トレンドマイクロは、2009年8月度のインターネット脅威マンスリーレポートを発表した。

8月の脅威傾向

8月の不正プログラム感染被害の総報告数は3,576件で、7月の5,097件から減少が見られる。感染報告数ランキング(表1)を見ると、1位、2位についてはいつもの不正プログラムが並んでいる。1位の主にUSBメモリを悪用する不正な設定ファイル「MAL_OTORUN(オートラン)」、2位のWindowsの脆弱性を狙うワーム型不正プログラム「WORM_DOWNAD(ダウンアド)」は、ここ数カ月、つねに上位にランクインしていた。しかし、全体数の減少に合わせてか、いずれも報告数が減少している。

3位にランクインした「JS_GUMBLAR(ガンブラー)」は、感染したWebサイトにアクセスしたユーザーをさらに別の不正なWebサイトに誘導する不正プログラムである。7月の圏外から3位に上昇しており、Web改ざんなどの攻撃が増加している。

Delphi(デルファイ)に感染する不正プログラム

8月後半には、プログラム開発ツールベンダーのボーランド製のプログラム開発環境「Delphi(デルファイ)」のバージョン4.0、5.0、6.0、7.0に感染する「TROJ_INDUC(インダク)」が確認された。8月の感染報告数ランキングでは、いきなり4位にランクインしている。「TROJ_INDUC」の活動は次の手順で行われる。

• 悪意を持った攻撃者が「TROJ_INDUC」を配布。
• ユーザーがなんらかの方法で「TROJ_INDUC」で感染する。
• 感染したPCにDelphiがインストールされていると、プログラムを作成する際に使われるライブラリ(他のプログラムが利用できるように部品化されたプログラム：SysConst.dcu)をTROJ_INDUC.AAに置きかえる。
• 感染したPCでDelphiを使い、アプリケーションを作成すると、「PE_INDUC.A」ウイルス化する。
• ウイルスとは気がつかずに、アプリケーションが配布される。
• さらにDelphiがインストールされている環境で感染が拡大する。

トレンドマイクロによれば「TROJ_INDUC」に感染した開発環境で作成されたと思われるアプリケーションが無料ツールの配布サイトなどで公開されていたことが確認されている。また、企業内でも社内ツールなどを作成する際にも利用されており、社内環境がそのまま感染してしまったケースも報告されたとのことである。

図1は「TROJ_INDUC」の国内における8月の感染報告数のうち、個人ユーザと企業ユーザの割合を示したものだ。企業ユーザーでも、個人ユーザと同様に無料ツールの配布サイトからダウンロードしたアプリケーションが感染していたという事例が非常に多くなっている。

図1 「TROJ_INDUC」の国内感染報告数：企業と個人ユーザの割合

トレンドマイクロでは、企業ユーザーは個人ユーザーより慎重な対応を取ったため、企業ユーザの報告数の割合が高まったと推測している。

「TROJ_INDUC」への対策

Delphiを使用してアプリケーション開発を行っているユーザーは、自身の開発環境のバージョン確認と「TROJ_INDUC」に感染していないかの確認を早急に行う必要がある。繰り返しになるが、感染するDelphiのバージョンはバージョン4.0、5.0、6.0、7.0であり、Delphi 2006、2007、2009、2010には影響はない。

またトレンドマイクロでは、アプリケーションを使用していて不正プログラムを検知したユーザーは、感染拡大を防ぐために該当アプリケーションの作者や配布サイトへ連絡することを推奨している。現時点では、「TROJ_INDUC」による情報漏えいなどの重大な被害は確認されていないとのことである。しかし、一度、感染が拡大するなどの効果が認められると、機能が追加された亜種の登場や別の開発言語で同様の手法が取られる可能性もある。ユーザーはつねにセキュリティ対策ソフトを最新の状態に保つとともに、情報収集を行っていただきたい。

表1 不正プログラム感染被害報告数ランキング[2009年8月度]