トレンドマイクロは、2009年11月度のインターネット脅威マンスリーレポートを発表した。
11月の脅威傾向
11月の不正プログラム感染被害の総報告数は2,262件で、10月の2,033件からわずかに増加している。この数カ月、微減傾向が続いていたのであるが、上昇に転じている点に注意をしたい。さらに11月の感染報告数ランキング(表1)では、大きな変化があった。2008年8月から連続15カ月にわたり1位を維持してきた「MAL_OTORUN(オートラン)」が2位となったことである。「MAL_OTORUN」は、主にUSBなどの自動実行機能を悪用し、感染を広げる不正プログラムであった。
「MAL_OTORUN」に感染すると、種類によっては、さらにトロイの木馬などに感染する。USBメモリ以外にも、リムーバブルメディアやNASなどの共有フォルダからも感染する可能性がある。これらのメディアが不正プログラムの感染経路としてユーザーに認知され、有効な対策がとられたことが、報告数が減少した理由と推察される。
しかし、「MAL_OTORUN」は、2008年6月と7月にも報告数が3位に減少したが、その後に新たな機能が追加されたことにより、再び1位となった経緯がある。これまでの「MAL_OTORUN」の猛威により、悪意を持った攻撃者は、USBメモリを悪用した感染拡大の手法は有効な方法と認識している。今後も感染が増加する可能性は否定できないとのことである。以降も注意が必要であろう。
表1 不正プログラム感染被害報告数ランキング[2009年11月度]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | TSPY_KATES | カテス | トロイの木馬型 | 307件 | 4位 |
| 2位 | MAL_OTORUN | オートラン | その他 | 79件 | 1位 |
| 3位 | WORM_DOWNAD | ダウンアド | ワーム | 76件 | 3位 |
| 4位 | BKDR_AGENT | エージェント | バックドア | 47件 | 5位 |
| 5位 | JS_GUMBLAR | ガンブラー | Java Script | 38件 | 圏外 |
| 6位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 20件 | 圏外 |
| 7位 | WORM_AUTORUN | オートラン | ワーム | 19件 | 圏外 |
| 8位 | JS_IFRAME | アイフレーム | Java Script | 17件 | 圏外 |
| 9位 | WORM_TATERF | タテルフ | ワーム | 14件 | 圏外 |
| 10位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬型 | 13件 | 2位 |
「MAL_OTORUN」と入れ替えに、報告数が増加し先月4位から1位となったのは、「TSPY_KATES(カテス)」である。「TSPY_KATES」は、感染したPCのユーザー情報やFTPサーバへのログイン名やパスワードを盗み出そうとする。先月も紹介したが、「TSPY_KATES」の感染プロセスを改めて紹介しよう。
第1段階:悪意を持った攻撃者が、正規のWebサイトに「JS_GUMBLER」、「JS_IFRAME」などを埋め込む。
第2段階:ユーザーが、上述の改ざんされたWebサイトにアクセスする。
第3段階:不正なWebサイトにユーザーをリダイレクトする。
第4段階:ユーザーのPCに不正なPHPの通信が行われ、実行されるとexeファイルを作成する。
第5段階:exeファイルがdllファイルを作成し、自身(exeファイル)を削除する。
第6段階:dllファイルが、感染したPCのユーザー情報やFTPアカウントを盗み出す。
「TSPY_KATES」感染のきっかけは、「JS_GUMBLER(ガンブラー)」や「JS_IFRAME(アイフレーム)」によって改ざんされた正規のWebサイトから、不正なWebサイトにリダイレクトされることである。11月の感染報告数ランキングには、「JS_GUMBLER」が5位、「JS_IFRAME」が8位にランクインしている点にも注目したい。
「TSPY_KATES」を感染させるために、悪意を持った攻撃者が、多用していることがうかがえる。また、一部の「TSPY_KATES」には欠陥があり、感染PCがブルースクリーン表示になるなどの現象が見られるとのことである。さらに、この攻撃では改変したレジストリを隠蔽するなど、ますます不正プログラムによる攻撃が巧妙化している。一度、感染が拡大すると亜種などの発生も活発化するので、注意が必要である。もし「TSPY_KATES」に感染したユーザーは二次被害を防ぐためにも、使用中のログイン名やパスワードの変更をすべきであろう。
脆弱性を狙う不正プログラム
「TSPY_KATES」感染のきっかけとなる「JS_GUMBLER」は、ActiveXの脆弱性の他に、Adobe Acrobat Reader、Flashなどのアプリケーションの脆弱性も悪用する。このことが、感染を拡大させた要因の1つと思われる。また、11月はInternet Explorerに対する新たな脆弱性を狙った攻撃も確認されたとのことである。現時点では、具体的な攻撃例の報告はないが、Windows 7に関する脆弱性も発見されている。
広く普及しているOSやアプリケーションの脆弱性を狙うことは攻撃の常套手段であるため、修正プログラムの適用を怠らないことである。さらに、不正プログラムのWebからの侵入を防ぐためにはレピュテーション技術などを利用し、多段的な防御策を講じることが必要と、トレンドマイクロでは注意を喚起している。
