インターネット脅威マンスリーレポート - 2010年2月度
インターネット脅威マンスリーレポート【2010年2月度】
~正規サイト改ざんからの攻撃が巧妙化、収束せず~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2010年2月度のインターネット脅威マンスリーレポート(日本国内)をお知らせします。
2月の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
2月の不正プログラム感染被害の総報告数は916件で、1月の1670件から減少しています。感染報告数ランキング(表1)にランクインした5種類の不正プログラム(※1)が、正規サイト改ざんをきっかけとして不正サイトに誘導し、アクセス元のOSやアプリケーションのぜい弱性を利用して不正プログラムをダウンロードさせる、通称「ガンブラー攻撃」に関連したものでした。正規サイトの改ざんによる不正プログラムの配布が依然収束していないことが浮き彫りになりました。
「ガンブラー攻撃」で最終的にダウンロードされる不正プログラムの活動として、ランキング4位の「TROJ_BREDOLAB(ブレドラボ)」によりダウンロードされる「TSPY_DAURSO(ダウルソ)」が、FFFTPなどのFTPクライアントソフトの設定情報からFTPアカウント情報を収集したり、FTPサーバに感染して、受信したFTPアカウント情報を収集するというものが2月に新たに確認されました。FTPアカウント情報の詐取以外にも、「TROJ_WALEDAC(ワレダック)」や「TROJ_AGENT(エージェント)」に感染したPCがスパムボット化し、C&Cサーバ(※2)の指令に基づいてスパムメールを送信する活動がこれまでに確認されています。このように、最終的に不正プログラムに感染したユーザは、情報詐取の被害者となるばかりでなく、知らず知らずのうちに攻撃者の目的達成のための手段としてPCを利用される可能性もあるので、十分注意が必要です。
「ガンブラー攻撃」の手法は日々巧妙化しています。セキュリティベンダによる不正サイトの追跡調査を困難にするため、リダイレクト先の不正サイトでアクセス元のIPアドレスを確認し、過去にアクセスしたことのあるIPアドレスからのセッションは切断するという例も確認されています。また、一度サイト改ざん被害にあったウェブサイトが、復旧後に再び改ざんされたという報告もあります。サーバやクライアントのぜい弱性を厳密に管理し、被害にあわないよう引き続き警戒する必要があるでしょう。
※1 ランキング1位「JS_GUMBLAR」、3位「JS_ONLOAD」、4位「TROJ_BREDOLAB」、5位「HTML_EXPL」、9位「JS_IFRAME」の5種類 の不正プログラムが、ガンブラー攻撃に関連しています。
※2 C&Cサーバ: コマンド&コントロールサーバ
表1:不正プログラム感染被害報告数ランキング 2010年2月度
|
順位 |
検出名 |
通称 |
種別 |
件数 |
先月順位 |
|---|---|---|---|---|---|
|
1位 |
ガンブラー |
Java Script |
25件 |
10位 |
|
|
2位 |
オートラン |
その他 |
24件 |
1位 |
|
|
3位 |
オンロード |
Java Script |
22件 |
3位 |
|
|
4位 |
ブレドラボ |
トロイの木馬型 |
21件 |
圏外 |
|
|
5位 |
イーエクスピーエル |
その他 |
13件 |
New |
|
|
6位 |
パレボ |
ワーム |
12件 |
圏外 |
|
|
7位 |
ダウンアド |
ワーム |
9件 |
2位 |
|
|
8位 |
オンラインゲーム |
トロイの木馬型 |
8件 |
圏外 |
|
|
9位 |
アイフレーム |
Java Script |
7件 |
圏外 |
|
|
10位 |
アゴボット |
ワーム |
6件 |
圏外 |
|
|
10位 |
インジェクト |
ワーム |
6件 |
New |
※このランキングは、2010年2月1日から2月28日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。件数はウイルス発見のみの報告数も含みます。本数値は、2010年3月3日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。
※個々の検出名に関しては、亜種も含んでカウントしています。
図1:「TROJ_BREDOLAB」に感染したFTPサーバによる情報詐取
図2:リダイレクト先の不正サイトでのセッション切断
