インターネット脅威マンスリーレポート - 2008年9月度
インターネット脅威マンスリーレポート【2008年9月度】
~USBメモリ関連の不正プログラム「オートラン」の報告数が過去最多に~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2008年9月度のインターネット脅威マンスリーレポート(日本国内)をお知らせします。
9月の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
9月の不正プログラム感染被害の総報告数は5847件で、8月の6520件から減少しています。感染被害報告数ランキング(表1)では、USBメモリ関連の不正プログラムである「MAL_OTORUN(オートラン)」が8月に引き続いて1位となっており、前月報告数143件と比較すると2倍以上の感染報告数が集まっています。背景として、不正なautorun.infによるリムーバブルメディアへの感染機能が、USBワームと呼ばれる「WORM_AUTORUN(オートラン)」だけではなく、その他のワームにも感染活動の一つとして定番化してきたことが挙げられます。実際に、リージョナルトレンドラボにて9月に収集した新しいワーム検体(※1)のうち53.7%がUSBメモリに感染する機能を備えていました。また、9月中旬には、VisaやMasterCardといったクレジットカード会社からのメールに偽装したウイルスメールが日本国内でも発見されており、このメールはUSBメモリ関連の不正プログラムの配布を目的としていたことが確認されました。
※1 HoneyClientで収集した検体(グラフ1を参照)
感染被害報告ランキングの5位の「TROJ_FAKEAV(フェイクエイブイ)」は、偽セキュリティソフトの1つです。これは、偽のウイルス感染警告を表示してユーザの不安感を煽り、偽セキュリティソフトの購入を促します。購入画面では個人情報の入力が必要となり、詐欺行為の被害に加えて、個人情報漏えいの被害も予想されるため、ウイルス感染警告の画面が表示されても、慌てずに周囲の方やお使いのウイルス対策ソフトメーカーに確認することをおすすめします。
また、修正プログラム公開の9月11日まで情報公開は控えられていましたが、8月下旬に日本語ワープロソフト「一太郎」の脆弱性を悪用する不正プログラムの流通が確認されていました。スパムメールに添付される形で配布され、添付ファイルには日本語のファイル名がつけられています。2006年、2007年にも、一太郎の脆弱性をつく不正プログラムの流通は確認されており、日本独自のアプリケーションが本格的に攻撃対象となっています。たとえなじみのある相手からのメールでも、少しでも不審に思った場合には不用意にメールや添付ファイルを開かずに、送信元に直接確認するなどの慎重さがますます必要になってきています。
表1:不正プログラム感染被害報告数ランキング 2008年9月度
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
1位 | オートラン | その他 | 347件 | 1位 | |
2位 | エージェント | バックドア | 81件 | 2位 | |
3位 | アイフレーム | Java Script | 50件 | 6位 | |
4位 | ハイフレーム | その他 | 34件 | 7位 | |
4位 | ビーオーエイチミニ | トロイの木馬型 | 34件 | NEW | |
6位 | フェイクエイブイ | トロイの木馬型 | 30件 | 圏外 | |
7位 | ブイビー | トロイの木馬型 | 27件 | 圏外 | |
8位 | レノス | トロイの木馬型 | 24件 | 3位 | |
8位 | オートラン | ワーム | 24位 | 圏外 | |
10位 | ペークス | トロイの木馬型 | 22件 | 圏外 |
※このランキングは、2008年9月1日から9月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2008年10月6日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
9月の不正プログラム収集状況
※表2・3およびグラフ1は、日本のリージョナルトレンドラボ・スレットモニタリングセンターのハニーポット等で収集した不正プログラムの状況です。「ユニーク数」はファイルとして異なるものをカウントした数、「のべ数」は取得したファイルの総数です。「既知」は入手時点で当社データベースに登録済みのファイル、「新規」は解析後に不正プログラムとして登録したファイルです。
表2:不正プログラム別 攻撃者注力度ランキング
順位 | 検出名 | ユニーク数×URL数 |
|---|---|---|
1位 | TSPY_ONLINEG | 33615(415×81) |
2位 | TROJ_AGENT | 13482(126×107) |
3位 | TROJ_DIALER | 6314(287×22) |
4位 | TROJ_DLOADER | 6072(69×88) |
5位 | TSPY_GAMETHIE | 2880(90×32) |
不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がわかります。オンラインゲームの情報を盗む「TSPY_ONLINEG」や「TSPY_GAMETHIE」がランクインしており、オンラインゲームのアカウント情報は、引き続き攻撃の動機となっているようです。また、ネットワークの接続先を勝手に変更する「TROJ_DIALER」も3位にランクインしており、ダイアルアップ環境を狙った攻撃も廃れていないことがうかがえます。
表3:Honey Clientで取得した新規検体数ランキング(上位5種)
| のべ数 | ユニーク数 | ||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
|
「Honey Client」は、検体収集用のおとりコンピュータ上で不正プログラムを実行し、ダウンロードされるファイルを収集するハニーポットシステムです。ダウンローダ型不正プログラム「TROJ_OBFSUCA.BWA」の亜種が、のべ数で2位、ユニーク数で1位にランクインしており、ダウンローダ型不正プログラムを複数種使用することで、ユーザを多重感染させようとする攻撃者の意図が読み取れます。
グラフ1:USBメモリ感染機能を持つ(不正なautorun,infを作成する)ワームの割合
「Honey Client」で収集したワームの中で、不正なautorun.infを作成するものは全体の53.7%を占めています。この中には代表的なUSBワームである「WORM_AUTORUN」のほか、「WORM_LINEAGE」、「WORM_ONLINEG」などのオンラインゲーム関連の不正プログラムも含まれており、USBメモリを侵入経路とする手口が一般化してきています。
