トレンドマイクロは、2011年5月度のインターネット脅威マンスリーレポートを発表した。5月は、大手のゲームネットワークが意図的に狙われ、膨大な個人情報の流出へと至った。これ以外にも、有名な企業が狙われた事件が発生した。そのため、トレンドマイクロには、ユーザー企業からの脆弱性に関する問い合わせが数多くよせられたとのことだ。トレンドマイクロでは、攻撃を受ける可能性の高さや、影響度の大きさから優先度を評価して対策を講じていくことが必要とされている。
5月の全体的な傾向
5月は、国内外でWebサービスを悪用した攻撃が多数確認された。国内では、ゴールデンウィークの前後でGoogleの画像検索結果を悪用した事例が検知された。
 |
図1 赤線で囲んだ画像が偽のリンクとなっていた(レポートより) |
実際に、この画像をクリックすると、画像が置いてあるサイトとは別の不正なサイトへ誘導され、FTPパスワードを盗む不正プログラムや偽セキュリティソフトがダウンロードされるとのことだ。海外では、マイクロソフトのWebメールサービス「Hotmail」の脆弱性を狙ったゼロデイ攻撃が確認された。
 |
図2 「Hotmail」の脆弱性を悪用した攻撃イメージ(レポートより) |
図2のように、悪意を持った攻撃者からの不正なメールをプレビューしただけで、埋め込まれたスクリプトが起動し、最悪の場合、受信ボックスのすべてのメールが転送される。これにより、企業情報や個人情報などが奪われる可能性もある。今回の攻撃は、特定のユーザーを狙った標的型攻撃であったとのことだ。この手口のように不正なスクリプトが埋め込まれたメールを特定のユーザーに送信するのは比較的多いものだ。トレンドマイクロでは、システムのセキュリティレベルの向上とともに、利用する従業員の意識向上も重要な要素であると指摘する。また、個人ユーザーは、Webサービスの利便性やユーザ数を逆手に、攻撃のツールとして悪用する。定期的な情報収集やセキュリティ製品の導入をすべきであろう。
国内で収集・集計されたランキング
日本国内の不正プログラム検出状況では、圏外からのランクインが目立つ。3位のオンラインゲームの情報を盗み取る「MAL_Opet-3(オペット)」、「WORM_ANTINNY(アンティニー)」の亜種などである。「WORM_ANTINNY」は、ファイル共有ソフトなどを介して感染する。依然、Winnyなどの使用は多いと推察される。
表1 不正プログラム検出数ランキング(日本国内[2011年5月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 2,634台 | 1位 |
| 2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 1,592台 | 2位 |
| 3位 | Mal_Opet-3 | オペット | その他 | 634台 | 圏外 |
| 4位 | WORM_ANTINNY.AI | アンティニー | ワーム | 609台 | 7位 |
| 5位 | PE_PARITE.A | パリット | ファイル感染型 | 595台 | 8位 |
| 6位 | WORM_ANTINNY.JB | アンティニー | ワーム | 404台 | 圏外 |
| 7位 | WORM_ANTINNY.F | アンティニー | ワーム | 404台 | 圏外 |
| 8位 | ADW_YABECTOR | ワイエイベクター | アドウェア | 313台 | 6位 |
| 9位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 296台 | 圏外 |
| 10位 | BKDR_AGENT.TID | エージェント | バックドア | 293台 | 圏外 |
世界で収集・集計されたランキング
全世界の検出状況では、上位に大きな変動はない。目新しいところでは、7位のハッキングツール「HKTL_ULTRASURF(ウルトラサーフ)」などだ。「HKTL_ULTRASURF」は、URLやドメインによるアクセス制限がかかっている環境で、その制限を回避する。
表2 不正プログラム検出数ランキング(全世界[2011年5月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 128,780台 | 1位 |
| 2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 39,229台 | 2位 |
| 3位 | TROJ_FAKEAV.XXX | フェイクエイブイ | トロイの木馬 | 27,847台 | NEW |
| 4位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 15,428台 | 5位 |
| 5位 | PE_SALITY.RL | サリティ | ファイル感染型 | 14,157台 | 6位 |
| 6位 | WORM_PALEVO.SMQM | パレボ | ワーム | 12,078台 | NEW |
| 7位 | HKTL_ULTRASURF | ウルトラサーフ | ハッキングツール | 11,076台 | 圏外 |
| 8位 | WORM_FLYSTUDI.B | フライスタディ | ワーム | 10,635台 | 圏外 |
| 9位 | Mal_OtorunN | オートラン | その他 | 10,446台 | 圏外 |
| 10位 | PE_SALITY.RL-O | サリティ | ファイル感染型 | 8,231台 | 圏外 |
日本国内における感染被害報告
5月の不正プログラム感染被害の総報告数は578件で、4月の567件から11件の増加となった。ランキングでは4位に「BKDR_AGENT(エージェント)」がランクインした。これは、標的型攻撃が活発に行われ、攻撃メールにバックドア型の不正プログラムが添付されていることが原因とのことだ。また、国内では4月上旬に確認されたWebサイト改ざん攻撃、通称「Lizamoon(ライザムーン)」が少数ながら再確認されている。Webサーバの脆弱性の確認を行い、問題があった場合にはセキュリティ対策を強化すべきであろう。
表3 不正プログラム感染被害報告数ランキング(日本国内[2011年5月度])
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD | ダウンアド | ワーム | 18件 | 1位 |
| 2位 | MAL_HIFRM | ハイフレーム | その他 | 10件 | 4位 |
| 3位 | MAL_OTORUN | オートラン | その他 | 7件 | 3位 |
| 4位 | BKDR_AGENT | エージェント | バックドア | 5件 | 圏外 |
キーゲンとは
国内、世界の検出数の2位に入っているキーゲンであるが、調査方法が変更になってから上位にランクインすることが多い。アプリやOSなどのインストールで、シリアルナンバーなどを入力し、正当性を確認するものがある。キーゲンは、そのシリアルナンバーなどを生成するプログラムである。keyとgeneratorを組み合わせて作られた名称でもある。図3は、文書系のアプリのキーゲンである。
 |
図3 キーゲンの一種、シリアルキーが生成される |
最近、このように毒々しい見た目をしたキーゲンを見かける。キーゲンは、それ自体の使用が不法行為になる場合ほとんどである。また、キーゲンを装ったトロイの木馬であるものが少なくない。ダウンロードサイトやファイル共有で確認されるが、本体自体がウイルスであったり、ウイルスが同梱されていることも多い。ダウンロードや使用は厳に避けるべきものといえよう。
