インターネット脅威マンスリーレポート - 2009年1月度
インターネット脅威マンスリーレポート【2009年1月度】
~脆弱性を狙うダウンアドが段階的に進化中~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2009年1月度のインターネット脅威マンスリーレポート(日本国内)をお知らせします。
1月の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
1月の不正プログラム感染被害の総報告数は4972件で、先月12月の4732件から微増しており、2008年9月以来の減少傾向から増加に転じました。不正プログラム感染被害報告数ランキング(表1)では、USBメモリ関連の不正な設定ファイル「MAL_OTORUN(オートラン)」が2008年8月以来6ヶ月連続で1位となっていますが、2008年2月以来、最も報告数の多かった12月の640件から減少しています。
また、感染被害ランキングでは、「WORM_DOWNAD(ダウンアド)」が2位に入っており、前月の123件から増加しています。2008年末から「WORM_DOWNAD」の機能拡張が見られ、従来の脆弱性を利用してコンピュータに侵入する手法のほかに、辞書攻撃による共有ネットワーク経由やUSBメモリなどのリムーバブルメディア経由での感染手法を使用する亜種が確認されています。これらの亜種は、脆弱性の有無に関わらず感染する可能性があるため、注意が必要です。
実際にトレンドマイクロのサポートセンターにも、「WORM_DOWNAD」の拡張機能によって復旧が遅れたケースが報告されています。修正プログラムが未適用だったために、社内の数百台のコンピュータが感染した企業ユーザの例では、不正プログラムの駆除・修正プログラムの適用を行ったものの、辞書攻撃によってパスワードのセキュリティレベルの低いコンピュータへの再感染が続きました。このケースの他にも、USBメモリに感染する機能により、コンピュータ内の不正プログラムを駆除してもUSBメモリに不正プログラムが残っており、それを使用することでコンピュータへの再感染が起こっていると見られます。現在は自身の感染を広げるための機能拡張が見られますが、今後はシステム内部の情報漏えいのための機能の拡張などが予想され、まだ現段階の「WORM_DOWNAD」は、最終目的へ向けた段階的な進化の途上にあると見られます。
対策としては、マイクロソフトから公開されている修正プログラムを適用すること、かつトレンドマイクロの「WORM_DOWNAD駆除ツール」を使用して、社内のコンピュータが感染していないかチェックし、万が一感染していた場合は、同ツールでの駆除をおすすめします。また使用しているコンピュータのパスワードや共有ネットワークのアクセス権の見直し、USBメモリのチェックなどを行うことも必要です。
表1:不正プログラム感染被害報告数ランキング 2009年1月度
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
1位 | オートラン | その他 | 484件 | 1位 | |
2位 | ダウンアド | ワーム | 251件 | 2位 | |
3位 | エージェント | バックドア | 67件 | 3位 | |
4位 | ティディエスエス | バックドア | 48件 | 圏外 | |
5位 | ハイフレーム | その他 | 44件 | 4位 | |
6位 | ディーローダー | トロイの木馬型 | 43件 | 9位 | |
7位 | ヴァンドー | トロイの木馬型 | 40件 | 圏外 | |
8位 | アイフレーム | Java Script | 38件 | 6位 | |
9位 | オンラインゲーム | トロイの木馬型 | 36件 | 5位 | |
10位 | オートラン | ワーム | 28件 | 圏外 |
※このランキングは、2009年1月1日から1月31日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2009年2月3日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
1月の不正プログラム収集状況
※表2および表3は、日本のリージョナルトレンドラボ・スレットモニタリングセンターのハニーポット等で収集した不正プログラムの状況です。「のべ数」は取得したファイルの総数、「ユニーク数」はファイルとして異なるものをカウントした数です。「既知」は入手時点で当社データベースに登録済みのファイル、「新規」は解析後に不正プログラムとして登録したファイルです。
表2:不正プログラム別 攻撃者注力度ランキング(既知および新規)
順位 | 検出名 | ユニーク数×URL数 |
|---|---|---|
1位 | TSPY_ONLINEG | 11340(126×90) |
2位 | TROJ_AGENT |
3770(58×65) |
3位 | TROJ_GAMETHI | 2376(33×72) |
4位 | TROJ_DLOADER | 1584(36×44) |
5位 | TROJ_DROPPER | 1239(21×59) |
不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がわかります。1位のオンラインゲーム関連の不正プログラム「TSPY_ONLINEG」は、ユニーク数が前月の170件から126件に減少したものの、URL数では前月43件から90件に増加しており、攻撃者は不正プログラムの作成よりも配布するためのURLの用意に注力していたことがうかがえます。また、5位の「TROJ_DROPPER」はコンピュータに侵入後に別の不正プログラムを作成するもので、攻撃者は、こうしたタイプの不正プログラムを使用してコンピュータの複合感染を狙っています。
表3:WebCrawlerで取得した新規検体数ランキング
順位 | 検出名 | のべ数 |
|---|---|---|
1位 | TSPY_ONLINEG.MCL | 352 |
2位 | TSPY_ONLINEG.FSD |
252 |
3位 | TROJ_GAMETHI.DNZ | 220 |
4位 | TROJ_AGENTB.F | 124 |
5位 | BKDR_BIFROSE.MCS | 66 |
順位 | 検出名 | ユニーク数 |
|---|---|---|
1位 | TSPY_ONLINEG.MCL | 40 |
2位 | TSPY_ONLINEG.FSD |
12 |
3位 | BKDR_BIFROSE.MCS | 7 |
4位 | TROJ_AGENT.AIFN | 5 |
5位 | WORM_AUTORUN.MCS | 4 |
「Web Crawler」は悪意のWebサイトを巡回し、ダウンロードできるファイルを自動収集するハニーポットシステムです。のべ数・ユニーク数ともに、オンラインゲームのアカウント情報を狙う「TSPY_ONLINEG」の亜種が2種ランクインしており、攻撃者にとってのオンラインゲーム関連の情報のメリットの大きさがうかがえます。のべ数・ユニーク数ともに1位の「TSPY_ONLINEG.MCL」は、8種類の韓国・中国製のオンラインゲーム情報を狙っています。また、無料オンラインゲームなども含まれていることから、攻撃者が目的としているオンラインゲームが多様化していることがうかがえます。
図1:「WORM_DOWNAD」の拡張機能
