トレンドマイクロは、2009年10月度のインターネット脅威マンスリーレポートを発表した。
10月の脅威傾向
10月の不正プログラム感染被害の総報告数は2,033件で、9月の2,068件から微減となっている。感染報告数ランキング(表1)では、Windowsの脆弱性をねらう不正プログラム「WORM_DOWNAD(ダウンアド)」が先月2位から3位に順位を下げているが、依然としてWindowsの脆弱性やUSBメモリなどのリムーバブルメディア経由での感染報告が続いており、今後も注意が必要である。
代わって、報告数が増加し先月8位から2位に浮上したのは、偽セキュリティ対策ソフト「TROJ_FAKEAV(フェイクエイブイ)」である。9月後半にマイクロソフトより無料セキュリティソフト「Microsoft Security Essentials」が公開され、多くのメディアに取り上げられ話題となった。これに便乗してマイクロソフトの名を騙った偽セキュリティ対策ソフトの報告がなされている。
具体的には、Conficker(WORM_DOWNAD)の無料駆除ツールと偽ってメールで配布されているケースが確認されている。偽セキュリティソフト自体は、これまでも多く報告されてきたものだ。ところが、最近では、画面のデザインや配布方法が洗練されてきているのが特徴である。メールの送信元も詐称されており、有名な企業であったりする。これを信用してしまい、ついメールの添付ファイルを開いてしまう可能性もある。このように、ユーザーを騙す手口がより巧妙になっているので、決して信用せず、よく真偽を確かめる必要がある。また、添付ファイルへのウイルスチェックを怠らないことである。
また、圏外からランクインした「TROJ_MAILBOT(メールボット)」は、さまざまな亜種が存在するが、一般的にはトロイの木馬に分類され、マスメーリング活動を行う不正プログラムである。
表1 不正プログラム感染被害報告数ランキング[2009年10月度]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | MAL_OTORUN | オートラン | その他 | 221件 | 1位 |
| 2位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬型 | 99件 | 8位 |
| 3位 | WORM_DOWNAD | ダウンアド | ワーム | 91件 | 2位 |
| 4位 | TSPY_KATES | カテス | トロイの木馬型 | 48件 | 圏外 |
| 5位 | BKDR_AGENT | エージェント | バックドア | 42件 | 8位 |
| 6位 | TROJ_DLOADER | ディーローダー | トロイの木馬型 | 23件 | 圏外 |
| 7位 | TROJ_DELF | デルフ | トロイの木馬型 | 22件 | 圏外 |
| 8位 | TROJ_GAMETHIEF | ゲームシーフ | トロイの木馬型 | 18件 | 10位 |
| 9位 | TROJ_BREDLAB | ブレドラボ | トロイの木馬型 | 17件 | 5位 |
| 10位 | TROJ_MAILBOT | メールボット | トロイの木馬型 | 15件 | 圏外 |
ユーザー情報やFTPアカウントを狙う「TSPY_KATES(カテス)」
また10月のランキングに、圏外から4位に入った不正プログラムに「TSPY_KATES(カテス)」がある。「TSPY_KATES」は、感染コンピュータのユーザ情報やFTPアカウントを盗み出そうとする。「TSPY_KATES」はWebアクセスをきっかけとしてコンピュータに感染する。その感染プロセスは、次の通りである。
第1段階:悪意を持った攻撃者が、正規のWebサイトにJS_IFRAMEなどを埋め込む。
第2段階:ユーザーが、上述の改ざんされたWebサイトにアクセスする。
第3段階:不正なWebサイトにユーザーをリダイレクトする。
第4段階:ユーザーのPCに不正なPHPの通信が行われ、実行されるとexeファイルを作成する。
第5段階:exeファイルがdllファイルを作成し、自身(exeファイル)を削除する。
第6段階:dllファイルが、感染したPCのユーザー情報やFTPアカウントを盗み出す。
「TSPY_KATES」の感染を目的とした国内の正規Webサイトの改ざんも確認されている。しかし、現在確認されているものはプログラム上の欠陥があるため、感染PCがブルースクリーン表示になるなどの現象が見られるとのことである。しかし、悪意を持った攻撃者は、この欠陥を修正した「TSPY_KATES」を再び配布する可能性もある。また、この攻撃には、マイクロソフトが8月に公開したMicrosoft Officeの脆弱性が利用されている。修正プログラムを適用していないユーザーは急ぎ適用することが求められる。
トレンドマイクロの分析によると、今回の攻撃は2009年春に話題になったガンブラーと呼ばれる攻撃と手法が似ているとのことである。しかし、不正プログラムのコードの特徴から別の作成者が作成していると考えられるとのことだ。なお現時点(11月2日)でトレンドマイクロでは、感染PC内で作成されるexeファイルを「TSPY_DELF」、dllファイルを「TSPY_KATES」として検出する。
