インターネット脅威マンスリーレポート - 2009年5月度
インターネット脅威マンスリーレポート【2009年5月度】
~新型インフルエンザ騒動に便乗したスパムメールが登場~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2009年5月度のインターネット脅威マンスリーレポート(日本国内)をお知らせします。
5月の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
5月の不正プログラム感染被害の総報告数は4496件で、4月の4125件から増加しています。感染報告数ランキング(表1)では、主にUSBメモリを悪用する不正な設定ファイル「MAL_OTORUN(オートラン)」が4月から微増しており、新しく作成された不正プログラムにもUSBメモリを悪用する手口が使われていると思われます。
4月末には、新型インフルエンザ騒動に便乗したスパムメールの国内の流通が確認されました。メールタイトルは、新型インフルエンザに対する注意喚起をユーザに促すもので、メールに添付されたファイルはAcrobatの脆弱性を狙うPDFファイルです。また、PDFファイルは新型インフルエンザに関する警告の文面に偽装されています。海外でも同様に、新型インフルエンザ騒動に便乗したスパムメールが流通しており、タイトルを新型インフルエンザに関連するものに偽装しているとともに、医薬品のオンライン販売サイトへ誘導するためのURLが記載されています。一般的にスパムメールには、ダイエット用品などの医薬品や偽ブランド品を販売するサイトに誘導しようとするものが多く、社会的事項を利用する他にもメールタイトルに「Hi」や「Re:」などを付けることによって、ユーザが一度でも連絡を取った相手からのメールと錯覚するような細工がなされています。ユーザとしては、社会的事項の情報は正規のニュースサイトなどから入手するとともに、タイトルに知人からと思われるメッセージが付けられていても落ち着いて内容を確認し、不用意に不審な添付ファイルを開いたり、URLをクリックしないことが基本です。
5月は引き続き「BKDR_AGENT(エージェント)」の亜種「JS_AGENT」などを埋め込む、Webサイト改ざんが確認されています。改ざんされたサイトの中には、最終的にFTPサーバのアカウントを盗む「TROJ_SEEKWEL(シークウェル)」がダウンロードされるケースが確認されており、盗み取ったアカウントを悪用して別のWebサイトを改ざんしようとする狙いがあるようです。Webを閲覧するユーザは、こうした改ざんされたサイトから不正なサイトに誘導されないようにするためにも、セキュリティ製品の危険なWebサイトへのアクセスをブロックする機能を利用することが有効です。
表1:不正プログラム感染被害報告数ランキング 2009年5月度
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
1位 | オートラン | その他 | 413件 | 1位 | |
2位 | TROJ_SEEKWEL | シークウェル | トロイの木馬型 | 186件 | NEW |
3位 | ダウンアド | ワーム | 157件 | 2位 | |
4位 | エージェント | バックドア | 68件 | 3位 | |
5位 | オンラインゲーム | トロイの木馬型 | 48件 | 8位 |
|
6位 | ヴァンドー | トロイの木馬型 | 46件 | 4位 | |
7位 | アイフレーム | Java Script | 38件 | 6位 |
|
8位 | ハイフレーム | その他 | 35件 | 7位 | |
9位 | スモール | トロイの木馬型 | 25件 | 圏外 | |
10位 | ディーローダー | トロイの木馬型 | 17件 | 圏外 |
※このランキングは、2009年5月1日から5月31日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2009年6月2日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。 ※個々の検出名に関しては、亜種も含んでカウントしています。
5月の不正プログラム収集状況
※表2は、日本のリージョナルトレンドラボ・スレットモニタリングセンターのハニーポット等で収集した不正プログラムの状況です。「ユニーク数」はファイルとして異なるものをカウントした数です。「既知」は入手時点で当社データベースに登録済みのファイル、「新規」は解析後に不正プログラムとして登録したファイルです。
表2:不正プログラム別 攻撃者注力度ランキング(既知および新規)
順位 | 検出名 | ユニーク数×URL数 |
|---|---|---|
1位 | TROJ_AGENT | 1806(42×43) |
2位 | TROJ_GAMETHI | 858(13×66) |
3位 | TROJ_DLOADER | 546(26×21) |
4位 | WORM_AUTORUN | 182(7×26) |
5位 | TROJ_DROPPER | 160(16×10) |
不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がわかります。1位の「TROJ_AGENT(エージェント)」、5位の「TROJ_DROPPER(ドロッパー)」は他の不正プログラムを作成し、3位の「TROJ_DLOADER(ディーローダー)」は他の不正プログラムを外部からダウンロードします。攻撃者はこうした不正プログラムを利用することで連鎖攻撃を行っています。また、主にUSBメモリ経由で感染を広げる「WORM_AUTORUN(オートラン)」が4位に入っており、攻撃者にとっては、未だにUSBメモリをはじめとするリムーバブルメディアが有効な感染経路のようです。
図1:「JS_AGENT」などを使用した正規サイト改ざんの概念図
