インターネット脅威マンスリーレポート - 2009年12月度
インターネット脅威マンスリーレポート【2009年12月度】
~ログイン名/パスワードの詐取から正規Webサイト改ざんに~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2009年12月度のインターネット脅威マンスリーレポート(日本国内)をお知らせします。
12月の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
12月の不正プログラム感染被害の総報告数は1646件で、11月の2262件から減少しています。感染報告数ランキング(表1)では、11月に引き続き、感染コンピュータのユーザ情報やFTPサーバへのログイン名とパスワードを盗み出そうとする「TSPY_KATES(カテス)」が1位となっています。「TSPY_KATES」は、「JS_GUMBLAR(ガンブラー)」が埋め込まれた正規のWebサイトにアクセスした結果、他サイトにリダイレクトされ、感染する例が確認されています。「TSPY_KATES」の感染数は11月と比べて大きく減少していますが、不正プログラム自体の隠ぺいなどを行うルートキット機能をもった亜種も多数報告されており、感染が顕在化していない可能性があるため引き続き注意が必要です。また、セキュリティソフトを停止する例も報告されているため、セキュリティソフトが正常に動作しているかを念のため確認することをお勧めします。
正規のWebサイトを改ざんし、不正なWebサイトへリダイレクトする「JS_GUMBLAR」は11月に引き続き上位にランクインしています。12月は大手のWebサイト改ざんも多数確認されました。攻撃者は、Webサーバを構成するアプリケーション等の脆弱性を利用してログイン名/パスワードの詐取をし、そのログイン名/パスワードを用いて正規のサイトを改ざんしている可能性があります(図1)。正規のWebサイトを改ざんし、不正なWebサイトへリダイレクトさせる手法は、ユーザが不正なサイトにリダイレクトされたことに気付きにくいという特徴があり、不正プログラムの配布手法として近年は定番化しています。
Webサイトの管理者は「JS_GUMBLAR」を埋め込まれないために、WebサーバのOSやアプリケーションの脆弱性を修正すると共に、ログイン名/パスワードを定期的に変更するなどの運用をお勧めします。ユーザは定期的にウイルス検索などを行うことが重要です。また、正規のWebサイトであっても不正なWebサイトへリダイレクトされる可能性があるため、意図しないWebサイトへのアクセスを事前に防ぐ技術の利用をお勧めします。
表1:不正プログラム感染被害報告数ランキング 2009年12月度
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
1位 |
カテス |
トロイの木馬型 |
114件 | 1位 | |
2位 | オートラン | その他 | 90件 |
2位 |
|
3位 | ダウンアド | ワーム | 68件 | 3位 |
|
4位 | ガンブラー | Java Script | 33件 |
5位 |
|
5位 |
ゼッドテン |
その他 |
16件 | 圏外 |
|
6位 |
エージェント |
バックドア |
13件 | 4位 |
|
7位 | ディーローダー | トロイの木馬型 | 12件 |
圏外 |
|
8位 |
ゼッドトゥウェンティワン |
その他 |
9件 | 圏外 |
|
8位 | オートラン | ワーム | 9件 | 7位 |
|
8位 | スパイボット | ワーム | 9件 | 圏外 |
※このランキングは、2009年12月1日から12月31日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2010年1月5日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
図1:正規のWebサイトがJS_GUMBLARによって改ざんされる流れ
図2:TSPY_KATESの機能
