ウイルス感染被害レポート - 2006年度（速報）

2006年度ウイルス感染被害年間レポート　不正プログラムは目的指向に移行し、感染被害は倍増

　トレンドマイクロ株式会社（本社：東京都渋谷区 代表取締役社長 兼 CEO：エバ・チェン、東証一部：4704、NASDAQ：TMIC）は、2006年度のウイルス感染被害年間レポート（2006年1月1日～12月15日までのデータを集計した速報、日本国内）をお知らせするとともに、この1年のウイルスの状況を総括いたします。
　日本国内におけるウイルス感染被害報告数は88106件と、昨年同時期の件数（41749件）に比べ倍増しています。不正プログラムの傾向は目的指向に移りました。愉快犯から金銭目当てに、不特定多数から小規模標的型への変化は、2005年から顕著になっていましたが、2006年はさらに強まったと言えます。以前のように悪意のあるものが悪戯でウイルスを作成し、不特定多数に送る、もしくは多数のユーザが集まる場所に仕掛けるといった、いわば趣味的な行為ではなく、金銭の詐取や情報の不正取得といった明確な目的を達成するための手段として不正プログラムを利用する職業的な行為に変わりました。結果として、亜種の多発、プログラムのモジュール化、ソーシャルエンジニアリング的手法が進み、被害は分散しつつも総報告数の増加につながったと考えられます。
　また、感染活動としては、ファイル感染型、マスメール型、ルートキットなど、以前には主流であったが数年間あまり利用されなかった技術や手法が改めて使われるようになってきています。不正プログラムの作者はユーザ心理の隙をついて攻撃してきます。感染の手口は、ユーザが忘れたころに繰り返される傾向もあるため、目新しい手口というより、従来の技術や手法を利用し発展させ、組み合わせた攻撃が現れてくるでしょう。

ウイルス感染被害年間レポート　2006年度
（2006年1月1日～12月15日　トレンドマイクロ調べ）

※このランキングは、2006年1月1日から12月15日までの間に、日本のトレンドマイクロのサポートセンターに寄せられた問い合わせをもとに順位付けを行ったものです。本数値は、2006年12月18日現在の情報に基づき作成されたものです。以前に集計されたものと数字が異なっている可能性や、今後のサポート調査により、件数に変更が生じる可能性があります。なお、12月31日までの集計データは、2007年1月にあらためて発表いたします。
※被害件数はウイルス発見のみの数字も含みます。
※（※(1)）のウイルスに関しては、亜種をまとめてカウントした件数となります。
※（※(2)）「JAVA_BYTEVER.A」に関しては、パターンファイル番号1.546.00から「JAVA_BYTVERIFY.A」の検出名で対応いたしておりましたが、パターンファイル番号1.731.00から「JAVA_BYTEVER.A」に改称いたしましたので、双方の数を集計したものになります。
※（※(3)）印のウイルスに関しては、「WORM_STRATION」、「WORM_STRAT」、「TROJ_STRAT」、「WORM_STRATIO」、「WORM_WAREZOV」をまとめてカウントした件数になります。

2006年のウイルス傾向　「TrendLabs Japan」ウイルス解析担当者コメント

2006年の総括：目的指向への移行と不正プログラムのアップデート
　「WORM_STRATION」以外で感染報告を集めたのは、スパイウェア、アドウェア、ボットであり、いずれも明確な目的を持って作成され、配布される不正プログラムでした。攻撃対象を絞り、ユーザやセキュリティソフトに発見されないように活動を行います。また、全般的な傾向として、機能毎によるモジュール化が進み、最初に侵入したプログラムがインターネットを通じてアップデートを繰り返すため、全体像が把握し難いものになっています。侵入用モジュールが入り込んだ後にウイルス作者が用意したWebサイトにアクセスし、次々と他の機能をもつモジュールをダウンロードすることで最終的にスパイウェアやキーロガーを使って情報を盗むという仕組みが主流になりました。アップデートという点では日本で横行している詐欺サイトのワンクリックウェアも同様で、セキュリティソフトによる検出を逃れるために、同一のWebサイト上で1日数回の頻度でアップデートを繰り返し続ける例も数多く確認されました。

トピック（1）：マスメール型ワームの復活
　もはや単純なマスメール型は流行しないと言われていましたが、8月末に登場した「WORM_STRATION」は大流行しました。ウイルス作者側は計画的に多数の亜種を集中的かつ大規模に配布したと考えられます。このワームはシステムからのエラーメールを装った英語メールで侵入しますが、通常でも英文のケースが多いため、日本でもうっかり添付ファイルを実行したユーザが多かったようです。このワームの特徴は、感染コンピュータに新しい亜種をダウンロードする点です。感染させたコンピュータを土台に別の感染を広げることができる点で、効率的な手法であるとも言えます。スパイウェアやアドウェアを送り込む例も報告されており、連鎖的な被害が危惧されます。

トピック（2）：小規模標的型の攻撃
　官公庁や大企業、新聞社などを標的にしたり、それらの名を騙ってウイルスを送りつけるメールが確認されました。ウイルス自身にはメールを送信する機能はなく、受信者をだますためにウイルスとは別に成りすましメールが作成されたと考えられます。メールのタイトル、送信者、添付ファイル名に実在の団体や組織名が記載されるなど、受信者が怪しまないように偽装されていました。このようなソーシャルエンジニアリング的手法がさらに手の込んだものになる恐れがあります。

トピック（3）：ゼロデイアタックの日常化
　未修正のセキュリティホールを攻撃する「ゼロデイアタック」が数多く確認されました。マイクロソフトは毎月の第2火曜日にセキュリティパッチを公開していますが、毎月のように公開の直前や直後に未修正のセキュリティホールに対するPoCコード（Proof of Concept）が出回っています。全世界のクラッカーによるセキュリティホール探しが過熱しているように見受けられますので、ゼロデイ関連の情報にはご注意いただきたいと思います。

トピック（4）：Winnyネットワーク上の情報流出
　2006年の前半にはWinnyを悪用するウイルスによる情報流出事故が相次いで報道され、ファイル交換ソフトはすっかり一般に知られるようになりました。幅広いユーザの方に対し、その使用や危険性について強く注意が喚起されましたが、感染数は減少傾向にあるものの流出事故は後を絶ちません。現在の傾向とは逆に古典的な愉快犯によるウイルスですが、インターネットはユーザの使い方次第で大きな問題につながる危険性があることが改めて示唆されました。

今後、懸念されるウイルスの傾向：目的指向のエスカレートと技術のリバイバル
　不正プログラムの目的志向は、今後さらに強くなるでしょう。金銭や情報といった目的は変わらず、表面的には亜種作成の激化、標的の小規模化、機能のモジュール化、ゼロデイアタックの頻発など、現在の傾向が引き続くと考えられます。手口としては、人的なソーシャルエンジニアリング的手法に注意が必要です。2007年には新しいOSとしてWindows Vistaが発売されますが、不正プログラムの自動実行などへの対策が進む反面で、ユーザを欺くための騙しの手口が増えることも懸念されます。一方、技術的な面では、ファイル感染、マスメール、ルートキットなど旧来の技術や手法をリバイバルし、応用した例が増加する可能性があります。
　エスカレートする亜種多発への対策として、従来のパターンマッチングを拡張した検出技術が重要になってきています。亜種に共通して使われるプログラムコードに着目し、複数の亜種をまとめて検出する「Generic検出パターン」は未知の亜種への予防措置に有効です。また、Webでアップデートを繰り返す活動に対しては、従来はウイルス対策と違う分野であったURLフィルタリングなどの技術と連携して対策を取ることが必要になってきています。

※TRENDMICRO、Trend Labsはトレンドマイクロ株式会社の登録商標です。
※各社の社名および製品名は、各社の商標又は登録商標です。