インターネット脅威マンスリーレポート - 2009年11月度
インターネット脅威マンスリーレポート【2009年11月度】
~脆弱性を悪用した不正プログラムの報告が増加~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2009年11月度のインターネット脅威マンスリーレポート(日本国内)をお知らせします。
11月の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
11月の不正プログラム感染被害の総報告数は2262件で、10月の2033件からわずかに増加しています。感染報告数ランキング(表1)では、USBメモリ関連の不正な設定ファイル「MAL_OTORUN(オートラン)」が2008年8月以来15ヶ月連続で1位でしたが、感染報告数が大きく減少し16ヶ月ぶりに2位となっています。USBメモリなどのリムーバブルメディアが不正プログラムの感染経路としてユーザに認知され、有効な対策がとられたため、報告数が減少したと考えられます。「MAL_OTORUN」は、2008年6月と7月にも報告数が3位に減少しましたが、その後に新たな機能が追加されたことにより、再び1位となった経緯があります。USBメモリを悪用した感染拡大の手法自体は減っておらず、今後も感染数が増加する可能性はあるため、引き続き注意が必要です。
代わって、報告数が増加し先月4位から1位に浮上したのは、感染コンピュータのユーザ情報やFTPサーバへのログイン名とパスワードを盗み出そうとする「TSPY_KATES(カテス)」です。「TSPY_KATES」は、「JS_GUMBLER(ガンブラー)」や「JS_IFRAME(アイフレーム)」によって改ざんされた正規のWebサイトから、リダイレクトされる不正なWebサイトより感染することが確認されています。また、一部の「TSPY_KATES」には欠陥があり、感染コンピュータがブルースクリーン表示になるなどの現象が見られています。この攻撃では改変したレジストリを隠蔽するなど、ますます不正プログラムによる攻撃が巧妙化しています。「TSPY_KATES」感染のきっかけとなる「JS_GUMBLER」は、ActiveXの脆弱性の他に、Adobe Reader、Flashといったアプリケーションの脆弱性も使うため、幅広く感染したと考えられます。既に「TSPY_KATES」に感染したユーザは二次被害を防ぐためにも、ログイン名やパスワードの変更をお勧めします。
また、11月はInternet Explorerに対する新たな脆弱性を狙った攻撃も確認されました。さらに現時点では攻撃例の報告はありませんが、Windows7に関する脆弱性も発見されています。広く普及しているOSやアプリケーションの脆弱性を狙うことは攻撃の常套手段であるため、修正プログラムの適用はもちろん、不正プログラムのWebからの侵入を防ぐためにはレピュテーション技術などを利用し、多段的な防御策を講じることが求められています。
表1:不正プログラム感染被害報告数ランキング 2009年11月度
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
1位 |
カテス |
トロイの木馬型 |
307件 | 4位 | |
2位 | オートラン | その他 | 79件 |
1位 |
|
3位 | ダウンアド | ワーム | 76件 | 3位 |
|
4位 | エージェント | バックドア | 47件 |
5位 |
|
5位 |
ガンブラー |
Java Script |
38件 | 圏外 |
|
6位 |
オンラインゲーム |
トロイの木馬型 |
20件 | 圏外 |
|
7位 | オートラン | ワーム | 19件 |
圏外 |
|
8位 |
アイフレーム |
Java Script |
17件 | 圏外 |
|
9位 | タテルフ | ワーム | 14件 | 圏外 |
|
10位 | フェイクエイブイ | トロイの木馬型 | 13件 | 2位 |
※このランキングは、2009年11月1日から11月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2009年12月1日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
図1:JS_GUMBLERをきっかけとして脆弱性のあるPCにTSPY_KATESが感染
図2:「TSPY_KATES」感染による二次被害
感染に気付いたユーザが不正プログラムの駆除を行っても、その前に「TSPY_KATES」がFTPサーバへのログイン名とパスワードを盗んでいた場合には、ユーザが利用するFTPサーバに不正にアクセスされる可能性があります。感染を確認したユーザは不正プログラム駆除、予防のための修正プログラムの適用と併せてログイン名やパスワードの変更をお勧めします。
※TRENDMICROはトレンドマイクロ株式会社の登録商標です。
