震災に便乗したサイバー攻撃が多発 － トレンドマイクロレポート

トレンドマイクロは、2011年3月度のインターネット脅威マンスリーレポートを発表した。ランキングの前に、3月11日に発生した東日本大震災に便乗したサイバー攻撃について報告しよう。トレンドマイクロでは、震災発生後、数時間で震災関連のフィッシングサイトや検索サイトの検索結果に不正なサイトが表示されるSEOポイズニングが海外で確認したとのことである。トレンドマイクロのブログによれば、Facebookを経由した不正プログラムなどもある。

国内では、チェーンメールやデマメールも数多く報告されている。さらに不正プログラムを添付したメールも確認されている。そのいくつかを紹介しよう。まずは「放射線量の状況.doc」が添付されたメールである。

実際に、この添付ファイルは、図3のような内容となっている。

いかにもそれらしい内容を騙っている。同様な例として、上司から計画停電に関する指示として、「計画停電表.xls」といったファイルが添付されたメールも報告されている。添付ファイルの一部には、Adobe製品の脆弱性を悪用したTROJ_ADOF.Bという不正プログラムが含まれることもある。さらに不正プログラムが作成され、リモート操作が行われる危険性があるとのことだ。これまで、このような災害を悪用したメールは外国語がほとんどであり、注意力も働きやすかった。

しかし、計画停電に悩むユーザーにこのようなメールが届いた場合、注意力の低下は免れない。トレンドマイクロでは、今後は「ボランティア」や「支援」といったキーワードを使った攻撃が予想されるとのことだ。平常時と異なる環境下を悪用し、人間の不安感やボランティア精神につけこんだ攻撃が活発化していると、トレンドマイクロでは警告を発している。

国内で収集・集計されたランキング

1位はまたも「WORM_DOWNAD.AD(ダウンアド)」となった。それ以外のランキングでは、「TROJ_SPNR(エスピーエヌアール)」が亜種を含め、4種類がランクインしている。この不正プログラムは、感染したPCのWindows XPのプロダクトキーやWebブラウザに保存されたパスワードを盗み出そうとする。危険度は低いとのことであるが、パターンファイルの更新、脆弱性の解消などを怠りなく行ってほしい。

表1 不正プログラム検出数ランキング(日本国内[2011年2月度])

順位	検出名	通称	種別	検出数	先月順位
1位	WORM_DOWNAD.AD	ダウンアド	ワーム	4,425台	1位
2位	CRCK_KEYGEN	キーゲン	クラッキングツール	3,546台	2位
3位	TROJ_SPNR.03CG11	エスピーエヌアール	トロイの木馬	2,831台	NEW
4位	TROJ_SPNR.03CF11	エスピーエヌアール	トロイの木馬	2,794台	NEW
5位	ADW_TENCENT	テンセント	アドウェア	2,357台	圏外
6位	TROJ_SPNR.04CG11	エスピーエヌアール	トロイの木馬	2,094台	NEW
7位	PE_PARITE.A	パリット	ファイル感染型	1,336台	6位
8位	WORM_ANTINNY.AI	アンティニー	ワーム	1,279台	5位
9位	TROJ_SPNR.03CI11	エスピーエヌアール	トロイの木馬	1,268台	NEW
10位	HKTL_KEYGEN	キーゲン	ハッキングツール	1,207台	4位

世界で収集・集計されたランキング

こちらでも、1位は相変わらず、「WORM_DOWNAD.AD(ダウンアド)」となった。全体の傾向として、リムーバブルメディアを悪用する不正プログラムがランクインが目立つ。圏外から5位にランクインした「WORM_PALEVO.SMAH（パレボ）」も同様の感染手法を使う。引き続き、USBメモリの管理など十分に行ってほしい。

表2 不正プログラム検出数ランキング(全世界[2011年2月度])

順位	検出名	通称	種別	検出数	先月順位
1位	WORM_DOWNAD.AD	ダウンアド	ワーム	141,386台	1位
2位	CRCK_KEYGEN	キーゲン	クラッキングツール	39,228台	2位
3位	ADW_TENCENT	テンセント	アドウェア	33,414台	圏外
4位	TROJ_SPNR.03CG11	エスピーエヌアール	トロイの木馬	24,688台	NEW
5位	HKTL_KEYGEN	キーゲン	ハッキングツール	17,416台	4位
6位	WORM_PALEVO.SMAH	パレボ	ワーム	13,818台	圏外
7位	PE_SALITY.RL	サリティ	ファイル感染型	13,502台	7位
8位	TROJ_SPNR.03CF11	エスピーエヌアール	トロイの木馬	12,771台	NEW
9位	TSPY_ONLINEG.MCS	オンラインジー	スパイウェア	12,769台	5位
10位	TROJ_SPNR.04CG11	エスピーエヌアール	トロイの木馬	12,630台	NEW

また、トレンドマイクロでは、3月下旬よりSQLインジェクションによるWebサイトの改ざん攻撃が多発していると報告する。これは、「LizaMoon(ライザムーン)」と呼ばれるもので、全世界で10万以上のサイトが被害にあっているとのことである。実際に改ざんされたWebサイトには、図4のように不正コード内に「lizamoon」という文字が見てとれる。

改ざんされたWebサイトからは、さらに不正なWebサイトに誘導され、偽セキュリティ対策ソフトなどがダウンロードされる被害が発生している。この方法も悪意を持った攻撃者にとって、有効と考えられており、今後も継続すると予想される。

日本国内における感染被害報告

まず注目したいのは、先月3位であった偽セキュリティ対策ソフト「TROJ_FAKEAV(フェイクエイブイ)」が1位となったことであろう。

これまでも繰り返しレポートで報告されてきたが、その猛威が継続中であるといわざろうえない。ウイルス感染などの警告表示がでたとしても、決して慌てず対応してほしい。さらにいえば、有名ベンダーの著名なセキュリティ対策ソフトを正しくインストールすることだ。セキュリティ対策ソフトをインストールしていない無防備な状態であることも、このような偽セキュリティ対策ソフトの被害に遭う原因となる。

セキュリティ対策ソフトによっては、不正なWebサイトに誘導されないように検索結果などを評価する機能もある。これらの機能を使うことでも、より確実な対策となる。最後に、3月の不正プログラム感染被害の総報告数は682件で、2月の863件から減少となった。

表3 不正プログラム感染被害報告数ランキング(日本国内[2011年3月度])

順位	検出名	通称	種別	検出数	先月順位
1位	TROJ_FAKEAV	フェイクエイブイ	トロイの木馬	28件	3位
2位	TROJ_DLOADR	ディローダー	トロイの木馬	13件	圏外
3位	MAL_HIFRM	ハイフレーム	その他	12件	圏外
4位	MAL_OTORUN	オートラン	その他	10件	2位
4位	WORM_DOWNAD	ダウンアド	ワーム	10件	1位