インターネット脅威マンスリーレポート - 2011年12月度
インターネット脅威マンスリーレポート【2011年12月度】
~管理者を混乱させるWebサイト改ざん~
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2011年12月度のインターネット脅威状況をお知らせします。
12月のインターネット脅威状況 トレンドマイクロ リージョナルトレンドラボコメント
12月は、AdobeやMicrosoft製品のぜい弱性を狙う不正プログラムが添付されたメール攻撃が複数確認されました。12月中旬に国内の複数の企業から報告されたメール攻撃では、送信元が実在する団体に偽装されている上、文面には新年の挨拶と自社のカレンダーを添付する旨が書かれており、その時点では修正プログラムが公開されていないAdobe製品のぜい弱性を利用する不正プログラムが添付されていました。また、12月20日には、朝鮮民主主義人民共和国の最高指導者であった金正日氏の死去ニュースに偽装して、2010年から2011年4月までに確認されたAdobeやMicrosoft製品の複数のぜい弱性を狙う不正プログラムが添付されたメールが確認されました。後者の中には、2010年1月に公開されたInternet Explorerのぜい弱性を利用した攻撃もあり、2年ほど前のぜい弱性でも攻撃者にとっては利用価値が未だにあるものと見られます。
また、12月は国内にて正規のWebサイトが複数改ざんされ、悪意のWebサイトに誘導する不正なコードが埋め込まれる事例が、引き続き確認されています。一部では、不正なコードが一時的に削除されたり、その後また別の不正なコードがページ内の別の個所に追加されるなど、Webサイトの管理者を混乱させ対処を遅らせる事象が確認されています。転送先の不正なWebサイトでは、2011年10月に報告されたJavaのぜい弱性によって結果的に偽セキュリティソフトがダウンロードされる例を確認しています。
インターネット上の攻撃においては、新旧関わらず様々なぜい弱性が悪用されており、ユーザにおいてはお使いのアプリケーションの修正プログラムの情報収集や更新をお知らせするメッセージに対して、即座に対処することが重要です。また、修正プログラムが公開される前のぜい弱性が悪用されるゼロデイ攻撃の場合でも、Web対策やメール対策、不正変更の監視など多重の防御技術を利用することにより、被害に及ぶリスクを抑えることができるため、お使いのセキュリティ製品の機能を再確認することをお勧めします。
■日本国内の不正プログラム検出状況:
ファイル共有ソフト関連の脅威の危険性は依然として高い
日本国内の不正プログラム検出状況では、ファイル共有ソフト経由で感染する「WORM_ANTINNY(アンティニー)」の亜種3種類が10位以内にあり、依然としてファイル共有ソフトの使用は、不正プログラムに感染する危険性が高いといえます。また、3位にhostsファイルを改ざんしたり、ユーザを通信販売の情報などが集められたポータルサイトへ誘導するアドウェア「ADW_KRADARE(クラデル)」が新たに4位となっています。
表1:不正プログラム検出数ランキング※1(日本国内) 2011年12月度
順位 |
検出名 |
通称 |
種別 |
検出数 |
先月順位 |
|---|---|---|---|---|---|
1位 | ダウンアド | ワーム | 4,848台 | 1位 |
|
2位 | キーゲン | クラッキングツール | 4,244台 | 2位 |
|
3位 | スパイボット | ワーム | 1,541台 | NEW |
|
4位 | クラデル | アドウェア | 1,446台 | NEW |
|
5位 | ワイエイベクター | アドウェア | 1,288台 | 3位 |
|
6位 | アンティニー | ワーム | 1,108台 | 4位 |
|
7位 | HackingTools_RARPasswordCracker | ラーパスワードクラッカー | ハッキングツール | 1,051台 | 7位 |
8位 | アンティニー | ワーム | 935台 | 6位 |
|
9位 | パリット | ファイル感染型 | 923台 | 5位 |
|
10位 | アンティニー | ワーム | 863台 | 8位 |
■全世界の不正プログラム検出状況:
Windowsのファイアウォールを停止するトロイの木馬
全世界の不正プログラム検出状況では、「TROJ_SIREFEF.BX(サーエフエフ)」が新たに10位となっています。「TROJ_SIREFEF.BX」はWindowsファイアウォールの停止を試みるほか、自身が改変したシステムが修復されると、これを検知して再度改変を行う仕組みが搭載されています。
表2:不正プログラム検出数ランキング※1(全世界) 2011年12月度
順位 |
検出名 |
通称 |
種別 |
検出数 |
先月順位 |
|---|---|---|---|---|---|
1位 | ダウンアド | ワーム | 112,991台 | 1位 |
|
2位 | キーゲン | クラッキングツール | 58,388台 | 2位 |
|
3位 | フェイクエイブイ | トロイの木馬 | 26,890台 | NEW |
|
4位 | サリティ | ファイル感染型 | 20,755台 | 3位 |
|
5位 | クラデル | アドウェア | 20,120台 | NEW |
|
6位 | オートラン | その他 | 18,490台 | 4位 |
|
7位 | キーゲン | ハッキングツール | 17,632台 | 5位 |
|
8位 | ゼットボット | スパイウェア | 12,679台 | 6位 |
|
9位 | サリティ | ファイル感染型 | 11,807台 | 7位 |
|
10位 | サーエフエフ | トロイの木馬 | 11,228台 | NEW |
※1 表1、表2のランキングは、トレンドマイクロ製品・サービスで発見された脅威についてお客様の承諾に基づきTrend Micro Smart Protection Network(SPN)のスマートフィードバックにより収集した情報を元に、2011年12月1日から12月31日までの期間で各不正プログラムが発見された数を、コンピュータ台数ごとに集計したものです。本数値は、2012年1月6日現在の情報に基づき作成したものです。不正プログラムの集計対象に、基本的にジェネリック、ヒューリスティック検出などは含みませんが、一部の性質、挙動が特定できる検出名を対象に含むことがあります。
■日本国内のお問い合わせ状況:
Web改ざんとそれに伴う偽セキュリティソフトの感染報告が相次ぐ
12月の不正プログラム感染被害の総報告数は613件で、11月の655件から減少しています。国内では、Webサイト改ざんによって埋め込まれる不正なスクリプト「MAL_HIFRM(ハイフレーム)」の感染報告が11月より引き続いており、12月でも2位となっています。また、改ざんされたWebサイトから誘導された不正なWebサイトから偽セキュリティソフト「TROJ_FAKEAV(フェイクエイブイ)」がダウンロードされる事例も確認されています。
表3:不正プログラム感染被害報告数ランキング※2 2011年12月度(日本国内)
順位 |
検出名 |
通称 |
種別 |
検出数 |
先月順位 |
|---|---|---|---|---|---|
1位 | ダウンアド | ワーム | 32件 | 5位 |
|
2位 | ハイフレーム | その他 | 23件 | 1位 |
|
3位 | エイチティーエーポルン | その他 | 16件 | 5位 |
|
4位 | フェイクエイブイ | トロイの木馬 | 12件 | 圏外 |
|
4位 | ゼットボット | スパイウェア | 12件 | 3位 |
※2 表3のランキングは、2011年12月1日から12月31日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2012年1月6日現在の情報に基づき作成したものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数は不正プログラム発見のみの数字も含みます。個々の検出名に関しては、亜種も含んでカウントしています。
■トピック1: 不正プログラムが添付されたメールによってバックドアに感染させる手口イメージ図
■トピック2:不正なコードが削除されるWebサイト改ざん
正規Webサイトに埋め込まれた不正なコード(赤枠内)
約8分後に再確認した同サイトのソースコード
改ざんされた同一のWebサイトのソースコードを、時間の経過に沿って確認した際の比較です。左の画面では埋め込まれた不正なコードを確認できますが、約8分後のソースコードでは不正なコードが確認できません。さらにその後に再確認すると別の不正コードが追加されていました。Webサイト管理者を混乱させて対処を遅らせるための活動と推測されます。
