トレンドマイクロは、2009年4月度のインターネット脅威マンスリーレポートを発表した。
4月の脅威傾向
4月の不正プログラム感染被害の総報告数は4,125件で、3月の4,541件から約400件減少している。2009年になって、1月と2月に若干の増加傾向が見られたが、2008年秋からの減少傾向が続いている。個々に不正プログラムを見てみると、「MAL_OTORUN(オートラン)」をはじめ、全体的に感染報告数は減少傾向にある。
一方で、2位のWindowsの脆弱性(MS08-067)を狙う不正プログラム「WORM_DOWNAD(ダウンアド)」は先月から微増し、2月以来の減少傾向から増加に転じている。増加に転じたダウンアドであるが、登場した2008年11月には、脆弱性による感染拡大を行うワームであった。しかし、2008年末より他の感染活動を伴った亜種が次々と発見されている。具体的には、
- 共有フォルダへの辞書攻撃による感染機能
- USBメモリをはじめとするリーバブルメディア経由の感染機能
- セキュリティ関連のWebサイトをブロックする機能
といったものである。登場より5カ月以上が経過しても新たな亜種が作成されている中で、4月には偽セキュリティソフトをダウンロードするタイプが発見された。これまでは、あくまで感染拡大を目的としていたのであるが、今回、発見された亜種は金銭詐取を目的とした攻撃を行う。
ダウンアドのプログラムコードはインターネット上で公開されているため、不正プログラム作成者がコードを改変し、目的に合わせて亜種を作成することが可能となる。今回、発見された新しい亜種の国内における感染報告数は数件にとどまっているが、感染経路の有効性が立証されてしまっているため、今後も金銭詐取を目的とした異なる亜種が登場することが予想されると、トレンドマイクロでは注意を喚起している。
また、4月は「BKDR_AGNET(エージェント)」の亜種「JS_AGENT」を使用した国内Webサイトの改ざんが十数件確認されている。改ざんされたWebサイトを閲覧することで、他の不正なプログラムをダウンロードさせられるWebサイトに誘導されてしまう。この被害を受けたWebサイトは、個人のブログや企業のWebサイトなど多岐にわたる。普通に見えるWebサイトが改ざんされることもあるので、より注意が必要となるだろう。
こうした攻撃は、ツールを使い自動的に攻撃が行われている。Webサーバの脆弱性を利用して改ざんをされたと推測されるとのことである。当然のことながら、この攻撃を受けWebサイトが改ざんされてしまうと、被害者から加害者になってしまう。企業などでは、Webサイトのセキュリティチェックを怠らないことが重要となる。個人の場合には、ホスティングやレンタルサーバなどを利用することが多いであろう。不安を感じた場合には、管理を行う事業者に確認をするようにと、トレンドマイクロでは提言している。
表1 不正プログラム感染被害報告数ランキング[2009年4月度]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | MAL_OTORUN | オートラン | その他 | 337件 | 1位 |
| 2位 | WORM_DOWNAD | ダウンアド | ワーム | 184件 | 2位 |
| 3位 | BKDR_AGENT | エージェント | バックドア | 128件 | 6位 |
| 4位 | TROJ_VUNDO | ヴァンドー | トロイの木馬型 | 78件 | 3位 |
| 5位 | TROJ_GENOME | ゲノム | トロイの木馬型 | 53件 | NEW |
| 6位 | JS_IFRAME | アイフレーム | Java Script | 44件 | 4位 |
| 7位 | MAL_HIFRM | ハイフレーム | その他 | 36件 | 8位 |
| 8位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 22件 | 5位 |
| 9位 | BKDR_TDSS | ティディエスエス | バックドア | 18件 | 7位 |
| 10位 | SPYWARE_TRAK_QUICK | クイック | スパイウェア | 17件 | 圏外 |
4月の不正プログラム収集状況
「Web Crawler」は、悪意のWebサイトを巡回し、ダウンロードできるファイルを自動収集するハニーポットシステムである。その結果が、表2と表3である。4月は、オンラインゲーム関係の不正プログラム「TSPY_ONLINEG(オンラインゲーム)」の亜種がのべ数・ユニーク数ともに2種ランクインしている。悪意を持った攻撃者にとって、現在もオンラインゲーム関連の情報が価値があることが推察される。
また、のべ数・ユニーク数ともに上位5種すべてがトロイの木馬であり、4月はWebを使用してトロイの木馬が盛んに配布されていた事実がうかがえる。このようなトロイの木馬は、他の不正プログラムを作成するなど連続的な攻撃に使用されるものが多い。4月には、Webを使った連鎖攻撃が多く行われていたと言える。
表2 Web Crawlerで取得した新規検体数「のべ数」ランキング[2009年4月度]
| 順位 | 検体名 | のべ数 |
|---|---|---|
| 1位 | TSPY_ONLINEG.KXZ | 48 |
| 2位 | TROJ_AGENT.AIFN | 40 |
| 3位 | TSPY_ONLINEG.ECB | 29 |
| 4位 | TROJ_AGENT.ANVR | 28 |
| 5位 | TSPY_ZOSERNAM.L | 27 |
表3 Web Crawlerで取得した新規検体数「ユニーク数」ランキング[2009年4月度]
| 順位 | 検体名 | ユニーク数 |
|---|---|---|
| 1位 | TSPY_ONLINEG.KXZ | 6 |
| 1位 | TROJ_AGENT.AIFN | 6 |
| 3位 | TSPY_ZOSERNAM.L | 4 |
| 3位 | TROJ_GAMETHI.EMR | 4 |
| 3位 | TSPY_ONLINEG.ECB | 4 |
