Windowsの脆弱性を狙ったウイルスが急上昇 － トレンドマイクロ8月のレポート

トレンドマイクロは、2010年8月度のインターネット脅威マンスリーレポートを発表した。8月はWindowsの脆弱性を悪用したウイルスが急上昇していた。ショートカットのアイコンを表示しただけで、任意のコードが実行されてしまう「LNK_STUXNET」だ。

2010年8月の脅威傾向

8月の不正プログラム感染被害の総報告数は1,121件となった。6月の1,774件、7月の1,618件から3カ月連続で減少、しかも減少割合も大きいものとなった。今月のランキングをみると「LNK_STUXNET(スタクスネット)」が注目される。「LNK_STUXNET」は、7月に明らかになったWindowsのショートカットの脆弱性を悪用するものだ。この脆弱性は、ショートカットのアイコン画像をWindowsが正しく解析しないというものである。

つまり、ショートカットのアイコンを表示しただけで、任意のコードが実行されてしまう。「LNK_STUXNET」は、悪意のショートカットファイル(.lnk)と実行させる不正プログラムをUSBメモリに仕込むことで、Windowsの自動実行機能が有効な場合、USBメモリをパソコンに挿しただけでアイコンが表示され、不正プログラムが実行される。今月は10位にランクインしている「MAL_OTORUN(オートラン)」も、この数年にわたり猛威をふるってきたウイルスである。新たな脅威の発生により、これまで以上にUSBメモリの扱いに注意を払うべきであろう。USBメモリを使った感染以外にも、「添付の修正パッチを適用し、脆弱性を利用した攻撃から身を守るように」と偽ったメールに「LNK_STUXNET」が添付されていた事例もある(図1)。

これらの添付ファイルであるが、フォルダに保存した場合、フォルダを開いただけで不正なコードが実行される危険性がある(もちろん、アプリで開いたり実行することでも、不正なコードが実行される)。この脆弱性は、発見後しばらくパッチのない「ゼロデイ」状態であった。その間は、まったくの無防備な状態が継続した。しかし、日本時間2010年8月3日にマイクロソフトよりセキュリティ更新プログラムがリリースされている。未対応な場合には、すみやかに対応をしてほしい。また、7位にランクインした「HTML_CLICKR(クリッカー)」は、特定の不正なスクリプトが埋め込まれたHTMLファイルの検出名である。一例を紹介しよう。図2は、一見すると単なるGIFファイルで、Webブラウザでは画像として表示される。

しかし、この画像ファイル内には、不正なURLが追記されている。WebブラウザがこのGIFファイルを読み込んだ際に、画像ファイル内のスクリプトが実行され不正なURLへ誘導される危険性がある(図3)。

最近では、不正プログラムの手口として、スパムメール、脆弱性、不正なスクリプトなど、複数の手口を巧みに組み合わせることが多くなっている。当然のことながら、このような手口に対して、注意力だけで対抗するのは非常に難しい。このような複雑化された攻撃からPCを守るためには、総合的な防御が求められる。ウイルススキャンのみならず、危険なWebサイトやメッセージのブロックなどを併用したセキュリティ対策ソフトが必要であろう。新バージョンのセキュリティ対策ソフトがリリースされているので、このタイミングで検討してもよいだろう。

表1 不正プログラム感染被害報告数ランキング[2010年8月度]

順位	検出名	通称	種別	件数	先月順位
1位	WORM_DOWNAD	ダウンアド	ワーム	32件	1位
2位	TROJ_FAKEAV	フェイクエイブイ	トロイの木馬	25件	4位
3位	LNK_STUXNE	スタクスネット	その他	13件	圏外
4位	MAL_OTORUN	MAL_OTORUN	その他	12件	2位
5位	BKDR_AGENT	エージェント	バックドア	8件	5位
5位	TROJ_BREDO	ブレド	トロイの木馬	8件	圏外
7位	HTML_CLICKR	クリッカー	その他	7件	圏外
8位	TROJ_DLOADER	ディローダー	トロイの木馬	6件	3位
8位	TROJ_SCARECROW	スケアクロー	トロイの木馬	6件	New
10位	WORM_AUTORUN	オートラン	ワーム	5件	6位
10位	JS_IFRAME	アイフレーム	Java Script	5件	7位
10位	TROJ_JAVA	ジャバ	トロイの木馬	5件	圏外
10位	MAL_XED-10	ゼッドテン	その他	5件	圏外