻撃者にとって、最終目標は換金できる情報をコンピュータやネットワークから盗み取ることにある。TSPY_ONLINEGでは、最終的にオンラインゲーム上の仮想通貨などが狙われている。

この傾向は、今後も続くと予想され、海外ドメインで配布された不正プログラムで日本国内のユーザーが被害を受けるケースも多く、国・地域に依存しにくいインターネット犯罪として、ローリスクで金銭を取得しやすいものが今後も標的になるとトレンドマイクロで警告している。

また、2位のTROJ_AGENT、3位のTROJ_DLOADERは、感染したPCになんらかのファイルやプログラムをダウンロードするという活動をおこなう(亜種も多いのですべてがそのような活動をするとはいえないが)。これも、上述した分析にあてはまる。悪意を持った攻撃者は、情報をより効率的に盗むため、ユーザーに気付かれないよう不正プログラムを侵入させ、見えない形でWebからの連鎖活動を行うのである。その傾向も表2から読み取ることができる。

危険なドメインはどこか

表3は、不正プログラムが取得されたドメインをランキングしたものである。1位の「com」に続き、中国「cn」が2位となっている。中国は、国別では次点のポーランドの7倍以上となり、背景としてレンタルサーバーが安価であることが推測される。

表3 トップレベルドメイン別の取得検体数ランキング[2008年1月1日~12月15日]

順位トップドメイン 検体数(のべ)
1位com(商用サイト) 270286
2位cn(中国) 49109
3位net(ネットワーク) 32029
4位org(教育機関) 8629
5位info(情報提供) 6860
6位pl(ポーランド) 6436
7位fr(フランス) 4932
8位ar(アルゼンチン) 4173
9位ru(ロシア) 3439
10位kr(韓国) 2156

図1は、2001年1月からの不正プログラムによる感染被害報告数をまとめたものだ。

図1 不正プログラム感染被害報告数月別グラフ(インターネット脅威年間レポート【2008年度速報】より引用)

今後、懸念される脅威の傾向

2008年以降について、トレンドマイクロでは、次のような分析を行う。「Webからの脅威」は今後も継続する一方で、複合感染の発端となる侵入口は多様化させてくるだろう。悪意を持った攻撃者は最初の不正プログラムをいかにコンピュータに侵入させるかでさらに巧妙な手法を使う。2008年は、USBメモリがめだったが、同様のリムーバブルメディアであるSDカードやCFカード等による感染にも注意が必要となる。攻撃の入り口としては、正規サイトの改ざんやユーザーを欺くソーシャルエンジニアリング手法も続くことが予測されるとのことだ。

標的を絞ったターゲット型の攻撃も残る一方で、不特定多数への攻撃も復活の気配が見られる。無差別にWeb改ざんを行う不正プログラムなどはその典型的なものである。オンラインゲームのアカウント情報詐取などでは、手当たり次第の攻撃も有効であり、かつてのマスメーリングを彷彿とさせるような攻撃も可能性があると指摘する。アンダーグラウンドビジネスでは、ローリスク・ローリターンの行為を繰り返すことで大きな利益を得ることが理由と思われる。

明確な悪意を持った攻撃が今後続くであろう。来年もセキュリティ対策は怠りなく、である。

関連キーワード

人気記事

一覧

新着記事