トレンドマイクロは、2010年5月度のインターネット脅威マンスリーレポートを発表した。

5月の脅威傾向

5月の不正プログラム感染被害の総報告数は1,403件で、4月の1,533件からやや減少している。5月の感染報告数ランキング(表1)で、まず注目したいのが、偽のセキュリティ対策ソフトである。偽セキュリティ対策ソフトの「TROJ_FAKEAV(フェイクエイブイ)」と「HTML_FAKEAL(フェイクアル)」が4位と5位にランクインしている。

これは、この感染被害が5月に増加したことの現れでもある。偽セキュリティ対策ソフトはPCがウイルスに感染していないにも関わらず、偽の警告でユーザーの恐怖心を煽り、問題を解決するには有償版を購入する必要があるというメッセージを表示して金銭を騙しとる。有償版の代金を騙し取られるだけでなく、偽セキュリティ対策ソフトの購入時に利用したクレジットカードのIDやパスワードから、大きな二次被害に発展する危険性もある。

侵入のきっかけとしては、SNSのログインパスワードの変更と偽ったスパムメールに添付されたファイルを実行した例や、ガンブラー攻撃で最終的にダウンロードされた事例が報告されている。また、5月には新たにマイクロソフトの無償セキュリティ対策ソフト「Microsoft Security Essentials」に見せかけた偽セキュリティ対策ソフトが発見された(図1)。

図1 Microsoft Security Essentialsをまねた偽セキュリティ対策ソフト(トレンドマイクロのWebページより)

このような偽セキュリティ対策ソフトに感染するとどうなるのであろうか。いくつかの活動が報告されているが、感染した際に正規のセキュリティ対策ソフトを停止し、セキュリティ会社へのWebアクセスを遮断を行うものがある。

正規のセキュリティ対策ソフトの停止は、自らが検知されないためである。そして、Webアクセスの遮断は、正規のセキュリティ対策ソフトのパターンファイルなどの更新を行わせないことが目的である。このような状況を作り出し、さらなる情報収集活動を行うものもある。さらに、exe形式のファイルである偽セキュリティ対策ソフトがzip形式で圧縮され、スパムメールに添付されて送られてくることもある(図2)。

図2 SNSからのパスワードを変更を偽ったスパムメール。添付ファイルにpasswd.zipがあるのがわかる(トレンドマイクロのWebページより引用)

ここでもSNSなどの管理者を騙り、添付ファイルをユーザーになんとかして開かせようとしているようすがうかがわれる。繰り返しになるが、このようなメールでパスワードの変更を行うようなことはまずありえない。また、添付ファイルにはくれぐれも注意をしてほしい。

偽のセキュリティ対策ソフトの強制的なダウンロードが行われることがあるガンブラー攻撃であるが、ランキングを見ると、ハイフレームが2位、アイフレームが7位と先月から順位を上げている。依然として、ガンブラー攻撃の脅威も継続しているとみるべきであろう。対策として、OSやアプリケーションの脆弱性を放置しないように注意したい。

9位にランクインしたTROJ_OFICLAは、5月に新種として検知されたトロイの木馬である。TROJ_OFICLAを起動すると、ダウンローダのTROJ_DLOADRを作成し、さらに別のウイルスなどをダウンロードしようとする。

またランキングでは、MAL_OTORUNが3位となり、WORM_DOWNADが1位となった。MAL_OTORUNは、2010年3月からトップを続けていた。いずれもこの1、2年、上位にランクインするウイルスであり、その脅威は変わることはない。引き続き注意が必要であろう。

表1 不正プログラム感染被害報告数ランキング[2010年5月度]

順位 検出名 通称 種別 件数 先月順位
1位 WORM_DOWNAD ダウンアド ワーム 39件 2位
2位 MAL_HIFRM ハイフレーム その他 33件 6位
3位 MAL_OTORUN オートラン その他 30件 1位
4位 TROJ_FAKEAV フェイクエイブイ トロイの木馬 18件 4位
5位 HTML_FAKEAL フェイクアル その他 16件 圏外
5位 BKDR_AGENT エージェント バックドア 16件 7位
7位 JS_IFRAME アイフレーム Java Script 15件 9位
8位 MAL_XED-10 ゼッドテン その他 12件 10位
9位 TROJ_OFICLA オフィクラ トロイの木馬 11件 New
10位 TROJ_MALWARE マルウェア トロイの木馬 10件 10位