インターネット脅威マンスリーレポート - 2008年上半期・6月度

インターネット脅威レポート【2008年上半期および6月度】

～USBメモリが感染経路の盲点、最終目的はオンラインゲーム情報が主流～

　トレンドマイクロ株式会社（本社：東京都渋谷区 代表取締役社長 兼 CEO：エバ・チェン、東証一部：4704）は、2008年度上半期のインターネット脅威レポート（2008年1月1日～6月30日までのデータを集計、日本国内）をお知らせするとともに、上半期の不正プログラムの状況を総括いたします。またあわせて2008年6月度のインターネット脅威マンスリーレポート（日本国内）をお知らせいたします。

2008年上半期の脅威傾向　トレンドマイクロ リージョナルトレンドラボ コメント

　2008年上半期の日本国内における不正プログラム感染被害報告数は14878件と、昨年の上半期の37363件と比較すると大きく減少しています。上半期は、不正プログラムの感染報告として、USBメモリなどリムーバブルメディアの自動実行機能を悪用する｢MAL_OTORUN1(オートラン)｣が最も多く報告されました。オートランの報告数は2月から5月まで4ヶ月連続で1位となりました。不正プログラムの多様化が進み、順位の入れ替わりが激しい最近では珍しい現象です。USBメモリは不特定のユーザやコンピュータで使いまわすケースも多く、メール等に比べセキュリティ意識も低いため、再感染が続いていると見られます。
　また、オンラインゲームの情報を盗む不正プログラムが大量に作成・配布されたのも上半期の特徴です。トレンドマイクロにて能動的に収集したデータによると、上半期はオンラインゲーム関連の不正プログラム｢TSPY_ONLINEG（オンラインゲーム）｣が、作成（検体数）と配布（URL数）から総合的に見ると最も多く、ウイルス作成者がオンラインゲーム関連の情報詐取に注力したことがうかがえます。
　2007年に猛威を振るっている「Webからの脅威」が、2008年上半期もその勢いを維持しています。3位の｢JS_IFRAME(アイフレーム)｣を使用した不正なWebサイトへの誘導が頻発しています。また、不正なドメインのうち約46％が、確認されてから30日以内に削除されており、不正プログラムの配布者の多くが、短期間で配布場所を変更することで、捜査機関からの追跡を避けようとしている姿勢が読み取れます（グラフ1）。なお、不正プログラムを配布するWebサイトにおいて、「com」や「net」を除き、中国のドメインからの配布が最も多く確認されたことも特徴的です（表2）。

表1：不正プログラム感染被害報告数ランキング　2008年上半期

※このランキングは、2008年1月1日から6月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2008年7月3日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。

2008年上半期　トピック

トピック①：USBメモリを悪用する不正プログラムが蔓延
　不正プログラム感染報告ランキング（表1）を見ると、USBメモリなどを媒介とする不正な設定ファイル「MAL_OTORUN1」が517件で1位となっています。また、「MAL_OTORUN1」を悪用する代表的なワームである「WORM_AUTORUN」も10位に入るなど、USBメモリなどのリムーバブルメディア経由の感染が、個人や企業を問わず、多くのユーザにとってセキュリティ上の盲点になっている傾向が浮き彫りとなりました。USBメモリという物理的なメディアを感染経路としていることから、メール経由の感染などと比べて感染数が爆発的に増加することはないと考えられますが、USBメモリ経由の不正プログラムの感染報告は継続する懸念があります。ユーザにおいては忘れがちであるUSBメモリの定期的なウイルスチェックが重要です。

トピック②：攻撃者はオンラインゲーム関連の不正プログラムに注力
感染報告（表1）では、オンラインゲームのIDやパスワードを盗む「TSPY_ONLINEG」が6位、「MAL_NSANTI（エヌサンティ）」が8位に入りました。スレットモニタリングセンターで収集した検体の種類と配布URL数（表3）でも1位に入るなど、オンラインゲーム関連の不正プログラムが大量に作成・配布されたことも2008年上半期の特徴です。オンラインゲームが狙われる理由としては、ゲーム上のアイテムを実際の現金で売買するRMT（リアルマネートレード）市場の存在、ユーザが被害を受けた際の対応の仕方が分からないため犯人が特定される危険性が低いことなどが考えられます。オンラインゲームをされる方は、オンラインゲーム上のアイテムなどが意図せずになくなっている場合、オンラインゲーム関連の不正プログラムに感染していないか確認することをおすすめします。

トピック③：不正なドメインの生存期間は30日程度、不正プログラム配布は国別で中国がトップ
感染報告（表1）では、あるWebサイトから別の不正なWebサイトにユーザを誘導することを目的とする「JS_IFRAME（アイフレーム）」が3位に入っており、無害なWebサイトを経由し不正なWebサイトへ誘導することで、ユーザが感染に気づきにくくしようとする犯人側の巧妙な手口がうかがえます。不正なWebサイトへの誘導手段としてアイフレームが使われることが多いため、他の不正プログラムと比べ報告数が集中したと考えられます。不正なドメインの生存期間（グラフ1）を見ると、上半期の不正なドメインのうち約46％が存在を確認してから30日以内に削除されていました。トップレベルドメイン別取得検体数ランキング（表2）では、国別ドメインで「cn（中国）」が最も多く、中国に置かれたサーバが不正プログラムの配布に悪用されているケースが多くなっています。

スレットモニタリングセンター収集データ　2008年上半期の傾向

※グラフ1と表2・3は、日本のリージョナルトレンドラボ　スレットモニタリングセンターで分析した不正プログラムおよび不正なURL・ドメインの状況です。「ユニーク数」はファイルとして異なるものをカウントした数、「のべ数」は取得したファイルの総数です。

グラフ1：不正Webサイトの生存期間　2008年上半期
～約46％が30日以内に削除される～

30日以内にアクセス不可になるWebサイトが約46％を占める一方で、171日以上アクセス可能なものが約28％を占めます。本グラフで「171～180日」に含まれるWebサイトには、181日以上継続するものが数多く含まれると予想できるため、30日以内という短期間で積極的に配布を行うケースと、中長期間にわたり同一のドメインで罠を張り続けるケース、または放置されている状況が読み取れます。

表2：トップレベルドメイン別の取得検体数ランキング　上位10ドメイン　2008年上半期
～国別ドメインでは中国がトップ～

世界中で取得しやすい「com」「net」が多く悪用されているほか、国別では中国が群を抜いており、ドメイン管理または第三者の乗っ取り等に対するWebサーバのセキュリティが低い可能性が示唆されます。また昨年、今年と大規模なWebサイト改ざんが行われたイタリア（it）がランク入りしています。

表3：不正プログラム別　攻撃者注力度ランキング　2008年上半期
～ウイルス作成者は、オンラインゲーム関連の不正プログラムに注力～

新しく作成された不正プログラムの種類（ユニーク数）と配布機会の多さ（URL数）により、攻撃者側の注力度がわかります。2008年上半期は、オンラインゲーム関連の不正プログラムである「TSPY_ONLINEG」が1位となっています。また、他の不正プログラムをダウンロードするトロイの木馬や不正なダイアルアップを行うものも数多く確認されています。

2008年6月の脅威傾向　トレンドマイクロ リージョナルトレンドラボ コメント

6月の不正プログラム感染被害の総報告数は4232件で、5月の3167件から増加しています。Webサイトでダウンロードされるバックドア「BKDR_AGENT（エージェント）」や不正Webサイトにリダイレクトする「JS_IFRAME」が上位です。また、「TSPY_ONLINEG」は、引き続き6位に入っており、6月もオンラインゲーム関連の情報を盗もうとする攻撃者の狙いがうかがえます。スレットモニタリングセンターにて収集した不正プログラムのうち、オンラインゲーム関連の不正プログラム（「TSPY_ONLINEG」、「TSPY_ONLING」、「WORM_ONLINEG」）のトップレベルドメインごとの取得検体数を調査したところ、他の不正プログラムに比べて、オンラインゲーム関連の不正プログラムは、「com」と「cn」に全体の約71％の検体が置かれており、商用サイトと中国のサイトから多く配布されていたことが確認されました。

表4：不正プログラム感染被害報告数ランキング　2008年6月

※このランキングは、2008年6月1日から6月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2008年7月3日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。

6月の不正プログラム収集状況

※グラフ2・表5は、日本のリージョナルトレンドラボ･スレットモニタリングセンターのハニーポット等で収集した不正プログラムの6月の状況です。「ユニーク数」はファイルとして異なるものをカウントした数、「のべ数」は取得したファイルの総数です

グラフ2：主な不正プログラムが配布されたドメイン　2008年6月
～オンラインゲームとUSBワームは多岐ドメイン、ダイアラーとアイフレームは「com」～

ダイアラーとアイフレームは95％以上が最も一般的なドメイン「com」で配布され、地域性は見られません。オンラインゲーム関連のものがほとんど中国と「com」で配布され、USBワームは台湾・中国で約39％の検体が配布されており、アジアを中心に配布が行われている状況がうかがえます。

表5：Web CrawlerおよびHoney Clientで取得した検体数ランキング　2008年6月
～Web全般ではユーザを騙す不正プログラム、最終目的はオンラインゲーム関連～

Web Crawler(不正Webサイトの巡回)

Honey Client(不正プログラムによるダウンロード)

Web Crawler で取得された不正プログラムの中では、偽セキュリティソフト「TROJ_FAKEAV.U」や広告を表示する「ADW_MOKEAD」などユーザが視覚的に認識できるものが多く、ユーザの意識的なWebサイトへのアクセスを前提としています。Honey Clientで取得された不正プログラムでは、「TSPY_ONLING」というオンラインゲーム関連の不正プログラムが多く収集され、不正プログラム同士の連携の最終目的がオンラインゲーム関連の情報であったと考えられます。