トレンドマイクロは、2012年5月度のインターネット脅威マンスリーレポートを発表した。同社では標的型攻撃の痕跡が多数の企業で確認されたとして、改めて標的型攻撃に対する警鐘を鳴らしている。
標的型攻撃では、組織や会社の関係者を装い、特定のユーザーを執拗に狙う攻撃である。攻撃では、目標となるPCやサーバーを攻撃者が遠隔で操ろうとする。そこでは、バックドア型ウイルスが利用されることが多い。その一例であるが、PCにバックドアの「BKDR_POISON(ポイズン)」を感染させる。その後、ユーザーのキー入力を記録したファイル「MAL_XIN10(エックスアイエヌテン)」を特定のフォルダに保存する。実際に、両者を表示したものが図1である。
 |
図1 バックドア型不正ウイルスとキー入力情報が保存されたファイル(レポートより) |
最終的には、バックドア型ウイルスの「BKDR_POISON」が、奪取した情報を、悪意を持った攻撃者に送るが、情報をいったん保存するファイルが「MAL_XIN10」となる。このファイルを分析したものが、図2である。
 |
図2 ユーザーのキー入力情報が保存されたデータのイメージ(レポートより) |
画面左は、文書ファイルに文字を入力したものである。また、画面右上は、サーバーのログインしたところである。これらを行うと、画面右下の「MAL_XIN10」に記録されていることがわかる(メモ帳で開いたもの)。トレンドマイクロによると、5月には、バックドア本体ではなく、「MAL_XIN10」だけが検出された事例が数多く報告されている。
これは標的型攻撃の痕跡と考えられる。図2のように、単なる入力文字列だけでなく、サーバーのIDやパスワードが奪取されている可能性もある(当然、そのサーバーへの不正侵入もありうる)。したがって、トレンドマイクロでは、もし、「MAL_XIN10」ファイルを確認した場合は、過去に標的型攻撃を受けた可能性が疑われるとのことだ。さらに、発見されたPCでは、不具合の原因や不正プログラムと疑われるファイルのチェックを行うウイルス対策ツールキットなどを用いて、被害の状況確認と侵入の痕跡を調査すべきとしている。
国内で収集・集計されたランキング
まずは、国内のランキングであるが、圏外から1位に「ADW_GAMEPLAYLABS(ゲームプレイラボズ)」がランクインした。検出数も2位の2.5倍以上と、その数の多さにも注目したい。「ADW_GAMEPLAYLABS」は、Browser Helper Object(BHO)として登録され、Internet Explorerのプラグインとして動作する。そして、ユーザーのWebサイト閲覧行動を監視し、その追跡結果から、ユーザーへの広告を表示する。それ以外のアドウェアもランクインしており、注意したい。また、ハッキングやクラッキングを行うウイルスも多い。
表1 不正プログラム検出数ランキング(日本国内[2012年5月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | ADW_GAMEPLAYLABS | ゲームプレイラボズ | アドウェア | 74,849台 | 圏外 |
| 2位 | ADW_INSTALLCORE | インストールコア | アドウェア | 28,049台 | 圏外 |
| 3位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 4,685台 | 1位 |
| 4位 | HKTL_RESREM | レスレム | ハッキングツール | 4,149台 | 圏外 |
| 5位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 3,861台 | 2位 |
| 6位 | ADW_OPENCANDY | オープンキャンディ | アドウェア | 2,005台 | 圏外 |
| 7位 | CRCK_PATCHER | パッチャー | クラッキングツール | 1,640台 | 3位 |
| 8位 | HKTL_PASSVIEW | パスビュー | ハッキングツール | 1,090台 | 4位 |
| 9位 | TROJ_ZACCESS.CQJ | ジーアクセス | トロイの木馬 | 1,036台 | 5位 |
| 10位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 841台 | 9位 |
世界で収集・集計されたランキング
全世界では、「WORM_DOWNAD.AD(ダウンアド)」が今月も1位となった。それ以外では、アドウェアが上位にランクインしている点に注目したい。4位の「ADW_INSTALLCORE(インストールコア)」に感染するとユーザーの意図とは関係なく、不正なWebサイトへ誘導される。2位の「ADW_GAMEPLAYLABS」は、日本国内での検出数が上位にランクインした原因となった。
表2 不正プログラム検出数ランキング(全世界[2012年5月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 101,587台 | 1位 |
| 2位 | ADW_GAMEPLAYLABS | ゲームプレイラボズ | アドウェア | 87,812台 | 圏外 |
| 3位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 57,574台 | 2位 |
| 4位 | ADW_INSTALLCORE | インストールコア | アドウェア | 34,105台 | 圏外 |
| 5位 | PE_SALITY.RL | サリティ | ファイル感染型 | 21,624台 | 5位 |
| 6位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 21,192台 | 4位 |
| 7位 | Mal_OtorunN | オートラン | その他 | 16,083台 | 7位 |
| 8位 | PE_SALITY.RL-O | サリティ | ファイル感染型 | 12,062台 | 9位 |
| 9位 | TROJ_ZACCESS.CQJ | ジーアクセス | トロイの木馬 | 10,813台 | 6位 |
| 10位 | CRCK_PATCH | パッチ | クラッキングツール | 9,245台 | 圏外 |
日本国内における感染被害報告
5月の不正プログラム感染被害の総報告数は848件で、4月の642件から増加となった。圏外からのランクインが多く、やや、変化の多いランキングといえる。冒頭でふれた標的型攻撃で使われた「MAL_XIN10」が4位にランクインしている。2位の「BKDR_ZACCESS(ジーアクセス)」は、不正なWeサイトからダウンロードされる、もしくは、他のウイルスから生成されるバックドアで、特定のWebサイトと通信を行う(現時点では、そのWebサイトにはアクセス不能)。
表3 不正プログラム感染被害報告数ランキング(日本国内[2012年5月度])
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | ADW_GAMEPLAYLABS | ゲームプレイラボズ | アドウェア | 52件 | 圏外 |
| 2位 | BKDR_ZACCESS | ジーアクセス | バックドア | 36件 | 1位 |
| 3位 | TROJ_SIREFEF | サーエフエフ | トロイの木馬 | 26件 | 圏外 |
| 4位 | MAL_XIN10 | エックスアイエヌテン | その他 | 24件 | 圏外 |
| 5位 | WORM_DOWNAD | ダウンアド | ワーム | 13件 | 3位 |
