トレンドマイクロは、2012年9月度のインターネット脅威マンスリーレポートを発表した。まず取り上げているのは、9月18日に報告されたIEの脆弱性を狙ったゼロディ攻撃である(4日後の22日には修正プログラムが公開されたが、その間は攻撃の対象となった)。トレンドマイクロによると、18日にはその脆弱性を悪用した不正なWebサイトを確認できたとのことである。そのいくつかを紹介しよう。まずは、正規のサイトに不正なHTMLファイルが埋め込まれたものである。
 |
図1 不正なHTMLファイルの読み込み中に■という記号が表示され、終了後は正常にページが表示される(トレンドマイクロのレポートより) |
次は、不正なHTMLファイルを実行後、正規サイトへリダイレクトするものだ。
 |
図2 不正なHTMLファイルの読み込み中に図1と同様に■が表示され、その後Microsoftの正規サイトへリダイレクトする(トレンドマイクロのレポートより) |
一部の不正なサイトでは、最終的にバックドア型不正プログラムの「BKDR_PLUGX(プラグエックス)」が仕掛けられる。また、一部の不正サイトのURLには、「senkaku」の文字が含まれていた。当時、注目されていた「尖閣諸島」を想定させる。攻撃者の意図として、話題性の高いニュースでユーザーの興味を引くことがあったと推察される。
国内で収集・集計されたランキング
今月も変動の多いランキングとなった。先月、いきなり1位となった「ADW_SOMOTO(ソモト)」はランク外となり、今月も「Mal_Siref32(サーエフ)」、「Mal_Siref64(サーエフ)」、「TROJ_PATCHED.AGQ(パッチド)」などが、新たにランクインしている。これらを含め、4位から9位までがZACCESS関連の不正プログラムである。夏以降、活発な活動を続けている。詳細は、トレンドマイクロのセキュリティブログを参照してほしい。
 |
図3 新たな感染手法を利用する「ZACCESS」ファミリ、世界各国で感染拡大 |
表1 不正プログラム検出数ランキング(日本国内[2012年9月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | ADW_GAMEPLAYLABS | ゲームプレイラボス | アドウェア | 4,821台 | 10位 |
| 2位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 3,926台 | 3位 |
| 3位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 2,655台 | 6位 |
| 4位 | Mal_Siref32 | サーエフ | その他 | 2,366台 | NEW |
| 5位 | TROJ_SIREFEF.DAM | サーエフエフ | トロイの木馬 | 2,248台 | 2位 |
| 6位 | Mal_Siref64 | サーエフ | その他 | 1,942台 | NEW |
| 7位 | PTCH64_ZACCESS.A | ジーアクセス | その他 | 1,876台 | 圏外 |
| 8位 | TROJ_PATCHED.AGQ | パッチド | トロイの木馬 | 1,836台 | NEW |
| 9位 | TROJ_SIREFEF.SLS | サーエフエフ | トロイの木馬 | 1,797台 | 9位 |
| 10位 | ADW_INSTALLCORE | インストールコア | アドウェア | 1,672台 | 5位 |
世界で収集・集計されたランキング
全世界でもZACCESS関連の不正プログラムのランクインが目立つ。7位の「Mal_Siref64(サーエフ)」、8位の「PTCH64_ZACCESS.A(ジーアクセス)」、9位の「TROJ_PATCHED.AGQ(パッチド)」である。世界でも同様の傾向が続くと思われる。今回、新たにランクインした「ADW_SEARCHSUITE(サーチスーツ)」はフリーツールと一緒にインストールされ、広告を勝手に表示するアドウェアです。
表2 不正プログラム検出数ランキング(全世界[2012年9月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 75,262台 | 1位 |
| 2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 34,774台 | 2位 |
| 3位 | ADW_SEARCHSUITE | サーチスーツ | アドウェア | 23,091台 | NEW |
| 4位 | WORM_BAGLE.BMH | ベーグル | ワーム | 17,502台 | 8位 |
| 5位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 15,053台 | 5位 |
| 6位 | PE_SALITY.RL | サリティ | ファイル感染型 | 14,604台 | 7位 |
| 7位 | Mal_Siref64 | サーエフ | その他 | 14,245台 | NEW |
| 8位 | PTCH64_ZACCESS.A | ジーアクセス | その他 | 13,838台 | 6位 |
| 9位 | TROJ_PATCHED.AGQ | パッチド | トロイの木馬 | 13,144台 | NEW |
| 10位 | ADW_YONTOO | ヨントゥー | アドウェア | 10,923台 | 9位 |
日本国内における感染被害報告
検出数ランキングの変動に呼応するかのように、こちらのランキングも変動の多いものとなった。1、2位は、いすれもAdobe Acrobatの脆弱性に対するエクスプロイトコードを含むものだ(実体はPDFファイル)。トレンドマイクロによれば、ユーザーへの深刻な実被害はないとのことである。
表3 不正プログラム感染被害報告数ランキング(日本国内[2012年9月度])
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | TROJ_PIDIEF | ピーディーエフ | トロイの木馬 | 43件 | 圏外 |
| 2位 | EXPL_PDF4155 | ピーディーエフ | エクスプロイト | 40件 | 圏外 |
| 3位 | TROJ_SIREFEF | サーエフエフ | トロイの木馬 | 18件 | 1位 |
| 4位 | MAL_OTORUN | オートラン | その他 | 13件 | 圏外 |
| 4位 | WARM_DOWNAD | ダウンアド | ワーム | 13件 | 圏外 |
