トレンドマイクロは、2009年上半期、6月度のインターネット脅威マンスリーレポートを発表した。2009年上半期の日本国内における不正プログラム感染被害報告数は28,628件と、昨年の上半期の14,878件と比較すると約92%の増加。USBメモリを介した感染を行う不正プログラムとして、もっとも猛威を振るった期間となった。
2009年上半期の脅威傾向
2009年上半期の日本国内における不正プログラム感染被害報告数は28,628件と、昨年の上半期の14,878件と比較すると約92%の増加となった。ランキング(表1)では、「MAL_OTORUN(オートラン)」と「WORM_DOWNAD(ダウンアド)」の2つが上位を占めたが、この1年で常にランキングの上位を占めた不正プログラムといってもよい。「MAL_OTORUN(オートラン)」の報告数は、2008年8月以来、11カ月連続で月例の報告数で1位となった。USBメモリを介した感染を行う不正プログラムとして、もっとも猛威を振るったものといえるだろう。
2位の「WORM_DOWNAD(ダウンアド)」もまた、特徴的な不正プログラムといえる。当初は、Windowsの脆弱性を狙い、自身の感染を拡大させていた。その一方で「MAL_OTORUN」の感染手段が有効となると、その感染手段を採用した亜種が登場する。「WORM_DOWNAD」は、有効と思われる手口があれば、すばやくその手口を使った亜種が登場する点が特徴的であった。辞書攻撃を使ったパスワードクラック、偽セキュリティソフトのダウンロード、セキュリティ関連サイトへのアクセスブロックなど、非常に多くの亜種が出現し、今後もさらに続くと予想される。それ以外の不正プログラムについて、見てみよう。
2009年上半期は、4月から5月にかけて日本国内の正規Webサイトの改ざんが発生した。感染報告ランキング3位の「BKDR_AGENT(エージェント)」の亜種「JS_AGENT」を正規サイトに埋め込む手口がとられており、最終的には感染PCのFTPアカウントを盗む「TROJ_SEEKWEL(シークウェル)」がダウンロードさせられる。さらに、今回の不正プログラムが置かれた不正なWebサイトには、ラトビアや中国のサーバが悪用された。トップレベルドメイン別の取得検体数ランキング(表2)でも中国のドメイン「cn」が2位にランクインしており、中国のサーバを悪用した不正プログラムの配布が顕著であったことがうかがえる。
表1 不正プログラム感染被害報告数ランキング[2009年上半期]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 前年同期順位 |
|---|---|---|---|---|---|
| 1位 | MAL_OTORUN | その他 | 2484件 | 1位 | data |
| 2位 | WORM_DOWNAD | ダウンアド | ワーム | 993件 | NEW |
| 3位 | BKDR_AGENT | エージェント | バックドア | 482件 | 2位 |
| 4位 | TROJ_VUNDO | ヴァンドー | トロイの木馬型 | 330件 | 4位 |
| 5位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 321件 | 6位 |
| 6位 | TROJ_SEEKWEL | シークウェル | トロイの木馬型 | 300件 | NEW |
| 7位 | JS_IFRAME | アイフレーム | Java Script | 261件 | 3位 |
| 8位 | MAL_HIFRM | ハイフレーム | その他 | 256件 | 9位 |
| 9位 | BKDR_TDSS | ティディエスエス | バックドア | 149件 | NEW |
| 10位 | TROJ_DLOADER | ディーローダー | トロイの木馬型 | 136件 | 圏外 |
スレットモニタリングセンター収集データ:2009年上半期の傾向
図1と表2は、日本のリージョナルトレンドラボ、スレットモニタリングセンターで分析した不正な通信および不正ドメインの状況である。まずは、不審な通信プロトコルにつては、図1のようになった。
 |
図1 企業ユーザの不審な通信プロトコル別割合[2009年上半期] |
図1は、企業ユーザ向けネットワーク監視製品で2009年上半期に検出した不審な通信のうち、通信のプロトコル別の割合を示したものである。メールの送信時に使用されるSMTPとWebサイトにアクセスする際に使用されるHTTPで82%以上となり、ほとんどを占める。不正プログラムはHTTPを使用して別の不正プログラムをダウンロードする他に、自身のメール送信機能を使ってSMTPで情報を漏えいさせる活動を行うものもある。このような理由により、メール・Web関係の通信が大部分を占めたと推察される。次は、不正ドメインの状況である。
表2 トップレベルドメイン別の取得検体数ランキング[2009年上半期:上位10ドメイン]
| 順位 | トップレベルドメイン名 | のべ(既知および新規) |
|---|---|---|
| 1位 | com(商用サイト) | 72298 |
| 2位 | cn(中国) | 28653 |
| 3位 | net(ネットワーク) | 8315 |
| 4位 | pl(ポーランド) | 4742 |
| 5位 | org(教育機関) | 4256 |
| 6位 | kr(韓国) | 2419 |
| 7位 | ar(アルゼンチン) | 2408 |
| 8位 | info(情報提供) | 2281 |
| 9位 | fr(フランス) | 1156 |
| 10位 | uk(イギリス) | 799 |
表2で注目すべきは、中国のドメイン「cn」が、「com」に次いで2009年上半期2位となったことである。これまでは取得がしやすいことから、「net」が2位であったが、数的にも大きく凌駕する結果になった。事実、4月以降確認された国内正規サイト改ざんでも、不正プログラムが置かれたリダイレクト先のサイトに中国のサーバが悪用されていたことが確認されている。
2009年6月の脅威傾向
6月の不正プログラム感染被害の総報告数は4,781件で、5月の4,496件から増加がみられる。上位に関しては、順位変動はあるものの、大きな変化は見られない。6月は、Microsoft Outlookの再設定の案内に偽装したスパムメールが確認された。本文に、「Outlookにメールを受信しているがメールを閲覧するためにはOutlookの再設定が必要である」といった内容が含まれており、添付された不正プログラムをユーザに実行させるものと、本文中の不正なURLにアクセスさせるものがある。
感染するとさらに別の不正プログラムをダウンロードし、オンラインバンキングのIDやパスワードを盗み取ろうとする。たとえ、Microsoftのような信頼性の高い組織からのメールでも、不審な点があれば不用意に添付ファイルやURLをクリックしないことである。メーカからの正式なお知らせであれば、公式のホームページなどでも紹介があるはずだ。うかつに信用しないことである。
表3 不正プログラム感染被害報告数ランキング[2009年6月]
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月 |
|---|---|---|---|---|---|
| 1位 | MAL_OTORUN | オートラン | その他 | 412件 | 1位 |
| 2位 | TROJ_SEEKWEL | シークウェル | トロイの木馬型 | 114件 | 2位 |
| 3位 | BKDR_AGENT | エージェント | バックドア | 106件 | 4位 |
| 4位 | WORM_DOWNAD | ダウンアド | ワーム | 102件 | 3位 |
| 5位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 48件 | 5位 |
| 6位 | TROJ_DLOADER | ディーローダー | トロイの木馬型 | 30件 | 10位 |
| 6位 | WORM_AUTORUN | オートラン | ワーム | 30件 | 圏外 |
| 8位 | JS_IFARME | アイフレーム | Java Script | 28件 | 7位 |
| 9位 | MAL_HIFRM | ハイフレーム | その他 | 26件 | 8位 |
| 10位 | MAL_OLGM | オーエルジーエム | その他 | 25件 | 圏外 |
