トレンドマイクロは、2011年4月度のインターネット脅威マンスリーレポートを発表した。まずは、3月11日に発生した東日本大震災に便乗したサイバー攻撃の分析から報告しよう。地震発生翌日の3月12日から3月14日にかけて「earthquake」「japan」「tsunami」などの言葉が含まれるドメインが100件以上新たに登録された。トレンドマイクロでは、4月末時点でこれらのドメインの約4分の3が不正に使用されていたとのことだ。
また、4月も「地震」「津波」「計画停電」「原発」「放射能」など震災関連の情報に偽装した不正プログラムを添付した標的型のメールが報告されている。3月に比べ4月は、被害報告数は減少したが、Microsoft OfficeやAdobe/Acrobat Readerなどの脆弱性を悪用するものが報告されており、対策としてOSやソフトウェアのアップデートを忘れずに行ってほしい。また、これらの不正メールの偽装された情報を分析結果は、図1のようになった。
 |
図1 震災関連の不正なメール報告数のうち、偽装された情報の内訳(3/11~4/30) |
もっとも多かったのが「原発、放射能」であり、24%を占めた。関心の多い情報を偽装することで、メールを読ませ、添付した不正プログラムを開かそうとしているのである。不審なメールには、くれぐれも注意してほしい。
4月の全体的な傾向
全体的な傾向として、偽セキュリティ対策ソフトに関連する目立つ。国内のサポートセンターでは、これまでの攻撃をまねた被害報告が確認された。過去に確認された偽セキュリティ対策ソフトが「System Tool」(図2)である。
 |
図2 「System Tool」のメイン画面 |
今回、新たに発見された偽セキュリティ対策ソフトが「MS Removal Tool」(図3)である。
 |
図3 「MS Removal Tool」のメイン画面 |
左上のソフト名以外はほとんど同じ外観である。この偽セキュリティ対策ソフトは「TROJ_FAKEAL(フェイクエーエル)」として検出される。トレンドマイクロでは、これら2つの不正プログラムの制作者が同一とは限らないが、過去に流行した攻撃の模倣はよくある事例とのことだ。
表2の不正プログラム検出数ランキング(全世界)でも「TROJ_FAKEAV(フェイクエイブイ)」が、4位にランクインしている。この偽セキュリティ対策ソフトは、不正な、もしくは改ざんされたWebサイトからダウンロードさせられることで、感染する。対策は、不正なWebサイトへアクセスした場合に、アクセスを遮断する機能を持つWebレピュテーションが有効だろう。
国内で収集・集計されたランキング
国内ランキングの上位は大きな変動はない。また、Windows XPのプロダクトキーやWebブラウザに保存されたパスワードを盗み出そうとする「TROJ_SPNR(エスピーエヌアール)」が亜種を含め、5種類がランクインしている。それ以外では、広告を表示するアドウェアである「ADW_YABECTOR(ワイエイベクター)」がランクインした。感染するとショートカットファイルがPC上に複数作成され、ユーザがクリックすることでオークションサイトなどの広告を表示するWebサイトへ誘導される。
表1 不正プログラム検出数ランキング(日本国内[2011年4月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 4,538台 | 1位 |
| 2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 4,456台 | 2位 |
| 3位 | TROJ_SPNR.03CG11 | エスピーエヌアール | トロイの木馬 | 2,912台 | 3位 |
| 4位 | TROJ_SPNR.03CF11 | エスピーエヌアール | トロイの木馬 | 2,188台 | 4位 |
| 5位 | TROJ_SPNR.04CG11 | エスピーエヌアール | トロイの木馬 | 2,177台 | 6位 |
| 6位 | ADW_YABECTOR | ワイエイベクター | アドウェア | 2,110台 | 圏外 |
| 7位 | WORM_ANTINNY.AI | アンティニー | ワーム | 1,317台 | 8位 |
| 8位 | PE_PARITE.A | パリット | ファイル感染型 | 1,313台 | 7位 |
| 9位 | TROJ_SPNR.03CI11 | エスピーエヌアール | トロイの木馬 | 1,308台 | 9位 |
| 10位 | TROJ_SPNR.04CI11 | エスピーエヌアール | トロイの木馬 | 1,237台 | 圏外 |
世界で収集・集計されたランキング
こちらも1位、2位は先月同様となった。また、国内ランキング同様に「TROJ_SPNR(エスピーエヌアール)」が亜種を含め、3種類がランクインしている。変化としては、冒頭にもふれたように、偽セキュリティ対策ソフトの「TROJ_FAKEAV(フェイクエイブイ)」が、圏外から4位にランクインした点であろう。「TROJ_FAKEAV」については、これまでも幾度となく報告をしてきた。
偽のウイルス警告画面を表示しユーザの恐怖心を煽り、システムの復元には正規版が必要として金銭や個人情報を騙し取る手口が悪意を持った攻撃者にとって有効といえる。正しいセキュリティ対策ソフトをインストールしていれば、このようなことはない。セキュリティ対策ソフトを入れてないユーザーは、まず、そこから対策をしてほしい。
表2 不正プログラム検出数ランキング(全世界[2011年4月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 129,477台 | 1位 |
| 2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 38,775台 | 2位 |
| 3位 | TROJ_SPNR.03CG11 | エスピーエヌアール | トロイの木馬 | 23,620台 | 4位 |
| 4位 | TROJ_FAKEAV.SM10 | フェイクエイブイ | トロイの木馬 | 18,503台 | 圏外 |
| 5位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 14,742台 | 5位 |
| 6位 | PE_SALITY.RL | サリティ | ファイル感染型 | 13,489台 | 7位 |
| 7位 | TROJ_SPNR.04CG11 | エスピーエヌアール | トロイの木馬 | 12,871台 | 10位 |
| 8位 | TROJ_SPNR.03CF11 | エスピーエヌアール | トロイの木馬 | 12,140台 | 8位 |
| 9位 | TROJ_KRYPTK.SM4 | クリプティック | トロイの木馬 | 11,542台 | 圏外 |
| 10位 | TROJ_KRYPTK.SMN | クリプティック | トロイの木馬 | 10,880台 | 圏外 |
日本国内における感染被害報告
4月の不正プログラム感染被害の総報告数は567件で、3月の682件から減少した。「WORM_DOWNAD」が1位に復活した。それ以外の変化では、新たにマスメーリング型で感染を広げる「TROJ_OFICLA(オフィクラ)」が2位にランクインしたことだ。「TROJ_OFICLA」はメールに添付され、EXE形式のファイルをWordに偽装するという古典的な感染手法を用いている。感染後に他の不正プログラムダウンロードするなどする。
表3 不正プログラム感染被害報告数ランキング(日本国内[2011年4月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD | ダウンアド | ワーム | 38件 | 5位 |
| 2位 | TROJ_OFICLA | オフィクラ | トロイの木馬 | 17件 | 圏外 |
| 3位 | MAL_OTORUN | オートラン | その他 | 14件 | 4位 |
| 4位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬 | 9件 | 1位 |
| 4位 | MAL_HIFRM | ハイフレーム | その他 | 9件 | 圏外 |
最後にトレンドマイクロでは、東日本大震災に便乗し特定のユーザに不正なメールを送付する標的型攻撃についても注意喚起をしている。震災発生の3月から累計50件以上報告されている。4月は、3月末の40件から徐々に収束傾向にあるが、関心の高いキーワードを新たに使用した攻撃が登場する可能性も否定できない。今後も注意が必要だろう。
