インターネット脅威マンスリーレポート - 2008年11月度
インターネット脅威マンスリーレポート【2008年11月度】
~攻撃者の狙い目はUSBメモリ~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2008年11月度のインターネット脅威マンスリーレポート(日本国内)をお知らせします。
11月の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
11月の不正プログラム感染被害の総報告数は5207件で、10月の5744件から減少しています。しかし、この数ヶ月で、リムーバブルメディアの設定ファイルである「MAL_OTORUN(オートラン)」の感染報告数が急激に増加しています。感染被害報告数ランキング(表1)で「MAL_OTORUN」が8月以来4ヶ月連続1位となっており、総報告数における「MAL_OTORUN」の割合も11月は約11%と、本年で最も大きな割合となっています。この要因としては攻撃者によるUSBワームの作成・配布量の増加が考えられます。「WORM_AUTORUN」の注力度(ファイル種類数×配布URL数)の推移(グラフ1)を見ると、「WORM_AUTORUN」の配布量増加に従って、「MAL_OTORUN」の報告数も増加していることが分かります。
USBメモリ等のリムーバブルメディアを感染経路として狙う手法は、今や定番化の様を呈しており、攻撃者には不正プログラムを侵入させるための有効な手口と認識されているようです。「WORM_AUTORUN」以外にもリムーバブルメディアに自身をコピーする機能が付加される例も増えており、これも「MAL_OTORUN」の感染報告数増加の要因として挙げられます。
また、11月の感染報告ランキングでは、不正なWebサイトに誘導する不正プログラム「MAL_HIFRM(ハイフレーム)」が2位、「JS_IFRAME(アイフレーム)」が5位にランクインしています。これらの不正プログラムは、悪意のサイトに埋め込まれている他、正規サイトが改ざんされて埋め込まれるケースも多く確認されています。ユーザのWebアクセスをきっかけに不正なサイトに誘導する手法も攻撃者の狙い目になっています。
不正なWebサイトへの誘導はもちろん、USBワームも感染後にWebサイトから別の不正プログラムをダウンロードしてくる例がほとんどです。不正プログラムが勝手に不正なWebサイトに接続し、多重感染することを防ぐには、ユーザはセキュリティソフトのWebサイト安全性評価機能等を利用することが有効です。
表1:不正プログラム感染被害報告数ランキング 2008年11月度
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
1位 | オートラン | その他 | 611件 | 1位 | |
2位 | ハイフレーム | その他 | 89件 | 2位 | |
3位 | ゲームシーフ | トロイの木馬型 | 76件 | 9位 | |
4位 | オンラインゲーム | トロイの木馬型 | 67件 | 5位 | |
5位 | アイフレーム | Java Script | 65件 | 10位 | |
6位 | エージェント | バックドア | 64件 | 2位 | |
7位 | ダウンアド | ワーム | 60件 | NEW | |
8位 | ヴァンドー | トロイの木馬型 | 55件 | 7位 | |
9位 | ディーローダー | トロイの木馬型 | 44件 | 4位 | |
9位 | オートラン | ワーム | 44件 | 6位 |
※このランキングは、2008年11月1日から11月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2008年12月3日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
11月の不正プログラム収集状況
※表2・3およびグラフ1は、日本のリージョナルトレンドラボ・スレットモニタリングセンターのハニーポット等で収集した不正プログラムの状況です。「ユニーク数」はファイルとして異なるものをカウントした数、「のべ数」は取得したファイルの総数です。「既知」は入手時点で当社データベースに登録済みのファイル、「新規」は解析後に不正プログラムとして登録したファイルです。
表2:不正プログラム別 攻撃者注力度ランキング(既知および新規)
順位 | 検出名 | ユニーク数×URL数 |
|---|---|---|
1位 | TSPY_ONLINEG | 23564(274×86) |
2位 | TROJ_DLOADER | 2816(44×64) |
3位 | TROJ_GAMETHI | 1938(38×51) |
4位 | TROJ_AGENT | 1886(46×41) |
5位 | WORM_AUTORUN | 1804(44×41) |
不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がわかります。1位の「TSPY_ONLINEG」、3位の「TROJ_GAMETHI」は、感染報告数ランキングでもそれぞれ4位と3位にランクインしており、不正プログラムの大量配布によってユーザの感染報告数が増加したと考えられます。また2位の「TROJ_DLOADER」は、前月からユニーク数は若干減ったものの、配布されているURL数は増加しており、ダウンローダー型不正プログラムの配布されるWebサイトの作成が盛んであると考えられます。
グラフ1:「WORM_AUTORUN」攻撃者注力度と「MAL_OTORUN」報告数推移(2008年2月~11月)
表3:Honey Clientで取得した新規検体数ランキング(上位5種)
|
|
「Honey Client」は、検体収集用のおとりコンピュータ上で不正プログラムを実行し、ダウンロードされるファイルを収集するハニーポットシステムです。のべ数で1位の「TSPY_LDPINCHI.MF」はオンラインゲームのID・パスワードの情報を収集し、外部に送信する機能を持ちます。また、自身の存在を隠すルートキットを作成する機能を持つため、オンラインゲームの情報を狙う不正プログラムが巧妙化していることがうかがえます。
※TRENDMICROはトレンドマイクロ株式会社の登録商標です。
