トレンドマイクロは、2009年度のインターネット脅威レポート(日本国内)を発表した。
2009年1月1日から12月15日までのデータ速報
2009年の不正プログラム感染被害の総報告数は44,587件で、2008年同時期の54,680件から約18.5%減少した。2009年を振り返ると、まずは「MAL_OTORUN(オートラン)」の猛威が記憶に残る。2008年8月以来15カ月連続で1位となり、年間の報告数は3,578件と2008年と比べて約1,000件増加した。総報告数の約8.0%を占め、前年の4.7%より大幅に増加しており、USBメモリによる感染が常套化している。
また、「WORM_DOWNAD(ダウンアド)」は非常に多くの企業から被害を受けた。2008年10月に確認されたオリジナルの「WORM_DOWNAD」は、OSの脆弱性を狙う単純なワームだったが、非常に多くの亜種が登場した。USBメモリへの感染、ファイル共有、パスワード攻撃などの機能が追加された。「WORM_DOWNAD」は企業内ネットワークで蔓延し、根絶に1カ月以上を要した例や、駆除後に予防策を講じたつもりが対策の抜け穴から再感染するなど、業務の遂行が困難になるもあった。このことは、多くの企業で基本的な対策を完全に実行することの困難さがうかがわれる。
表1 不正プログラム感染被害報告数ランキング[2009年度]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 前年順位 |
|---|---|---|---|---|---|
| 1位 | MAL_OTORUN | オートラン | その他 | 3,578件 | 1位 |
| 2位 | WORM_DOWNAD | ダウンアド | ワーム | 1,516件 | 圏外 |
| 3位 | BKDR_AGENT | エージェント | バックドア | 779件 | 2位 |
| 3位 | BKDR_AGENT | エージェント | バックドア | 779件 | 2位 |
| 4位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 463件 | 6位 |
| 5位 | TSPY_KATES | カテス | トロイの木馬型 | 444件 | New |
| 6位 | JS_IFRAME | アイフレーム | Java Script | 402件 | 3位 |
| 7位 | TROJ_VUNDO | ヴァンドー | トロイの木馬型 | 345件 | 8位 |
| 8位 | TROJ_SEEKWEL | シークウェル | トロイの木馬型 | 342件 | New |
| 9位 | MAL_HIFRM | ハイフレーム | その他 | 324件 | 4位 |
| 10位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬型 | 238件 | 圏外 |
2009年の総括
新しい手法を使った特定の不正プログラムが流行すると、他の不正プログラムでも同様の手法が取り入れられる傾向がある。USBメモリ以外にも、新しい感染経路が流行すると、それに便乗した攻撃が一気に増加する可能性もあるため、今後も新しい攻撃手法には注意が必要だろう。トレンドマイクロリージョナルラボでは、2009年のトピックとして、次の5つ上げている。
●トピック(1):新しい感染手法の常套化-USBメモリを利用した不正プログラム
2005年頃より、1つの不正プログラムで大規模感染する例は少なくなってきた。しかし、USBメモリを媒体とする新しい感染手法を多くの不正プログラムが採用し、経路として常套化したため、家庭、企業で多くの感染被害を起こした。2位の「WORM_DOWNAD」もUSBメモリの感染方法が有効とみるや、その機能を追加した亜種が登場している。2008年の年初よりUSBメモリに関連した被害は多く、引き続き注意が必要である。
●トピック(2):複数の感染手法を使う「WORM_DOWNAD」が企業で流行
2008年10月に確認されたオリジナルの「WORM_DOWNAD」は、OSの脆弱性を狙う単純なワームであったが、後にUSBメモリへの感染や、ファイル共有、パスワード攻撃などの機能が追加された。LAN内で感染を広げる機能が段階的に複数追加されたため、駆除が非常に困難となった。さらに、一度駆除したにも関わらず別の亜種に再感染してしまうなど、対策に追われ、復旧に長時間かかった企業も少なくない。感染を拡大させた一因には、脆弱性の修正プログラムを適用するなど基本的な対策が多くの企業において徹底されていないこともあげられる。
●トピック(3):アプリケーションの脆弱性も利用-正規Webサイトの改ざん
2009年春から話題になった「JS_GUMBLAR(ガンブラー)」をはじめとした正規Webサイトの改ざんは引き続き日本でも確認された。「JS_IFRAME(アイフレーム)」や「MAL_HIFRM(ハイフレーム)」も、正規のWebサイトに埋め込まれるスクリプトで、連鎖的に不正プログラムをダウンロードする「Webからの脅威」の発端となる。さらに、ActiveXやAdobe Reader、Flashなど様々な脆弱性を利用して自動的に実行されるように仕込まれていた。修正プログラムの適用はもちろん、不正プログラムのWebからの侵入を防ぐためにはレピュテーション技術などを利用し、多段的な防御策を講じることが求められる。
●トピック(4):不正プログラムの最終的な目的-金銭や情報を狙う不正プログラム
表1にあるように、上位10種内で3種が明確に金銭や情報を狙ったと見られる不正プログラムである。「TSPY_ONLINEG(オンラインゲーム)」は、オンラインゲームのID・パスワードを詐取する。盗んだ情報で他のユーザになりすまし、ゲーム内の仮想通貨を現実に換金するRMT(Real Money Trading)が目的である。また「TSPY_KATES(カテス)」や「TROJ_SEEKWEL(シークウェル)」は感染PC内のユーザ情報やFTPサーバへのログイン名・パスワードを盗むことを目的としている。
●トピック(5):ユーザを騙して金銭を詐取する手法が巧妙化-偽セキュリティソフト
2008年8月頃に猛威を振るった偽セキュリティソフト「TROJ_FAKEAV(フェイクエイブイ)」が再度注目を集めた。9月後半にマイクロソフトより無料セキュリティソフト「Microsoft Security Essentials」が公開されたが、これに便乗し、マイクロソフトの名を騙った偽セキュリティソフトが送信元を偽ったメールで配布された。古典的な手法であるが、騙されやすい。
今後、懸念される脅威の傾向と対策
2009年はシステムや運用における、基本的な対策の抜け穴が結果的に大きな被害へと至った。また、システムの安全性が高くとも、それを使う人の油断がある限り、攻撃の付け入る隙を与えてしまう。今後も、人間の心理的な油断や、先入観につけ込むソーシャルエンジニアリング手法は巧妙化していくことが予想される。また、最近では、インターネットを利用したクラウドが流行している。クラウドもまた、アンダーグラウンドでサービスとして不正な攻撃を代理する例や、攻撃ツールの時間貸しなどが確認されており、安易に攻撃を行える環境となっている。今後も、インターネットを利用することの脅威は減ることはなく、増大が懸念される。
これらの脅威に対しては、基本対策の徹底が重要であると、トレンドマイクロでは分析する。悪意を持った攻撃者に騙されないために正確な知識を身につけ、最新の情報を得るとともに、パスワードやネットワークの設定、修正プログラムの適用いった基本対策の忠実な実行という、原点に近い行動が求められている。