インターネット脅威マンスリーレポート - 2010年1月度
インターネット脅威マンスリーレポート【2010年1月度】
~正規サイト改ざんに新たな情報を狙う攻撃が登場~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2010年1月度のインターネット脅威マンスリーレポート(日本国内)をお知らせします。
1月の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
1月の不正プログラム感染被害の総報告数は1670件で、12月の1646件から若干増加しています。感染報告数ランキング(表1)では、改ざんされた不正サイトに埋め込まれ、ユーザを不正サイトへ誘導する「JS_ONLOAD(オンロード)」が3位にランクインしています。
この年末年始には「ガンブラー攻撃」と呼ばれる正規サイト改ざんをきっかけとした攻撃が話題となりましたが、この名称は、2009年春に確認された攻撃で誘導される不正サイトのドメインが「gumblar.cn」だったことに由来します。その後、誘導先のURLや、利用する脆弱性、感染する不正プログラムが異なる攻撃が発生しましたが、正規サイト改ざんから複数の不正プログラムのダウンロードを経て、FTPのアカウント情報を盗む一連の攻撃を「ガンブラー攻撃」と呼ぶ例が多いようです。
報告数ランキング4位の「JAVA_BYTEVER(バイトバー)」はアクセス先の不正サイトからダウンロードされますが、JRE(Java Runtime Environment)の脆弱性を利用して、別の不正プログラムをダウンロードします。これをきっかけにした攻撃の最終目的として、FTPアカウントのみならず、HTTPベーシック認証やPOP3、SMTP Authenticationで用いられるユーザ名とパスワードを盗む「TROJ_WALEDAC(ワレダック)」や偽セキュリティソフトによる金銭詐取を狙う例が確認されています。
正規Webサイトを改ざんする方法についても、サイト改ざん用の自動攻撃ツールを用いて攻撃者が改ざんを行っている可能性があります。Webサイト運営者はサーバのログを定期的に監視して、不正な攻撃や改ざんがないかチェックすることが重要です。また、可能であればサーバメンテナンス用のFTP接続を、許可されたコンピュータのみに制限することが有効といえるでしょう。
また、個人のユーザはOSだけではなく、Adobe Flash・Reader、JREなどのOS以外のソフトウェアが最新の状態であるか再度チェックすることをおすすめします。
表1:不正プログラム感染被害報告数ランキング 2010年1月度
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
1位 | オートラン | その他 | 81件 | 2位 | |
2位 | ダウンアド | ワーム | 43件 | 3位 | |
3位 | オンロード | Java Script | 37件 | NEW | |
4位 | バイトバー | その他 | 29件 | 圏外 | |
5位 | エージェント | バックドア | 24件 | 6位 | |
6位 | レノス | トロイの木馬型 | 21件 | 圏外 | |
7位 | カテス | トロイの木馬型 | 20件 | 1位 | |
8位 | リデアー | Java Script | 19件 | 圏外 | |
8位 | スパイボット | ワーム | 19件 | 圏外 | |
10位 | ガンブラー | Java Script | 18件 | 4位 |
※このランキングは、2010年1月1日から1月31日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2010年2月2日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
画面1:偽セキュリティソフト「Security Tool」
画面2:タスクトレイ上の偽の警告
偽セキュリティソフト「Security Tool」は、画面上に偽の感染警告(画面1)を表示してユーザの不安感を煽り、「正規版」購入サイトにユーザを誘導し、クレジットカード情報を詐取しようとします。また、タスクトレイ上にWindowsセキュリティセンターによく似たアイコン(画面2)を表示することで、ユーザにWindowsからの警告だと錯誤させる狙いがうかがえます。
図1:正規サイト改ざんでダウンロードされ、様々な情報を盗む「TROJ_WALEDAC」の動作図解
