トレンドマイクロは、2011年2月度のインターネット脅威マンスリーレポートを発表した。2011年1月から、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」のスマートフィードバックにより収集・集計された脅威の検出数のランキングも同時に発表されるようになった。

2月の脅威傾向

2月の日本国内における感染被害報告には、2位に「TROJ_FAKEAV(フェイクエイブイ)」が入った。これは、「System Tool」という名前の偽セキュリティ対策ソフトである。改ざんされた正規のWebサイトを閲覧することで感染する事例が確認されている。System Toolに感染すると、まずは壁紙を変更し、全画面に偽の警告を出現させる(図1)。

図1 「スパイウェアに感染した」と偽の警告を表示(マンスリーレポートより)

まずは、こうしてユーザの恐怖心を煽る。そして、偽のスキャンを行い、ウイルスが検出されたと偽の報告をする(図2)。

図2 偽のスキャン、出現する結果はすべて偽物である(マンスリーレポートより)

偽セキュリティ対策ソフトの目的は、システムの修復には正規版が必要として、金銭や個人情報を搾取することにある。

図3 System Toolsの購入画面(セキュリティブログより)

トレンドマイクロでは、金銭を狙う傾向が高まっている現在において、金銭に直結する攻撃としてますます増加すると、注意喚起をしている。ランキングで注意したいのは、国内で7位、世界で6位に入った「TROJ_SPYEYE.SMEP(スパイアイ)」である。これは、インターネットバンキングの口座情報を狙うボットである「Spy Eye」関連の亜種で、2月に新たに検知されたものだ。これらのボットを操るツールキットはネット上で売買されており、亜種や新たな攻撃目標が拡大する可能性もある。

国内で収集・集計されたランキング

日本では、1月に引き続きファイル共有ソフトで拡散するアンティニーなどが多くランクインしている。ファイル共有ソフトで流出した情報は決して削除できない。厳にファイル共有ソフトの使用をしないことが、最も効果的な対策となる。

表1 不正プログラム検出数ランキング(日本国内[2011年2月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 4,570台 2位
2位 CRCK_KEYGEN キーゲン クラッキングツール 3,273台 3位
3位 MAL_DLDER ディローダー その他 1,478台
4位 HKTL_KEYGEN キーゲン クラッキングツール 1,450台 6位
5位 WORM_ANTINNY.AI アンティニー ワーム 1,377台 4位
6位 PE_PARITE.A パリット ファイル感染型 1,347台 8位
7位 TROJ_SPYEYE.SMEP スパイアイ トロイの木馬 1,269台 NEW
8位 WORM_ANTINNY.JB アンティニー ワーム 1,149台 7位
9位 MAL_OLGM-41 オーエルジーエム その他 1,142台
10位 TROJ_DLOADR.KDS ディローダー トロイの木馬 1,076台 NEW

世界で収集・集計されたランキング

3位に入った「WORM_KELIHOS.SM(ケリホス)」は、新年の挨拶を装うグリーティングカードを介し、感染する。

図4 WORM_KELIHOSが送るメール。リンクをクリックすると、ウイルスがダウンロードされる(マンスリーレポートより)

件名は「Happy2011!」、「I made an Ecard for U!」などが使われ、送信者(From)は名前リスト、文面は候補リストの中から選択される。2月になり、検出数が急増した。また、5位の「TSPY_ONLINEG.MCS(オンラインジー)」はhostsファイルを書き換えることで特定の銀行サイトへアクセスした際に不正なサイトへ誘導する。6位の「TROJ_SPYEYE.SMEP」は、インターネットバンキングを狙う「Spy Eye」の新しい亜種である。このように、インターネットバンキングの情報を狙う(つまりは金銭目的)ウイルスが多く検出されている。

表2 不正プログラム検出数ランキング(全世界[2011年2月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 133,681台 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 35,838台 2位
3位 WORM_KELIHOS.SM ケリホス ワーム 20,914台 圏外
4位 HKTL_KEYGEN キーゲン クラッキングツール 18,603台 4位
5位 TSPY_ONLINEG.MCS オンラインジー スパイウェア 17,451台 3位
6位 TROJ_SPYEYE.SMEP スパイアイ トロイの木馬 12,629台 NEW
7位 PE_SALITY.RL サリティ ファイル感染型 11,542台 10位
8位 ADW_HOTBAR ホットバー アドウェア 10,150台 圏外
9位 ADW_ONESTEP ワンステップ アドウェア 9,439台 圏外
10位 WORM_FLYSTUDI.B フライスチューディ ワーム 8,905台 5位

日本国内における感染被害報告

2月の不正プログラム感染被害の総報告数は863件で、1月の715件から増加している。ランキングの上位はいつも通りであるが、2月はダウンローダーのランクインに注意したい。5位の「JAVA_DLOADR(ディローダー)」は、Webサイトに接続しウイルスを勝手にダウンロードする。ダウンロードされたウイルスにより、さまざまな脅威の危険性がもたらされる。対策としては、Webレピュテーションで、Webサイトの信頼性を事前に確認するなどが効果的である。

表3 不正プログラム感染被害報告数ランキング(日本国内[2011年2月度])

d>
順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD ダウンアド ワーム 35件 1位
2位 MAL_OTORUN オートラン その他 16件 2位
2位 TROJ_FAKEAV フェイクエイブイ トロイの木馬16件 6位
4位 MAL_OLGM-41 オーエルジーエム その他 12件 4位
5位 BKDR_AGENT エージェント バックドア 11件 3位
5位 JAVA_DLOADR ディローダー その他 11件 圏外

コンピュータウイルスの歴史:世界初のウイルス

月例のレポートと共にこれまでのウイルスの歴史を振り返ってみたい。まずは、世界初のウイルスを紹介しよう。といっておきながら、諸説が存在する。ここでは、2つのウイルスを紹介しよう。まずは1983年の「Elk Coner(エルクコナー)」である。このウイルスはApple II上で検知されたウイルスである。Apple IIは、現在のMacintosh以前のコンピュータでPCのルーツとも呼ばれるマシンだ。Elk Conerは、当時の高校生が作成したもので、図5のようなメッセージを表示する。

図5 Elk Conerの表示するメッセージ

まさに愉快犯的なもので、友人をからかうために作成された。もうひとつは1986年の「Brain(ブレイン)」である。こちらを世界初とするのは、IBM PCと呼ばれる今のPCの直系のマシンに感染するウイルスを理由とするからだ。Brainを作成したのは、パキスタンのBrain兄弟で、Brain Computer Service社を経営していた。この会社のソフトウェアが違法にコピーされていることに業を煮やし、作成されたものである。画面に次のようなメッセージが表示される。

Welcome to the Dungeon (c) 1986 Basit * Amjad (pvt) Ltd.
BRAIN COMPUTER SERVICES
730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN
PHONE: 430791,443248,280530.
Beware of this VIRUS.... Contact us for vaccination...

不正コピーの中止を訴える内容である。住所や電話番号まで書かれている。一説によれば、10万台ものフロッピーにBrainの感染が行われたとのことだ。いずれのウイルスにも共通するのは、フロッピーディスクを介して感染が行われる。ブートセクタに感染し、メモリに常駐し、新たにディスクを挿入するとそこに感染する。そして、ここがもっとも重要な部分であるが、特に破壊活動などは行わず、あくまでもメッセージを表示することで、ウイルス自身の存在を知らしめることを目的としていた。

ここが現在のウイルスとは大きく異なる。現在のウイルスの多くは、感染したことすら隠し、破壊や盗聴活動を行う。当時は、コンピュータウイルスといっても、無害なもので、危ないものという意識も低かった。そして、実害を及ぼすウイルスの登場は、この後になるのだ。