ファイル共有ソフト関連の不正プログラムが依然として流行－トレンドマイクロレポート

トレンドマイクロは、2011年2月度のインターネット脅威マンスリーレポートを発表した。2011年1月から、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のスマートフィードバックにより収集・集計された脅威の検出数のランキングも同時に発表されるようになった。

2月の脅威傾向

2月の日本国内における感染被害報告には、2位に「TROJ_FAKEAV(フェイクエイブイ)」が入った。これは、「System Tool」という名前の偽セキュリティ対策ソフトである。改ざんされた正規のWebサイトを閲覧することで感染する事例が確認されている。System Toolに感染すると、まずは壁紙を変更し、全画面に偽の警告を出現させる(図1)。

まずは、こうしてユーザの恐怖心を煽る。そして、偽のスキャンを行い、ウイルスが検出されたと偽の報告をする(図2)。

偽セキュリティ対策ソフトの目的は、システムの修復には正規版が必要として、金銭や個人情報を搾取することにある。

トレンドマイクロでは、金銭を狙う傾向が高まっている現在において、金銭に直結する攻撃としてますます増加すると、注意喚起をしている。ランキングで注意したいのは、国内で7位、世界で6位に入った「TROJ_SPYEYE.SMEP(スパイアイ)」である。これは、インターネットバンキングの口座情報を狙うボットである「Spy Eye」関連の亜種で、2月に新たに検知されたものだ。これらのボットを操るツールキットはネット上で売買されており、亜種や新たな攻撃目標が拡大する可能性もある。

国内で収集・集計されたランキング

日本では、1月に引き続きファイル共有ソフトで拡散するアンティニーなどが多くランクインしている。ファイル共有ソフトで流出した情報は決して削除できない。厳にファイル共有ソフトの使用をしないことが、最も効果的な対策となる。

表1 不正プログラム検出数ランキング(日本国内[2011年2月度])

順位	検出名	通称	種別	検出数	先月順位
1位	WORM_DOWNAD.AD	ダウンアド	ワーム	4,570台	2位
2位	CRCK_KEYGEN	キーゲン	クラッキングツール	3,273台	3位
3位	MAL_DLDER	ディローダー	その他	1,478台	─
4位	HKTL_KEYGEN	キーゲン	クラッキングツール	1,450台	6位
5位	WORM_ANTINNY.AI	アンティニー	ワーム	1,377台	4位
6位	PE_PARITE.A	パリット	ファイル感染型	1,347台	8位
7位	TROJ_SPYEYE.SMEP	スパイアイ	トロイの木馬	1,269台	NEW
8位	WORM_ANTINNY.JB	アンティニー	ワーム	1,149台	7位
9位	MAL_OLGM-41	オーエルジーエム	その他	1,142台	─
10位	TROJ_DLOADR.KDS	ディローダー	トロイの木馬	1,076台	NEW

世界で収集・集計されたランキング

3位に入った「WORM_KELIHOS.SM(ケリホス)」は、新年の挨拶を装うグリーティングカードを介し、感染する。

件名は「Happy2011!」、「I made an Ecard for U!」などが使われ、送信者(From)は名前リスト、文面は候補リストの中から選択される。2月になり、検出数が急増した。また、5位の「TSPY_ONLINEG.MCS(オンラインジー)」はhostsファイルを書き換えることで特定の銀行サイトへアクセスした際に不正なサイトへ誘導する。6位の「TROJ_SPYEYE.SMEP」は、インターネットバンキングを狙う「Spy Eye」の新しい亜種である。このように、インターネットバンキングの情報を狙う(つまりは金銭目的)ウイルスが多く検出されている。

表2 不正プログラム検出数ランキング(全世界[2011年2月度])

順位	検出名	通称	種別	検出数	先月順位
1位	WORM_DOWNAD.AD	ダウンアド	ワーム	133,681台	1位
2位	CRCK_KEYGEN	キーゲン	クラッキングツール	35,838台	2位
3位	WORM_KELIHOS.SM	ケリホス	ワーム	20,914台	圏外
4位	HKTL_KEYGEN	キーゲン	クラッキングツール	18,603台	4位
5位	TSPY_ONLINEG.MCS	オンラインジー	スパイウェア	17,451台	3位
6位	TROJ_SPYEYE.SMEP	スパイアイ	トロイの木馬	12,629台	NEW
7位	PE_SALITY.RL	サリティ	ファイル感染型	11,542台	10位
8位	ADW_HOTBAR	ホットバー	アドウェア	10,150台	圏外
9位	ADW_ONESTEP	ワンステップ	アドウェア	9,439台	圏外
10位	WORM_FLYSTUDI.B	フライスチューディ	ワーム	8,905台	5位

日本国内における感染被害報告

2月の不正プログラム感染被害の総報告数は863件で、1月の715件から増加している。ランキングの上位はいつも通りであるが、2月はダウンローダーのランクインに注意したい。5位の「JAVA_DLOADR(ディローダー)」は、Webサイトに接続しウイルスを勝手にダウンロードする。ダウンロードされたウイルスにより、さまざまな脅威の危険性がもたらされる。対策としては、Webレピュテーションで、Webサイトの信頼性を事前に確認するなどが効果的である。

表3 不正プログラム感染被害報告数ランキング(日本国内[2011年2月度])

d>

順位	検出名	通称	種別	検出数	先月順位
1位	WORM_DOWNAD	ダウンアド	ワーム	35件	1位
2位	MAL_OTORUN	オートラン	その他	16件	2位
2位	TROJ_FAKEAV	フェイクエイブイ	トロイの木馬	16件	6位
4位	MAL_OLGM-41	オーエルジーエム	その他	12件	4位
5位	BKDR_AGENT	エージェント	バックドア	11件	3位
5位	JAVA_DLOADR	ディローダー	その他	11件	圏外

コンピュータウイルスの歴史：世界初のウイルス

月例のレポートと共にこれまでのウイルスの歴史を振り返ってみたい。まずは、世界初のウイルスを紹介しよう。といっておきながら、諸説が存在する。ここでは、2つのウイルスを紹介しよう。まずは1983年の「Elk Coner(エルクコナー)」である。このウイルスはApple II上で検知されたウイルスである。Apple IIは、現在のMacintosh以前のコンピュータでPCのルーツとも呼ばれるマシンだ。Elk Conerは、当時の高校生が作成したもので、図5のようなメッセージを表示する。

まさに愉快犯的なもので、友人をからかうために作成された。もうひとつは1986年の「Brain(ブレイン)」である。こちらを世界初とするのは、IBM PCと呼ばれる今のPCの直系のマシンに感染するウイルスを理由とするからだ。Brainを作成したのは、パキスタンのBrain兄弟で、Brain Computer Service社を経営していた。この会社のソフトウェアが違法にコピーされていることに業を煮やし、作成されたものである。画面に次のようなメッセージが表示される。

Welcome to the Dungeon (c) 1986 Basit * Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN
PHONE: 430791,443248,280530.
Beware of this VIRUS.... Contact us for vaccination...

不正コピーの中止を訴える内容である。住所や電話番号まで書かれている。一説によれば、10万台ものフロッピーにBrainの感染が行われたとのことだ。いずれのウイルスにも共通するのは、フロッピーディスクを介して感染が行われる。ブートセクタに感染し、メモリに常駐し、新たにディスクを挿入するとそこに感染する。そして、ここがもっとも重要な部分であるが、特に破壊活動などは行わず、あくまでもメッセージを表示することで、ウイルス自身の存在を知らしめることを目的としていた。

ここが現在のウイルスとは大きく異なる。現在のウイルスの多くは、感染したことすら隠し、破壊や盗聴活動を行う。当時は、コンピュータウイルスといっても、無害なもので、危ないものという意識も低かった。そして、実害を及ぼすウイルスの登場は、この後になるのだ。