ウイルス感染被害レポート - 2007年度上半期・6月度

2007年度上半期および6月のウイルス感染被害レポート

～Webからの攻撃の顕在化と巧妙化～

トレンドマイクロ株式会社（本社：東京都渋谷区 代表取締役社長 兼 CEO：エバ・チェン、東証一部：4704）は、2007年度上半期のコンピュータウイルス感染被害レポート（2007年1月1日～6月30日までのデータを集計、日本国内）をお知らせするとともに、上半期のウイルスの状況を総括いたします。またあわせて2007年6月度のコンピュータウイルス感染被害報告件数マンスリーレポート（日本国内）をお知らせいたします。

2007年上半期の日本国内におけるウイルス感染被害報告数は37363件と、昨年の上半期の件数（42741件）、並びに、昨年下半期の49160件と比較しても減少傾向にあります。海外では「ストームワーム」など地域的な規模での流行がありましたが、日本ではそこまでの大きな流行はありませんでした。大きな流行が無かった分、ターゲットを絞った攻撃の割合が高くなり被害が横に広がりにくい傾向もあるようです。ウイルス個々の被害件数を見ても、1種による集中的な感染が減り、被害の分散化が進んでいる様子が伺えます。トレンドマイクロへの感染被害報告数という面から考えると、5月から本格稼動したリージョナルトレンドラボによる能動的な不正プログラム収集によって日本固有のウイルスへの対応が早くなり、より拡散が抑えられていくことが期待されています。
不正プログラムを使った攻撃手法は巧妙化の一途をたどるとともに、悪意ある攻撃者のプロフェッショナル化も顕在化してきました。現在、最も特徴的な手法は、Web経由で連続的にダウンロードする手法と攻撃対象を限定する手法です。イタリアやドイツなどヨーロッパを中心とした海外において、特定地域に限定したWebからの攻撃が多く報告されています。日本においても、ジャストシステム「一太郎」が攻撃対象になるなど、悪意ある攻撃者から狙われ始めているため危険性が増してきたといえます。
　

ウイルス感染被害半期レポート　2007年度上半期
（2007年1月1日～6月30日　トレンドマイクロ調べ）

上半期のウイルス傾向　トレンドマイクロ　ウイルス解析担当者コメント

トピック（1）：Webからの脅威

今年に入ってから、正規サイトの改ざんによるWebから攻撃の頻度が増しています。まず、1月末にスーパーボウルの公式スタジアムのWebサイト改ざんが確認されました。3月末には「アニメーションカーソル処理の脆弱性」に対するゼロデイ攻撃では、アジアで多数のサイトが改ざんされました。また、6月にはイタリアをはじめとするヨーロッパにおいて1000サイト以上の改ざんが確認されています。これらのケースはすべて不正サイトへアクセスさせるスクリプトタグを一行埋め込むという手口です。
このような正規サイト改ざんケースの裏には、セキュリティホール攻撃用ツールによる自動的な攻撃があります。特にイタリアをはじめとするヨーロッパへの攻撃にはロシアのアングラサイトで販売されたセキュリティホール攻撃用のツール「MPACK（エムパック）」が使用されたものと見られています。このように攻撃ツールの作成も一種の商売となり、それによって大きな規模で攻撃が行われ易くなっているという構図が明るみになってきました。

トピック（2）：ゼロデイアタックの日常化

セキュリティパッチ公開前の脆弱性を攻撃するゼロデイアタックが定例化しました。Microsoft Wordの脆弱性、Microsoft Excelの脆弱性などのMicrosoft Officeに対する攻撃だけでなく、3月末に確認されたアニメーションカーソル処理の脆弱性やYahoo! Messengerの脆弱性、ジャストシステム「一太郎」の脆弱性、日本製圧縮解凍ソフト「+Lhaca」の脆弱性を標的にしたゼロデイアタックが確認されました。メジャーなアプリケーションだけを標的にするのではなく、標的対象の範囲が広がってきているとともに、ネットワークを経由した攻撃に利用されています。日本においてゼロデイ攻撃からの大きな被害は今までに確認されていませんが、日本製のアプリケーションも狙われていることから、今後は警戒が必要です。

トピック（3）：マスメール型ワームの変貌

不正プログラムの作者の目的が具体的な利得に移行した現在、マスメール型ワームの動きにも変化が現れています。昨年末大流行した「STRATION（ストレーション）」以来、「Storm Worm（ストームワーム）」と一般に呼ばれた「TROJ_SMALL.EDW（スモール）」、「WORM_NUWAR（ヌーウォー）」ファミリーも、大量の亜種の頒布、亜種による機能強化、侵入後の不正プログラムダウンロードによる複合感染といったシーケンシャル攻撃を行い、ネットワーク攻撃を拡散するための手段として利用されています。今後もこのようなシーケンシャル攻撃が行われる可能性が高いため、不審なメールやファイルに対して注意をするだけでなく、複合感染を防止するためにウイルスがアクセスする不正Webサイトへの接続をブロックするURLフィルタリング機能の活用が効果的です。

ウイルス感染被害マンスリーレポート　2007年6月度

6月のウイルス傾向　トレンドマイクロ　ウイルス解析担当者コメント

今月の全体的なウイルス感染被害報告数は4799件となり、先月（5145件）から続き、3ヶ月連続で減少しています。
今月はイタリアをはじめ、ヨーロッパ地域において大規模なWeb経由の攻撃が確認されています。今回の手口としては、正規のサイトを改ざんし、Internet Explorer のセキュリティホールを攻撃する不正サイトに誘導され、最終的には複数の不正プログラムやスパイウェアが侵入してしまうものです。このような正規サイトの改ざんによるウイルス攻撃は、3月末に発生した「アニメーションカーソル処理の脆弱性」に対するゼロデイ攻撃と同様のものです。今後も同様の手口が、ヨーロッパに限らず他の地域においても発生する可能性が高いため、十分に注意していただくとともに、URL情報をベースにした対策を活用していただきたいと思います。
　

新種ウイルス情報

■「TROJ_LHDROPPER.A」（エルエイチドロッパー）

この不正プログラムは、悪意のあるWebサイトにアクセスしたユーザが誤ってダウンロードすることによりコンピュータへ侵入します。日本製の圧縮解凍ソフトである「+Lhaca」のセキュリティホールを利用して、日本語のファイル名を使用した空白のPPTファイルを含むLZHファイルと不正プログラムを作成、実行します。これらのプログラムが実行されると、自身を隠蔽し、外部の悪意あるユーザからコンピュータを操られる可能性があります。
・「TROJ_LHDROPPER.A」詳細情報：
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_LHDROPPER.A

トレンドマイクロ ウイルス情報
http://www.trendmicro.co.jp/vinfo/

●トレンド フレックス セキュリティ
無償でウイルスやスパイウェアを検出・削除できるオンラインスキャンを提供しています。
http://www.trendflexsecurity.jp/

●Webからの脅威
Webからの脅威の概要や実例、弊社の取組みに関して紹介しています。
http://www.trendmicro.co.jp/web-threats/

※TRENDMICROはトレンドマイクロ株式会社の登録商標です。
※各社の社名および製品名は、各社の商標又は登録商標です。
Copyright (c) 2007 Trend Micro Incorporated. All Rights Reserved.