トレンドマイクロは、2008年12月度のインターネット脅威マンスリーレポートを発表した。
Webからの脅威にさらなる注意を
12月の不正プログラム感染被害の総報告数は4,732件で、11月の5,207件から減少している。この傾向は夏ごろから続くものだ。不正プログラム感染被害報告数ランキング(表1)では、USBメモリ関連の不正プログラム「MAL_OTORUN(オートラン)」が8月以来5カ月連続で1位と相変わらずの猛威をふるっている。USBメモリに限らず、リムーバブルメディアへのウイルスチェックをまめにおこなうことが求められる。
12月の特徴として、11月下旬より、Windows Serverサービスの脆弱性(MS08-067)を利用する「WORM_DOWNAD(ダウンアド)」の報告が急激に増加している。今月のランキングでは2位となっている。
「WORM_DOWNAD」は脆弱性を利用して同一ネットワークやインターネット上のコンピュータへの感染を広げるワーム機能を持つとともに、不正なWebサイトから別の不正プログラムをダウンロードして複合感染をもたらす「Webからの脅威」が存在する。その手口は次のように行われる。
- 「WORM_DOWNAD」に感染したPCは、脆弱性の放置された攻撃対象PCへTCP445番ポートを使い、エクスプロイトコードを送信する。
- 攻撃を受けた脆弱性のあるPCは、「WORM_DOWNAD」感染PCにHTTPリクエストを送信する。
- 感染PCから「WORM_DOWNAD」のコピーが送信される。
- 攻撃を受けた脆弱性のあるPCは、不正なWebサイトから不正プログラムをダウンロードする(現在は、不正なWebサイトは閉鎖されている)。
「WORM_DOWNAD」が登場する約1カ月前の10月24日には、マイクロソフトにより脆弱性の注意喚起および修正プログラムが公開された。しかし、今回の感染報告は、図1のように圧倒的に企業からのものとなっている。
 |
図1 「WORM_DOWNAD」の報告数割合(2008年12月1日~31日) |
企業からの報告数が約95.1%となっている。この理由であるが、「WORM_DOWNAD」は最初の攻撃として、TCP445番ポートを使用する。このポートは、家庭向けのルーターなどでは初期設定で閉じられているケースも多く、インターネット側からの直接攻撃を行うことができなかった。
しかし、企業ではLAN内でフォルダやファイル共有ために開放していることが多く、修正プログラムの検証やシステムの再起動の時期を計っている期間であったため社内ネットワークでの感染が広がったと推測される。企業の社内ネットワークへは、ファイアウォールなどの防御策は施されていることが一般的である。
ところが、データ通信カードなどで社外ネットワークから感染したPCが接続され、感染源となり、社内に広がったケースも確認されている。このように、外部からの攻撃に対してセキュリティ対策を施していても、社内ネットワークに感染したPCが持ちこまれることで、感染が拡大することがある点に注意が必要である。
対策は、早急に修正プログラムを適用することがまずもって優先される。また、使用中のセキュリティ製品を最新の状態に保つことも必要となる。その一方で、社員に貸与するPCでのパーソナルファイアウォールの設定や社内・社外ネットワークの接続など、モバイル環境におけるセキュリティを意識した運用ポリシーなどについても、再確認が求められる。繰り返しになるが、いかに外部からの攻撃を防いでも、内部に感染したPCなどを持ち込まれたら、感染が一気に広がる危険性がある点に注意されたい。
表1 不正プログラム感染被害報告数ランキング[2008年12月度]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | MAL_OTORUN | オートラン | その他 | 640件 | 1位 |
| 2位 | WORM_DOWNAD | ダウンアド | ワーム | 123件 | 7位 |
| 3位 | BKDR_AGENT | エージェント | バックドア | 79件 | 6位 |
| 4位 | MAL_HIFRM | ハイフレーム | その他 | 68件 | 2位 |
| 5位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 65件 | 4位 |
| 6位 | JS_IFRAME | アイフレーム | JavaScript | 63件 | 5位 |
| 7位 | ADW_BJCFD | ビージェイシーエフディー | アドウェア | 55件 | NEW |
| 8位 | TROJ_DROPPER | ドロッパー | トロイの木馬型 | 36件 | 圏外 |
| 9位 | TROJ_DLOADER | ディーローダー | トロイの木馬型 | 32件 | 9位 |
| 10位 | TROJ_GAMETHIEF | ゲームシーフ | トロイの木馬型 | 27件 | 3位 |
12月に新規に検知された「ADW_BJCFD」は、アドウェアで完全に「不正なプログラム」とは断定できないものである。しかし、特定のWebサイトから、他のアドウェアを含む複数のファイルをダウンロードするなど、不利益な活動を含むことから、スパイウェアとして検知されるものである。
12月の不正プログラム収集状況
不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がみてとれる。1位のオンラインゲーム関連の不正プログラム「TSPY_ONLINEG」は、9月以来4カ月連続で1位となっている。12月は上位5種中3種(「TROJ_GAMETHI 」や「TSPY_LINEAGE」)がオンラインゲームに関係するものである。これは、悪意を持った攻撃者は依然として、ゲームアカウントやパスワードを狙っているのである。理由は、ゲーム内のアイテムなどが現金で取引が行われているため換金できる可能性が高く、かつローリスクである点が指摘されている。
表2 不正プログラム別 攻撃者注力度ランキング[2008年12月度]
| 順位 | 検出名 | ユニーク数×URL数 |
|---|---|---|
| 1位 | TSPY_ONLINEG | 7310(170×43) |
| 2位 | TROJ_AGENT | 6351(73×87) |
| 3位 | TROJ_DLOADER | 2346(51×46) |
| 4位 | TROJ_GAMETHI | 1785(51×35) |
| 5位 | TSPY_LINEAGE | 1739(37×47) |