インターネット脅威マンスリーレポート - 2010年上半期・6月度
インターネット脅威マンスリーレポート【2010年上半期・6月度】
~ガンブラー関連の不正プログラムが6種ランクイン、Web改ざんの目的が明確に~
トレンドマイクロ株式会社(本社:東京都渋谷区 代表取締役社長 兼 CEO:エバ・チェン、東証一部:4704)は、日本国内における2010年上半期のインターネット脅威レポートをお知らせするとともに、上半期の不正プログラムの状況を総括いたします。またあわせて2010年6月度のインターネット脅威マンスリーレポートをお知らせいたします。
2010年上半期の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
2010年上半期の日本国内における不正プログラム感染被害報告数は9885件と、昨年の上半期の28628件から減少しています。「WORM_DOWNAD(ダウンアド)」に代表される単純に自己を複製し感染を繰り返すワームの被害は減少していますが、ガンブラーなどに代表されるWeb経由で感染する不正プログラムは多数確認されています。
2010年の上期は、ガンブラーによる正規のWebサイト改ざんをきっかけにした不正プログラム感染が猛威をふるいました。ランキングでは改ざんされたWebサイトに埋め込まれる「JS_ONLOAD(オンロード)」、「MAL_HIFRM(ハイフレーム)」、「JS_GUMBLAR(ガンブラー)」、「JS_IFRAME(アイフレーム)」、改ざんされたWebサイトを閲覧したユーザが誘導される不正なWebサイトから感染する「TROJ_FAKEAV(フェイクエイブイ)」、「TROJ_BREDOLAB(ブレドラボ)」がランクインしています。2009年までは、ガンブラーによる一連の攻撃はWebサーバのアカウント/パスワードを詐取する事例が確認されましたが、2010年より、偽セキュリティソフトなど金銭や情報を直接詐取する被害が報告されています。偽セキュリティソフトである「TROJ_FAKEAV」では、マイクロソフトの無償セキュリティソフト「Microsoft Security Essentials」に似せた画面を表示し、ユーザを巧妙に騙す手口が確認されました。
上半期の不正プログラム感染被害報告数ランキング(表1)では、USBメモリなどリムーバブルメディアを悪用する不正な設定ファイル「MAL_OTORUN(オートラン)」とOSの脆弱性を悪用し感染を広げる「WORM_DOWNAD」が1位、2位にランクインしていますが、昨年と比べると減少傾向にあります。しかし、「WORM_DOWNAD」は脆弱性の悪用の他に、USBメモリへの感染、ファイル共有、パスワード攻撃など感染を拡散する機能が複数搭載されているため、根絶することが難しく、一度駆除したにも関わらず再感染を繰り返してしまう被害が確認されたため、引き続き注意が必要です。
表1:不正プログラム感染被害報告数ランキング 2010年上半期
|
順位 |
検出名 |
通称 |
種別 |
件数 |
前年同期順位 |
|---|---|---|---|---|---|
|
1位 |
オートラン |
その他 |
315件 |
1位 |
|
|
2位 |
ダウンアド |
ワーム |
266件 |
2位 |
|
|
3位 |
オンロード |
Java Script |
124件 |
New |
|
|
4位 |
フェイクエイブイ |
トロイの木馬 |
112件 |
圏外 |
|
|
5位 |
ハイフレーム |
その他 |
96件 |
8位 |
|
|
6位 |
エージェント |
バックドア |
91件 |
3位 |
|
|
7位 |
ガンブラー |
Java Script |
85件 |
New |
|
|
8位 |
アイフレーム |
Java Script |
70件 |
7位 |
|
|
9位 |
オートラン |
ワーム |
68件 |
圏外 |
|
|
10位 |
ブレドラボ |
トロイの木馬 |
62件 |
New |
※このランキングは、2010年1月1日から6月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2010年7月2日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
2010年上半期 トピック
トピック①:Webサイト改ざんの目的が明確に、悪用される脆弱性が多様化
2009年に確認された正規のWebサイト改ざんをきっかけにした不正プログラム感染では、Webサーバのアカウント/パスワードを盗んで再度Webサーバの改ざんに繋げるなど、改ざんを繰り返す傾向にありました。しかし、2010年には、偽セキュリティソフトに感染させ、金銭や情報を詐取する例が確認されており、Webサイト改ざんの目的が明確になりました。また、OSだけではなく、Adobe Flash・Reader、JRE、など様々なソフトウェアの脆弱性を悪用し、修正プログラムが提供される前に発生するゼロデイ攻撃も確認されました。ユーザにおいては、修正プログラムが提供されるまでの暫定的な対策として、脆弱性を狙う攻撃自体を防ぐ仕組みを利用することも有効です。
トピック②:USBメモリによる感染の割合は減少するも引き続き注意が必要
不正プログラム感染被害報告数ランキング(表1)では、USBメモリなどリムーバブルメディアを悪用する不正な設定ファイル「MAL_OTORUN」が315件で1位となっています。2009年上期では、上位10種の報告数合計の約43.5%を占めていましたが、2010年上期では約24.4%と減少しています。多くの不正プログラムにおいてUSBメモリ経由の感染手法は常套化したと考えられますが、自動起動させないなど、ユーザ側での対策も認知されたため、感染数が減少しているものと考えられます。
トピック③:ダウンアドによる再感染・・・サポートが切れるWindows 2000に注意
「WORM_DOWNAD」は、感染コンピュータの修復をしても、ネットワーク内に1台でも感染しているコンピュータがあれば脆弱性の悪用やパスワード攻撃によって再感染してしまいます。再感染しないためには、安易なパスワードを設定しない、修正プログラムをきちんと適用するなど基本的な対策が求められますが、漏れなく運用することが難しく、中々徹底できないという企業の実情が浮き彫りになりました。また、2010年7月13日にサポートが終了するWindows 2000などは多くの企業で使用されており、今後修正プログラムが提供されないレガシーOSに不正プログラムが感染した場合、感染が長期化する、根本的な対策ができないなどの懸念があるため、システムの見直しをするとともに新しいOSへの移行を検討する必要があります。
スレットモニタリングセンター収集データ 2010年上半期の傾向
グラフ1:Webサイト改ざんによって誘導される不正なWebサイトトップレベルドメイン別の割合
Webサイト改ざんによって誘導される不正なWebサイトのドメインでは多くがru(ロシア)となっています。これは、ruドメインを取得する際に登録者の確認などは行われておらず、容易に取得できたためと想定されます。しかし、本ドメインを管理している団体(Coordination Center for TLD RU)が2010年4月より登録書類の提出を義務付けたため、at(オーストリア)やcomなども使用されるようになりました。
※グラフ1は、2010年3月17日から6月30日までに、日本のリージョナルトレンドラボ スレットモニタリングセンターで、一日に一度、改ざんされたWebサイトを調査して誘導先の不正URLを収集した延べ数です(ある改ざんされたWebサイトが同じURLに2日間誘導された場合には、延べ2件としてカウントしています)。
2010年6月の脅威傾向 トレンドマイクロ リージョナルトレンドラボ コメント
6月の不正プログラム感染被害の総報告数は1774件で、5月の1403件から増加しています。
先月は南アフリカで2010 FIFA ワールドカップが開幕し話題となりましたが、それにあわせてワールドカップ関連ニュースを装ったスパムメールも確認されました。メール本文には「ワールドカップ2010関連のスキャンダル、添付ファイル参照」とあり、ユーザの興味を誘って添付ファイルを開かせようとする内容になっています(図1)。添付された不正なHTMLファイル内にはランキング6位のJS_REDIR(リデアー)として検出される不正なコードが含まれています。添付ファイルを実行するとワールドカップとは無関係なサイトが開かれ、同時にユーザに気づかれないように裏で別のURLに接続します。接続先のサーバからPDFファイルやJAVAファイルをダウンロードし、アプリケーションの脆弱性を利用して様々な不正ファイルを作成します。これらのファイルが実行されると、偽セキュリティソフトをインストールしたり、FTPのパスワードが盗まれたりします(図2)。
上記攻撃では、ガンブラー攻撃でもリダイレクト先として利用されるURL「.ru:8080」が利用されていることが確認されています。スパムメールを発端とした攻撃でも、Webに接続して次々に新たなウイルスを呼び込む「Webからの脅威」の手口が使われており、Webレピュテーションを用いた効果的な対策を講じることが必要です。
表2:不正プログラム感染被害報告数ランキング 2010年6月
|
順位 |
検出名 |
通称 |
種別 |
件数 |
先月順位 |
|---|---|---|---|---|---|
|
1位 |
ダウンアド |
ワーム |
59件 |
1位 |
|
|
2位 |
ハイフレーム |
その他 |
22件 |
2位 |
|
|
3位 |
オートラン |
その他 |
21件 |
3位 |
|
|
4位 |
オールアプレ |
その他 |
20件 |
圏外 |
|
|
4位 |
フェイクエイブイ |
トロイの木馬 |
20件 |
4位 |
|
|
6位 |
エージェント |
バックドア |
17件 |
5位 |
|
|
6位 |
リデアー |
Java Script |
17件 |
圏外 |
|
|
8位 |
ペーゲル |
Java Script |
16件 |
New |
|
|
8位 |
ゼッドトゥエンティートゥー |
その他 |
16件 |
圏外 |
|
|
10位 |
オートラン |
ワーム |
15件 |
圏外 |
※このランキングは、2010年6月1日から6月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害報告件数をもとにランク付けを行ったものです。本数値は、2010年7月2日現在の情報に基づき作成されたものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数はウイルス発見のみの数字も含みます。
※個々の検出名に関しては、亜種も含んでカウントしています。
図1:FIFAワールドカップ関連ニュースを装ったスパムメール
タイトル、本文では関心を惹くためにFIFAワールドカップ関連ニュースを装っているが、添付ファイルを開くとサッカーとは無関係のサイトが開く
不正なHTMLファイルが添付されたメール(左) / 添付ファイルを実行すると開くサイト(薬品関連)(右)
図2:FIFAワールドカップ関連スパムメールを発端とした攻撃の流れ
