トレンドマイクロ社は、2008年上半期、2008年6月のインターネット脅威マンスリーレポートを発表した。

2008年上半期の脅威傾向

2008年上半期の日本国内における不正プログラム感染被害報告数は14,878件と、昨年の上半期の37,363件と比較すると大きく減少している。上半期は、不正プログラムの感染報告として、USBメモリなどリムーバブルメディアの自動実行機能を悪用する「MAL_OTORUN1(オートラン)」が最も多く報告されている。1つ不正プログラムが長期間にわたり、1位を続ける異様な状況が続いている。USBメモリは感染経路の盲点となりやすく、一層の注意を喚起している。

表1 不正プログラム感染被害報告数ランキング[2008年上半期]

順位 検出名 通称 種別 件数 前年同期順位
1位 MAL_OTORUN1 オートラン その他 517件 NEW
2位 BKDR_AGENT エージェント バックドア 316件 1位
3位 JS_IFRAME アイフレーム JavaScript 233件 NEW
4位 TROJ_VUNDO ヴァンドー トロイの木馬型 97件 2位
5位 TROJ_DELF デルフ トロイの木馬型 72件 圏外
6位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 63件 圏外
7位 TROJ_WANTVI ウォントヴィ トロイの木馬型 53件 NEW
8位 MAL_NSANTI エヌサンティ その他 51件 NEW
9位 MAL_HIFRM ハイフレーム その他 42件 NEW
10位 WORM_AUTORUN オートラン ワーム型 42件 NEW

もう1つの特徴は、オンラインゲーム関連の不正プログラム「TSPY_ONLINEG(オンラインゲーム)」が、作成(検体数)と配布(URL数)から総合的に見ると最も多く報告されたことである。悪意を持つ者が、オンラインゲーム関連の情報詐取に注力したと予想されるとのことである。

表2 不正プログラム別攻撃者注力度ランキング[2008年上半期]

順位 検体名 検体数(ユニーク数)×URL数
1位 TSPY_ONLINEG 223,110(1665×134)
2位 DIAL_SAPIR 104,016(3152×33)
3位 TROJ_DLOADER 91,656(603×152)
4位 TROJ_AGENT 52,355(283×185)
5位 DIAL_DIALPASS 32,784(4098×8)

Webからの脅威は、2007年同様に続いている。3位の「JS_IFRAME(アイフレーム)」を使用した不正なWebサイトへの誘導などが典型例である。また、不正なドメインのうち約46%が、確認されてから30日以内に削除されており、不正プログラムの配布者の多くが、短期間で配布場所を変更することで、捜査機関からの追跡を逃れようとしている姿勢が読み取れる。不正プログラムを配布するWebサイトでは、「com」や「net」を除き、中国のドメインからの配布が最も多く確認された。

表3 トップレベルドメイン別の取得検体数の上位10ドメイン[2008年上半期]

順位 トップレベルドメイン名 検体数(のべ数)
1位 com(商用サイト) 126,458
2位 net(ネットワーク) 17,347
3位 cn(中国) 7,741
4位 org(教育機関) 3,988
5位 fr(フランス) 3,754
6位 info(情報機関) 3,108
7位 ar(アルゼンチン) 1,828
8位 pl(ポーランド) 1,803
9位 it(イタリア) 1,537
10位 ru(ロシア) 1,435

2008年6月の脅威傾向

6月の不正プログラム感染被害の総報告数は4,232件で、5月の3,167件から増加傾向にある。Webサイトでダウンロードされるバックドア「BKDR_AGENT(エージェント)」や不正Webサイトにリダイレクトする「JS_IFRAME」が上位となった。また「TSPY_ONLINEG」は、引き続き6位に入っており、ここでもオンラインゲーム関連の情報搾取を狙った攻撃者の意図が見えるとのことである。そこで、オンラインゲーム関連の不正プログラム(「TSPY_ONLINEG」、「TSPY_ONLING」、「WORM_ONLINEG」)のトップレベルドメインごとの取得検体数を調査した。結果は、他の不正プログラムに比べてオンラインゲーム関連の不正プログラムは、「com」と「cn」に全体の約71%の検体が置かれており、商用サイトと中国のサイトから多く配布されていたとのことが判明したとのことである。ここでも、中国のサイトへの脅威が現実のものとなっている。

表4 不正プログラム感染被害報告数ランキング[2008年6月]

順位 検出名 通称 種別 件数 先月順位
1位 BKDR_AGENT エージェント バックドア 86件 5位
2位 JS_IFRAME アイフレーム JavaScript 75件 2位
3位 MAL_OTORUN1 オートラン その他 61件 1位
4位 MAL_HIFRM ハイフレーム その他 47件 NEW
5位 MAL_NSANTI エヌサンティ その他 18件 3位
6位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 13件 6位
7位 TROJ_CORELINK コアリンク トロイの木馬型 12件 圏外
8位 TROJ_VUNDO ヴァンドー トロイの木馬型 11件 圏外
9位 WORM_QQPASS キューキューパス ワーム型 9件 圏外
9位 TROJ_DIALER ダイアラー トロイの木馬型 9件 圏外
9位 TROJ_GAMETHIEF ゲームシーフ トロイの木馬型 9件 NEW

6月の不正プログラム収集状況

検索ロボットのWeb Crawlerで取得された不正プログラムでは、偽セキュリティソフト「TROJ_FAKEAV.U」や広告を表示する「ADW_MOKEAD」などユーザが視覚的に認識できるものが多く、ユーザの意識的なWebサイトへのアクセスを前提としていることがうかがえる。

Honey Client(意図的にウイルスに感染させ、そのウイルスがダウンロードする不正プログラムを収集する)で取得された不正プログラムでは、「TSPY_ONLING」というオンラインゲーム関連の不正プログラムが多く収集された。ここでも目的は、オンラインゲーム関連の情報搾取であったことが推測できるとのことである。2008年上半期の傾向を顕著に表す結果といえよう。オンラインゲームをプレイするユーザには、より注意が必要となる。

表5 Web CrawlerおよびHoney Clientで取得した検体数ランキング[2008年6月]

Web Crawler(不正Webサイトの巡回)

順位 検体名 検体数(ユニーク)
1位 TROJ_FAKEAV.U 67
2位 TROJ_FRAUDLOA.PG 16
3位 TROJ_DLOADER.FXN 15
4位 ADW_MOKEAD 12
5位 TSPY_ONLINEG.MNU 11

Honey Client(不正プログラムによるダウンロード)

順位 検体名 検体数(ユニーク)
1位 TSPY_ONLING.BT 27
2位 TROJ_DLOADER.FXN 13
3位 ADW_VAPSUP 11
4位 TROJ_DIALER.LI 9
5位 TSPY_ONLINEG.QBP 8