インターネット脅威マンスリーレポート - 2008年10月度
インターネット脅威マンスリーレポート【2008年10月度】
~USBワームに新しい機能~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2008年10月度のインターネット脅威マンスリーレポート(日本国内)をお知らせします。
10月の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
10月の不正プログラム感染被害の総報告数は5744件で、9月の5847件から大きく変わりません。感染被害報告数ランキング(表1)では、USBメモリ関連の不正プログラムである「MAL_OTORUN(オートラン)」が471件で、過去最多であった前月の347件を更新し、8月から3ヶ月連続で1位を維持しています。最近では発見・復旧を遅らせ、攻撃を成功させるために、USBメモリ経由で感染する不正プログラムの機能が発展しています。いくつか確認されている事例では、USBメモリ内に正規のinfファイルが存在している場合、不正なものに書き換える機能や、他の不正プログラムをダウンロードした後に自身を削除することで侵入の痕跡を消す機能があります。さらには、USBメモリに保存されている正常なファイルと同じ名前で不正プログラム本体のコピーを作成し、フォルダのアイコンで偽装する機能も確認されています(図1)。
攻撃者にとって特定の感染手法が通用することがわかると、これを応用・発展した手法が次々に現れるのは常ですが、ユーザにおける基本的な対策は変わりません。定期的にUSBメモリをセキュリティソフトで手動スキャンする、セキュリティが十分なコンピュータでのみUSBメモリを使用する、企業ではUSBメモリ使用に関してのポリシーを策定・実施するといった対策が必要です。
また、10月28日にはマイクロソフトから緊急のセキュリティ更新プログラム(MS08-067)が公開されました。Serverサービスの脆弱性が悪用されるとリモートで任意のコードが実行される可能性があります。ネットワーク経由で感染拡大する2003年8月の「WORM_MSBLAST(エムエスブラスト)」と同様の被害が懸念されましたが、実際に海外で感染が報告されたものの大規模には至らず、日本国内での報告はまだありません。Windowsの更新プログラムの自動更新機能やファイアウォール機能によってクライアント環境のセキュリティレベルが高まった結果といえるでしょう。しかし、依然としてセキュリティホールを悪用した攻撃は姿を変えて一般化しており、最近ではWindwsに加え、ワープロや表計算のソフト等の脆弱性も狙われているため、個別のアプリケーションの修正プログラムにも留意ください。
表1:不正プログラム感染被害報告数ランキング 2008年10月度
順位 |
検出名 |
通称 |
種別 |
件数 |
先月順位 |
|---|---|---|---|---|---|
1位 |
オートラン |
その他 |
471件 |
1位 |
|
2位 |
エージェント |
バックドア |
78件 |
2位 |
|
2位 |
ハイフレーム |
その他 |
78件 |
4位 |
|
4位 |
ディーローダー |
トロイの木馬型 |
56件 |
圏外 |
|
5位 |
オンラインゲーム |
トロイの木馬型 |
52件 |
圏外 |
|
6位 |
オートラン |
ワーム |
46件 |
8位 |
|
7位 |
ヴァンドー |
トロイの木馬型 |
43件 |
圏外 |
|
8位 |
フェイクエイブイ |
トロイの木馬型 |
42件 |
6位 |
|
9位 |
ゲームシーフ |
トロイの木馬型 |
39位 |
圏外 |
|
10位 |
アイフレーム |
Java Script |
25件 |
3位 |
※このランキングは、2008年10月1日から10月31日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2008年11月5日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
10月の不正プログラム収集状況
※表2・3は、日本のリージョナルトレンドラボ・スレットモニタリングセンターのハニーポット等で収集した不正プログラムの状況です。「ユニーク数」はファイルとして異なるものをカウントした数、「のべ数」は取得したファイルの総数です。「既知」は入手時点で当社データベースに登録済みのファイル、「新規」は解析後に不正プログラムとして登録したファイルです。
表2:不正プログラム別 攻撃者注力度ランキング(既知および新規)
順位 |
検出名 |
ユニーク数×URL数 |
|---|---|---|
1位 |
TSPY_ONLINEG |
19404(294×66) |
2位 |
TROJ_GAMETHI |
5247(99×53) |
3位 |
TROJ_AGENT |
3726(54×69) |
4位 |
TROJ_DLOADER |
2448(51×48) |
5位 |
WORM_AUTORUN |
1368(38×36) |
不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がわかります。1位に「TSPY_ONLINEG」、2位に「TROJ_GAMETHI」がランクインしており、ともに感染コンピュータ内の情報を盗み出すことを目的としています。また、4位には他の不正プログラムをダウンロードする「TROJ_DLOADER」がランクインしており、ダウンローダ型の不正プログラムを使用した連鎖的な攻撃が依然として主流であることがうかがえます。
表3:Honey Clientで取得した新規検体数ランキング(上位5種)
|
|
「Honey Client」は、検体収集用のおとりコンピュータ上で不正プログラムを実行し、ダウンロードされるファイルを収集するハニーポットシステムです。のべ数1位の「BKDR_AGENT.AQUH」は、感染するとコンピュータに侵入用のポートを開き、攻撃者が感染コンピュータに侵入できる環境を作ります。最も多かった攻撃の目的は、バックドアを仕掛けることであったと考えられます。
図1:USBワームのアイコン偽装
