インターネット脅威マンスリーレポート - 2009年上半期・6月度

インターネット脅威レポート【2009年上半期および6月度】

～USBメモリを悪用するダウンアドが猛威、Web改ざんも巧妙化～

　

　トレンドマイクロ株式会社（本社：東京都渋谷区 代表取締役社長 兼 CEO：エバ・チェン、東証一部：4704）は、2009年度上半期のインターネット脅威レポート（2009年1月1日～6月30日までのデータを集計、日本国内）をお知らせするとともに、上半期の不正プログラムの状況を総括いたします。またあわせて2009年6月度のインターネット脅威マンスリーレポート（日本国内）をお知らせいたします。

2009年上半期の脅威傾向　トレンドマイクロ リージョナルトレンドラボ コメント

　2009年上半期の日本国内における不正プログラム感染被害報告数は28628件と、昨年の上半期の14878件と比較すると約92%増加しています。上半期の不正プログラムの感染報告ランキング（表1）では、USBメモリなどリムーバブルメディアを悪用する不正な設定ファイル｢MAL_OTORUN(オートラン)｣が最も多く報告されました。「MAL_OTORUN」の報告数は、2008年8月以来、11ヶ月連続で1位となっています。また、2008年末からは、感染報告ランキング2位に入ったWindowsの脆弱性を狙う不正プログラム「WORM_DOWNAD（ダウンアド）」に、リムーバブルメディア経由の感染機能が追加された亜種が流行し、「MAL_OTORUN」の感染報告数増加につながったものと思われます。その後も「WORM_DOWNAD」は、偽セキュリティソフトをダウンロードする亜種、セキュリティ関連のサイトへのアクセスをブロックしようとする亜種も確認されており、感染経路の有効性に注目した攻撃者が「WORM_DOWNAD」に手を加えているものと見られます。
　また上半期は、4月から5月にかけて日本国内の正規サイトの改ざんが確認されました。感染報告ランキング3位の「BKDR_AGENT（エージェント）」の亜種「JS_AGENT」を正規サイトに埋め込む手口がとられており、最終的に感染コンピュータのFTPアカウントを盗む「TROJ_SEEKWEL（シークウェル）」がダウンロードされるケースが確認されています。今回の不正プログラムが置かれた不正なWebサイトには、ラトビアや中国のサーバが悪用されました。トップレベルドメイン別の取得検体数ランキング（表2）でも中国のドメイン「cn」が2位にランクインしており、中国のサーバを悪用した不正プログラムの配布が盛んに行われていることがうかがえます。

表1：不正プログラム感染被害報告数ランキング　2009年上半期

順位	検出名	通称	種別	件数	前年度同期順位
1位	MAL_OTORUN	オートラン	その他	2484件	1位
2位	WORM_DOWNAD	ダウンアド	ワーム	993件	NEW
3位	BKDR_AGENT	エージェント	バックドア	482件	2位
4位	TROJ_VUNDO	ヴァンドー	トロイの木馬型	330件	4位
5位	TSPY_ONLINEG	オンラインゲーム	トロイの木馬型	321件	6位
6位	TROJ_SEEKWEL	シークウェル	トロイの木馬型	300件	NEW
7位	JS_IFRAME	アイフレーム	Java Script	261件	3位
8位	MAL_HIFRM	ハイフレーム	その他	256件	9位
9位	BKDR_TDSS	ティディエスエス	バックドア	149件	NEW
10位	TROJ_DLOADER	ディーローダー	トロイの木馬型	136件	圏外

※このランキングは、2009年1月1日から6月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2009年7月3日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。

2009年上半期　トピック

トピック（１）：USBメモリによる感染の定番化
　不正プログラム感染報告ランキング（表1）では、USBメモリなどリムーバブルメディアを悪用する不正な設定ファイル「MAL_OTORUN（オートラン）」が2484件で1位となっています。これは、上位10種の報告数合計の約43.5％になります。2008年に引き続き、2009年上半期にUSBメモリ関連の脅威が流行した背景には、多くの不正プログラムでリムーバブルメディアへの感染機能が追加され、感染手法の一つとして定番化したことがあります。特に2008年11月より報告されている「WORM_DOWNAD（ダウンアド）」にUSBメモリ経由で感染する機能が追加され、多くの被害報告を集めました。オートランの中には、ウイルス対策ソフトの検知を逃れるために大量の無効なデータが書き込まれたものも確認されており、攻撃者がUSBメモリ経由の感染に着目し、感染確率を高めることに注力していることがうかがえます。

トピック（２）：企業でWindowsの脆弱性を利用するダウンアドが蔓延
　感染報告ランキングでは、Windowsの脆弱性を悪用してコンピュータに侵入する「WORM_DOWNAD」が2位に入っています。「WORM_DOWNAD」は2008年11月に流通が確認されて以来、8ヶ月連続で上位10種にランクインしています。流通当初、脆弱性の修正が完了していない企業を中心に被害が広がりましたが、2008年末よりUSBメモリなどのリムーバブルメディアを経由して感染する機能や同一ネットワーク内のコンピュータにパスワードクラックを行う機能などが追加された亜種の流通が確認され、脆弱性を修正していてもコンピュータが感染する事例が報告されています。また4月には、最終的に偽セキュリティソフトをダウンロードする亜種も確認しています。脆弱性の修正はもちろん、パスワードの設定やUSBメモリの運用ルールなど基本的なセキュリティ対策を再確認する契機となりました。

トピック（３）：国内正規サイトの改ざんによる感染報告の集中
4月には、一部でガンブラーとも呼ばれる「JS_AGENT（エージェント）」を用いた国内サイトの改ざんが確認されました。本攻撃は最終的にダウンロードされる不正プログラムが変化しており、5月中旬ごろからは感染コンピュータのFTPのアカウントを盗む「TROJ_SEEKWEL（シークウェル）」がダウンロードされることが確認されています。「TROJ_SEEKWEL」は5月に初めて確認され、5月・6月の2ヶ月の間で上半期上位10種にランクインしており、短期間に多くの被害報告が当社に寄せられました。これまでも国内では正規サイト改ざんは確認されていましたが、今回の攻撃ではセキュリティ製品の検知を逃れるために暗号化されたスクリプトが埋め込まれており、暗号化パターンも多様であったことが特徴的です。

スレットモニタリングセンター収集データ　2009年上半期の傾向

※グラフ1と表2は、日本のリージョナルトレンドラボ　スレットモニタリングセンターで分析した不正な通信および不正ドメインの状況です。「のべ数」は取得したファイルの総数です。また、「既知」は入手時点で当社データベースに登録済みのファイル、「新規」は解析後に不正プログラムとして登録したファイルです。

グラフ1：企業ユーザの不審な通信プロトコル別割合　2009年上半期
～不審な通信のうち8割以上がメール・Webの通信～

　本データは、トレンドマイクロの企業ユーザ向けネットワーク監視製品で2009年上半期に検出した不審な通信のうち、通信のプロトコル別の割合を示したグラフです。メールの送信時に使用されるSMTPが約45.4％、またWebサイトにアクセスする際に使用されるHTTPが約37.3％を占めており、企業内の不正な通信の8割以上はメール・Web関係の通信となっています。不正プログラムはHTTPを使用して別の不正プログラムをダウンロードする他に、自身のメール送信機能を使ってSMTPで情報を漏えいさせる活動を行うものもあります。こうした背景からメール・Web関係の通信の割合が大部分を占めたと思われます。
※このグラフは2009年1月1日～6月30日の期間に、企業ユーザ向けネットワーク監視製品「Trend Micro Threat Discovery Appliance」で検出した不審な通信をプロトコル別に集計したものです。調査期間は導入ユーザごとに異なります。

表2：トップレベルドメイン別の取得検体数ランキング　上位10ドメイン　2009年上半期
～中国のドメイン「cn」が「com」に次いで上半期2位に～

順位	トップレベルドメイン名	延べ数（既知および新規）
1位	com（商用サイト）	72298
2位	cn（中国）	28653
3位	net（ネットワーク）	8315
4位	pl（ポーランド）	4742
5位	org（教育機関）	4256
6位	kr（韓国）	2419
7位	ar（アルゼンチン）	2408
8位	info（情報提供）	2281
9位	fr（フランス）	1156
10位	uk（イギリス）	799

　世界中で取得しやすく、昨年同時期に2位であった「net」を中国のドメイン「cn」が抜き、「com」に次いで、2009年上半期2位となりました。4月以降確認された国内正規サイト改ざんでも、不正プログラムが置かれたリダイレクト先のサイトに中国のサーバが悪用されていたことが確認されています。また、国別ではポーランド・フランス・イギリスといったヨーロッパの国々のサーバが悪用されています。

2009年6月の脅威傾向　トレンドマイクロ リージョナルトレンドラボ コメント

　6月の不正プログラム感染被害の総報告数は4781件で、5月の4496件から増加しています。6月は、Microsoft Outlookの再設定の案内に偽装したスパムメールが確認されました（図1）。メール本文は、「Outlookにメールを受信しているがメールを閲覧するためにはOutlookの再設定が必要である」という内容で、添付された不正プログラムをユーザに実行させるケースと本文中の不正なURLにアクセスさせるケースが確認されています（画面1）。感染するとさらに別の不正プログラムをダウンロードし、オンラインバンキングのID・パスワードを盗み取ろうとします。スパムメールによるウイルス感染の手口は、先月にも新型インフルエンザの情報に偽装したメールが確認されています。ユーザとしては、Microsoftなど信頼性のある組織からのメールでも、不審な点があれば不用意に添付ファイルやURLをクリックせず、該当組織のホームページなどで情報の真偽を確認することが必要です。

表3：不正プログラム感染被害報告数ランキング　2009年6月

順位	検出名	通称	種別	件数	先月順位
1位	MAL_OTORUN	オートラン	その他	412件	1位
2位	TROJ_SEEKWEL	シークウェル	トロイの木馬型	114件	2位
3位	BKDR_AGENT	エージェント	バックドア	106件	4位
4位	WORM_DOWNAD	ダウンアド	ワーム	102件	3位
5位	TSPY_ONLINEG	オンラインゲーム	その他	48件	3位
6位	TROJ_DLOADER	ディーローダー	トロイの木馬型	30件	10位
6位	WORM_AUTORUN	オートラン	ワーム	30件	圏外
7位	JS_IFRAME	アイフレーム	Java Script	28件	7位
9位	MAL_HIFRM	ハイフレーム	その他	26件	8位
10位	MAL_OLGM	オーエルジーエム	その他	25件	圏外

※このランキングは、2009年6月1日から6月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2009年7月3日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。

図1：Outlookの再設定の案内に偽装したスパムメール図解

画面1：Outlookの再設定の案内に偽装したスパムメール画面
不正プログラムが添付されたケース（左）　／　本文中に不正なURLが記載されたケース（右）

※TRENDMICROはトレンドマイクロ株式会社の登録商標です。