インターネット脅威年間レポート - 2009年度(速報)
2009年度インターネット脅威年間レポート USBメモリ経由の感染手法が常套化、対策の抜け穴から大きな被害に
~2009年1月1日~12月15日データ速報~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2009年度のインターネット脅威レポート(日本国内)をお知らせします。
2009年の不正プログラム感染被害の総報告数は44587件で、2008年同時期の54680件から約18.5%減少しています。USBメモリ関連の不正な設定ファイル「MAL_OTORUN(オートラン)」の報告が集中し、USBメモリ経由の感染が目立つ一年となりました。「MAL_OTORUN」は、2008年8月以来15ヶ月連続で1位となり、年間の報告数は3578件と2008年と比べて約1000件増加しています。総報告数の約8.0%を占め、前年の4.7%より大幅に増加しており、USBメモリによる感染が常套化したと言えます。
また、「WORM_DOWNAD(ダウンアド)」は非常に多くの企業から被害が報告されました。2008年10月に確認されたオリジナルの「WORM_DOWNAD」は、OSの脆弱性を狙う単純なワームでしたが、後にUSBメモリへの感染や、ファイル共有、パスワード攻撃などの機能が追加されました。「WORM_DOWNAD」は企業内ネットワークで蔓延し、根絶に1ヶ月以上を要した例や、駆除後に予防策を講じたつもりが対策の抜け穴から再感染に至るなど、実際に業務の継続を脅かしました。これらの被害から、多くの企業において基本的な対策を漏れなく運用することが難しく、中々徹底できないという実情が浮き彫りになりました。
全体的な攻撃の手法は、連鎖的に不正プログラムをダウンロードする「Webからの脅威」がすっかり定番化しました。被害のきっかけとして、正規Webサイトの改ざんも頻発し、日本でも改ざんされたWebサイトからの感染被害が確認されました。加えて、人間の心理的な隙や、先入観につけ込み、欺くソーシャルエンジニアリング手法もさらに巧妙化しています。また、多くの攻撃者の目的は金銭であることに変わりはありません。明確に情報詐取を狙ったと見られる不正プログラムは上位10種内で3種を占めています。
2009年はシステムや運用における基本的な対策の抜け穴から大きな被害へとつながりました。また、システムの安全性が高くとも、それを使う人に油断がある限り、攻撃の付け入る隙となります。攻撃者に騙されないために正確な知識を身につけ、最新の情報を得ると共に、パスワードやネットワークの設定、修正プログラムの適用など、セキュリティ対策の基本を今だからこそ見直す原点回帰が求められています。
表1:不正プログラム感染被害報告数ランキング 2009年度
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
1位 |
オートラン |
その他 |
3578件 | 1位 | |
2位 | ダウンアド | ワーム | 1516件 |
圏外 |
|
3位 | エージェント | バックドア | 779件 | 2位 |
|
4位 | オンラインゲーム | トロイの木馬型 | 463件 |
6位 |
|
5位 |
カテス |
トロイの木馬型 |
444件 | New |
|
6位 |
アイフレーム |
Java Script |
402件 | 3位 |
|
7位 | ヴァンドー | トロイの木馬型 | 345件 |
8位 |
|
8位 |
シークウェル |
トロイの木馬型 |
342件 | New |
|
9位 | ハイフレーム | その他 | 324件 | 4位 |
|
10位 | フェイクエイブイ | トロイの木馬型 | 238件 | 圏外 |
※このランキングは、2009年1月1日から12月15日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2009年12月16日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
2009年度の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
2009年の総括:USBメモリ経由の感染手法が常套化、対策の抜け穴から大きな被害に
2009年はUSBメモリ関連の不正な設定ファイル「MAL_OTORUN」が2008年に引き続き感染報告が集中しました。新しい手法を使った特定の不正プログラムが流行すると、他の不正プログラムでも同様の手法が取り入れられる傾向があります。USBメモリ以外にも、新しい感染経路が流行すると、それに便乗した攻撃が一気に増加する可能性もあるため、今後も新しい攻撃手法には注意が必要です。「WORM_DOWNAD」による企業の感染被害も非常に多く、基本的なセキュリティ対策について多くの企業において徹底しきれていないことが浮き彫りになったといえます。また、入り口はどうあれ、一旦不正プログラムに感染すると、インターネットを利用して連鎖的に不正プログラムをダウンロードする「Webからの脅威」は定番化しており、引き続き猛威を振るっています。
トピック(1):新しい感染手法の常套化-USBメモリを利用した不正プログラム
USBメモリ関連の不正な設定ファイル「MAL_OTORUN」は総報告数の約8.0%を占めました。2005年頃より、1つの不正プログラムが大規模感染する例は少なくなりましたが、USBメモリを媒体とする新しい感染手法を多くの不正プログラムが採用し、経路として常套化したため、家庭、企業問わず多数報告されました。実際に2位の「WORM_DOWNAD」についてもUSBメモリで感染した事例が確認されています。2008年の年初よりUSBメモリに関連した被害は多く、ユーザ側で次第にセキュリティ対策が意識されるようになってきましたが、依然として注意が必要です。
トピック(2):複数の感染手法を使う「WORM_DOWNAD」が企業で流行
2008年10月に確認されたオリジナルの「WORM_DOWNAD」は、OSの脆弱性を狙う単純なワームでしたが、後にUSBメモリへの感染や、ファイル共有、パスワード攻撃などの機能が追加されました。LAN内で感染を広げる機能が段階的に複数追加されたため、駆除したつもりが根絶されていなかった、一度駆除したにも関わらず別の亜種に再感染してしまうなど、対策に追われ復旧に何ヶ月も要する企業もありました。一方で、脆弱性の修正プログラムを適用するなど基本的な対策が多くの企業において徹底しきれていないことが浮き彫りになりました。
トピック(3):アプリケーションの脆弱性も利用-正規Webサイトの改ざん
2009年春から話題になった「JS_GUMBLAR(ガンブラー)」をはじめとした正規Webサイトの改ざんは引き続き日本でも確認されました。「JS_IFRAME(アイフレーム)」や「MAL_HIFRM(ハイフレーム)」も、正規のWebサイトに埋め込まれるスクリプトで、連鎖的に不正プログラムをダウンロードする「Webからの脅威」の発端となります。また、これらはActiveXやAdobe Reader、Flashなど様々な脆弱性を利用して自動的に実行されるように仕込まれました。修正プログラムの適用はもちろん、不正プログラムのWebからの侵入を防ぐためにはレピュテーション技術などを利用し、多段的な防御策を講じることが求められています。
トピック(4):不正プログラムの最終的な目的-金銭や情報を狙う不正プログラム
上位10種内で3種が明確に金銭や情報を狙ったと見られる不正プログラムです。「TSPY_ONLINEG(オンラインゲーム)」は、オンラインゲームのID・パスワードを詐取します。盗んだ情報で他のユーザになりすまし、ゲーム内の仮想通貨を現実に換金するRMT(Real Money Trading)が目的です。また、「TSPY_KATES(カテス)」や「TROJ_SEEKWEL(シークウェル)」は感染コンピュータ内のユーザ情報やFTPサーバへのログイン名・パスワードを盗むことを目的としています。既に「TSPY_KATES」や「TROJ_SEEKWEL」に感染したユーザは二次被害を防ぐためにも、ログイン名やパスワードの変更をお勧めします。
トピック(5):ユーザを騙して金銭を詐取する手法が巧妙化-偽セキュリティソフト
2008年8月頃に猛威を振るった偽セキュリティソフト「TROJ_FAKEAV(フェイクエイブイ)」が再度注目を集めました。9月後半にマイクロソフトより無料セキュリティソフト「Microsoft Security Essentials」が公開されました。これに便乗し、マイクロソフトの名を騙った偽セキュリティソフトが送信元を偽ったメールで配布される例が確認されました。偽セキュリティソフトも偽装したメールも人を欺くための昔からの手法のひとつですが、巧妙な手口に騙されないよう注意が必要です。
※ 全体は2009年1月1日から12月15日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス総報告数における、企業と個人の割合を示しています。
今後、懸念される脅威の傾向:人間の心理的な隙をついた攻撃、対策は原点から
2009年はシステムや運用における、基本的な対策の抜け穴から大きな被害へとつながりました。セキュリティ対策には基本の徹底が重要だと改めて気づかされた一年となりました。また、システムの安全性が高くとも、それを使う人の油断がある限り、攻撃の付け入る隙となります。これからも、人間の心理的な隙や、先入観につけ込むソーシャルエンジニアリング手法は巧妙化するでしょう。
システムを所有せずに利用するクラウドがIT業界のキーワードとなっていますが、アンダーグラウンドにおいても、サービスとして不正な攻撃を代理する例や、攻撃ツールの時間貸しなどが確認されており、安易に攻撃を行える環境にあります。今後も、インターネットを利用する上での脅威は増加を続けることが懸念されます。
