トレンドマイクロは、2010年2月度のインターネット脅威マンスリーレポートを発表した。
2月の脅威傾向
2月の不正プログラム感染被害の総報告数は916件で、1月の1,670件から大きく減少した。。1月のランキングでは、1位に復活したオートランは2位に、2位だったダウンアドは6位へとランクを落としている。一方、2009年末から猛威を振るうのがガンブラー攻撃に関わる不正プログラムである。今月は、ランキング1位の「JS_GUMBLAR(ガンブラー)」、3位の「JS_ONLOAD(オンロード)」、4位の「TROJ_BREDOLAB(ブレドラボ)」、5位の「HTML_EXPL(イーエクスピーエル)」、9位の「JS_IFRAME(アイフレーム)」の5種類の不正プログラムがランキングに入っている。
これらが、正規Webサイト改ざんをきっかけとして不正サイトに誘導し、アクセス元のOSやアプリケーションのぜい弱性を利用して不正プログラムをダウンロードさせる。正規サイトの改ざんによる不正プログラムの配布が依然として、収束する気配のないことが示されているものといえよう。
「ガンブラー攻撃」で最終的にダウンロードされる不正プログラムの活動として、ランキング4位の「TROJ_BREDOLAB」によりダウンロードされる「TSPY_DAURSO(ダウルソ)」が、FFFTPなどのFTPクライアントソフトの設定情報からFTPアカウント情報を収集したり、FTPサーバに感染して、受信したFTPアカウント情報を収集する。
この不正プログラムは、2月に新たに確認されたものである。FTPアカウント情報の詐取以外にも、「TROJ_WALEDAC(ワレダック)」や「TROJ_AGENT(エージェント)」に感染したPCがスパムボット化し、C&Cサーバ(コマンド&コントロールサーバ)の指令に基づいてスパムメールを送信する活動もこれまでに確認されている。このように、最終的に不正プログラムに感染したユーザは、情報詐取の被害者となるばかりでなく、知らず知らずのうちに攻撃者の目的達成のための手段としてPCを利用される可能性もある。十分な注意が必要である。
表1 不正プログラム感染被害報告数ランキング[2010年2月度]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | JS_GUMBLAR | ガンブラー | Java Script | 25件 | 10位 |
| 2位 | MAL_OTORUN | オートラン | その他 | 24件 | 1位 |
| 3位 | JS_ONLOAD | オンロード | Java Script | 22件 | 3位 |
| 4位 | TROJ_BREDOLAB | ブレドラボ | トロイの木馬型 | 21件 | 圏外 |
| 5位 | HTML_EXPL | イーエクスピーエル | その他 | 13件 | New |
| 6位 | WORM_PALEVO | パレボ | ワーム | 12件 | 圏外 |
| 7位 | WORM_DOWNAD | ダウンアド | ワーム | 9件 | 2位 |
| 8位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 8件 | 圏外 |
| 9位 | JS_IFRAME | アイフレーム | Java Script | 7件 | 圏外 |
| 10位 | WORM_AGOBOT | アゴボット | ワーム/td> | 6件 | 圏外 |
| 10位 | WORM_INJECT | インジェクト | ワーム | 6件 | New |
ガンブラー攻撃の10の問題点
トレンドマイクロのリージョナルトレンドラボの解析者のブログでは、ガンブラー攻撃の特徴をマクロ的視点から、次の10点にまとめている。
(1)改ざん内容がランダムに難読化され、方法も随時変化しながら長期にわたって継続している。また、改ざんページ閲覧時の接続先サイトはリバースプロキシ(nginx)になっており、1つの名前に対するIPアドレスも複数存在している。
検出およびURLフィルタリングによるブロックが困難になる
(2)不正スクリプトによる不正サイトへの接続先URLに正常なドメインの文字列が多数含まれている
URLフィルタリングをすり抜けることがある
(3)不正スクリプトによる不正サイトへの接続は、同じIPアドレスからは初回接続時(または初回接続後のわずかな時間)しか本来の(不正な)応答がされない。
マルウェアサンプルの入手が困難になる
(4)file.exe(TROJ_BREDOLAB)をダウンロードさせるJavaScriptは一部が別ファイルに分かれている。
単体では動作を解析できず解析が困難になる
(5)file.exe(TROJ_BREDOLAB)をダウンロードさせるために複数の脆弱性が利用される(JustExploitなどが利用されている模様)。
より多くの環境で感染しやすくなる
検出・動作の解析が困難になる
(7)TROJ_AGENT.AUQSはSYSファイル内で自身のコードを復号したうえで、service.exeにコードをインジェクションして動作させる。また、自身が削除されないように監視する。
解析・駆除が困難になる
(8)TSPY_DAURSO.CによるFTPクライアントの設定情報からの収集、TSPY_DAURSO.DによるFTPサーバ側での受信内容の監視、TROJ_WALEDACによるネットワークパケットの監視など、いくつもの方法でFTPアカウント情報を収集する。
感染PCから見えるFTPアカウント情報を逃さず収集される。
(9)TROJ_WALEDAC.AYZはFTPアカウントだけでなく、HTTPベーシック認証、POP3、SMTP Authenticationなど平文で流れるパスワード情報を収集する。
収集された情報を利用した情報漏えいなど問題が広がる
(10)さまざまな動作の背後で偽セキュリティソフトをインストールする。
注目を集中させるとともに、購入を促すことで攻撃者の安定した資金源になる
以上であるが、ガンブラー攻撃は非常に巧妙に進化しつつある。その流れは現在でも続いており、さらなる巧妙化も予想される。サーバやクライアントのぜい弱性を厳密に管理し、被害にあわないよう引き続き警戒を怠らないでほしい。
