インターネット脅威年間レポート - 2008年度(最終版)
2008年度インターネット脅威年間レポート 「Webからの脅威」の発端が多様化、セキュリティ意識の盲点が攻撃の狙い目に【最終版】
~2008年1月1日~12月31日データ~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2008年度のインターネット脅威レポート(日本国内)をお知らせします。
※このレポートは2008年12月18日にご報告した速報(2008年1月1日~12月15日分)の最終版になります。
2008年の不正プログラム感染被害の総報告数は56880件で、2007年同時期の63726件から約10.7%減少しています。しかし、USBメモリをはじめとするリムーバブルメディアの不正な設定ファイル「MAL_OTORUN(オートラン)」の被害が非常に目立つ一年となりました。「MAL_OTORUN」は、2008年1月から12月までの期間において通算9ヶ月で1位となり、年間の2870件は、被害の分散化が進んだ2005年以来、年間で最も報告数を集めた不正プログラムとなっています(表1)。
また、コンピュータに侵入した不正プログラムがWebサイトに接続し、別のプログラムをダウンロードする「Webからの脅威」が感染報告のほとんどを占める状況となっており、攻撃者にとっては、いかに最初の攻撃を成功させ、悪意のWebアクセスにつなげるかが関心事になっています。
攻撃の発端となる侵入経路は多様化しており、ユーザが注意を払うアンダーグラウンドなWebサイトやアダルトサイト、英語の迷惑メール以外に、一般にセキュリティ意識の盲点となるUSBメモリや正規Webサイトの改ざんといった手法まで広がりを見せています。加えて、偽セキュリティソフトを代表とするソーシャルエンジニアリング手法による詐欺・脅しといった手口も流行しました。攻撃の最終目標は換金できる情報をコンピュータ・ネットワークから盗み取ることにあり、2008年はオンラインゲームに関連したID・パスワード情報を狙う不正プログラムが最も多く発見されました(表2)。海外ドメインで配布された不正プログラムで日本国内のユーザが被害を受けるケースも多く、国・地域に依存しにくいインターネット犯罪として、ローリスクで金銭を取得しやすいものが今後も標的になると考えられます。
攻撃者は、情報をより効率的に盗むため、ユーザに気付かれないよう不正プログラムを侵入させ、見えない形でWebによる連鎖活動を行うことにますます注力していくことでしょう。2008年はUSBメモリによる感染が目立ちましたが、リムーバブルメディアであるSDカードやCFカードにも同様の危険性は存在し、少ないながらも実際に感染が報告されてきています。攻撃者がユーザの盲点を狙ってくる以上、「これに注意すれば絶対に大丈夫」と思う自信が隙につながる恐れがあります。
表1:不正プログラム感染被害報告数ランキング 2008年度
順位 | 検出名 | 通称 | 種別 | 件数 | 前年順位 |
|---|---|---|---|---|---|
1位 | オートラン | その他 | 2870件 | NEW | |
2位 | エージェント | バックドア | 818件 | 1位 | |
3位 | アイフレーム | Java Script | 596件 | NEW | |
4位 | ハイフレーム | その他 | 456件 | NEW | |
5位 | ゲームシーフ | トロイの木馬型 | 411件 | NEW | |
6位 | オンラインゲーム | トロイの木馬型 | 333件 | 圏外 | |
7位 | ヴァンドー | トロイの木馬型 | 268件 | 2位 | |
8位 | リネージュ | トロイの木馬型 | 264件 | 圏外 | |
9位 | レノス | トロイの木馬型 | 226件 | 圏外 | |
10位 | キャバット | トロイの木馬型 | 187件 | NEW |
※このランキングは、2008年1月1日から12月31日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2009年1月3日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
2008年度の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
2008年の総括:多様な経路から不正プログラムが侵入し、「Webからの脅威」に発展
2008年はWebで連鎖的に不正プログラムをダウンロードする「Webからの脅威」が定番になり、そのきっかけとなる手法は多様化しました。従来の不正なWebや迷惑メール以外からも不正プログラムが侵入し、自動的にWebサイトへ接続し、結果的に「Webからの脅威」に発展します。攻撃者はいまやあらゆる手段を用いて、複合感染のきっかけとなる不正プログラムをユーザのコンピュータに侵入させ、換金性の高い情報を盗み取ることに注力しています。そのため手口の多様化・巧妙化はますます進んでおり、よりユーザのセキュリティ意識が低い経路が狙われています。
トピック(1):リムーバブルメディアによる再感染―USBワーム
2月より登場したリムーバブルメディアの不正な設定ファイル「MAL_OTORUN」が蔓延しました。コンピュータ・ネットワークのようにセキュリティソフト等による定期的な検査・管理が行き届きにくいUSBメモリ等の物理的なデータ移動手段が盲点として狙われています。USBメモリの使用前にウイルス対策ソフトで手動検索をするとともに、不特定多数の人とUSBメモリを共有しないなどの運用面の見直しも必要です。
トピック(2):換金性の高い情報の搾取―オンラインゲームを狙う不正プログラム
オンラインゲーム関連の不正プログラムは、攻撃者の注力度ランキング(表2)で1位となり、Web上で盛んに配布され、攻撃者の注力度が最も高かった不正プログラムです。これらはキー入力情報を盗む、パスワードが設定されているファイルを外部に送信するなどの方法を使います。今後は同様の手口が、他の換金性のある情報を盗む目的で使われる可能性もあります。
トピック(3):ユーザの不安感を煽る脅しの手口―偽セキュリティソフト
8月、9月には偽セキュリティソフト「TROJ_FAKEAV(フェイクエイブイ)」が流行しました。以前から偽セキュリティソフトは確認されていましたが、不安感を煽るためにデスクトップの壁紙を偽のウイルス感染警告を表示するものに変更するなど、ユーザを巧妙に騙すものになっています。もし、見慣れない警告が表示されても、慌てずに信頼できるメーカーのサポートセンターや周囲の方に相談することをお勧めします。
トピック(4):正規サイトの改ざん―SQLインジェクションを自動化する不正プログラム
7月には、「TROJ_ASPROX(アスプロクス)」に感染したコンピュータによる大量のWeb改ざんが発生しました。この際には日本国内で約1万ページ、全世界で最大21万ページに改ざんの可能性が確認されました。以降も断続的にSQLインジェクションによるWeb改ざんが発生しており、不正プログラムを配布する準備の一つとして一般化してきていると思われます。Webサイトの運営側は、自身のサイトに脆弱性がないか定期的にチェック・対策を行うことがこれまで以上に重要になってきています。
表2:不正プログラム別 攻撃者注力度ランキング(既知および新規) 2008年1月1日~12月31日
順位 | 検出名 | ユニーク数×URL数 |
|---|---|---|
1位 | TSPY_ONLINEG | 3098982(3903×794) |
2位 | TROJ_AGENT | 2482920(2376×1045) |
3位 | TROJ_DLOADER | 2098503(1927×1089) |
4位 | DIAL_SAPIR | 425628(3378×126) |
5位 | TROJ_DROPPER | 246285(585×421) |
不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がわかります。1位の「TSPY_ONLINEG」はオンラインゲーム関連の不正プログラムであり、オンラインゲームのアカウント情報は、攻撃者にとって最も金銭的利益を得やすい情報となっています。
表3:トップレベルドメイン別の取得検体数ランキング 2008年1月1日~12月31日
順位 | トップドメイン | 検体数(のべ) |
|---|---|---|
1位 | com(商用サイト) | 278564 |
2位 | cn(中国) | 51636 |
3位 | net(ネットワーク) | 32871 |
4位 | org(教育機関) | 9135 |
5位 | info(情報提供) | 7298 |
6位 | pl(ポーランド) | 6911 |
7位 | fr(フランス) | 5047 |
8位 | ar(アルゼンチン) | 4413 |
9位 | ru(ロシア) | 3625 |
10位 | kr(韓国) | 2279 |
1位の「com」に続き、中国「cn」が2位となっています。中国は、国別では次点のポーランドの7倍以上となり、背景としてレンタルサーバのコストメリットなどが考えられます。
※表2・3は、日本のリージョナルトレンドラボ・スレットモニタリングセンターのハニーポット等で収集した不正プログラムの状況です。「ユニーク数」はファイルとして異なるものをカウントした数、「のべ数」は取得したファイルの総数です。「既知」は入手時点で当社データベースに登録済みのファイル、「新規」は解析後に不正プログラムとして登録したファイルです。
今後、懸念される脅威の傾向:「Webからの脅威」の多様化とマスへの攻撃のリバイバル
完全に定番となった「Webからの脅威」は、今後も継続すると考えられます。一方、複合感染の発端となる侵入口は多様化の傾向にあります。攻撃者は最初の不正プログラムをいかにコンピュータに侵入させるかに手法を凝らしてくるでしょう。2008年は、USBメモリが目立ちましたが、同様のリムーバブルメディアであるSDカードやCFカード等による感染にも注意が必要となります。攻撃の入り口としては、正規サイトの改ざんやユーザを欺くソーシャルエンジニアリングも続くことが予測されます。
また、標的を絞ったターゲット型の攻撃も残る一方で、不特定多数への攻撃もリバイバルの傾向にあります。無差別にWeb改ざんを行う不正プログラムなどはその典型です。オンラインゲームのアカウント情報詐取を代表とするローリスク・ローリターンの行為を繰り返すことで大きな利益を得るアンダーグラウンドビジネスでは、手当たり次第の攻撃も有効となっている背景がうかがえます。
