トレンドマイクロは、2008年7月度のインターネット脅威マンスリーレポートを発表した。

2008年7月の脅威傾向

7月の不正プログラム感染被害の総報告数は6,368件で、6月の4,232件から増加している。これは、6月が少なかったとみるべきであろう。トレンドマイクロでは7月17日にSQLインジェクションによるWebサイト改ざんを警告した。「TROJ_ASPROX(アスプロクス)」という不正プログラムがWindowsフォルダを書き換え、TCPの80番ポートを開きプロキシサーバとして活動する。

この不正プログラムに感染すると、攻撃者の踏み台にされる。攻撃者はさらに、不正なWebサイトにアクセスするようにIFRAMEタグを埋め込む。その不正なWebサイトを閲覧すると、不正なJavaScriptがダウンロードされ、さらに別の不正なプログラムがダウンロードされるという連鎖攻撃を行うものだ。トレンドマイクロでは、全世界で最大21万ページ、国内で約1万ページに疑わしい記述があると指摘している。

感染報告1位の「TROJ_CABAT(キャバット)」は新たに発見されたオンラインゲーム関連の情報を盗む不正プログラムである。表1の上位10種の半数をこの種の不正プログラムが占めている。新種の作成・配布数(表2)でも「TSPY_ONLINEG(オンラインゲーム)」が上位であることからオンラインゲーム関連の情報を狙った攻撃が続いていることがうかがえる。

また、USBメモリを媒介とする「MAL_OTORUN1(オートラン)」も、以前として報告数・配布数の上位を維持している。この猛威は当分続くであろう。

夏休みには不正プログラムの配布も増加傾向

夏季休暇の前後は不正プログラムの配布が活発化する傾向にある。休暇中にはユーザの警戒心が緩むこともあり、攻撃者はその隙を狙っていると思われる。休暇中はオンラインゲームなどをする機会も多い。オンラインゲームユーザは、より一層の注意が必要となるであろう。

また、企業側のWebアプリケーションなどでも対策が必要となる。休暇中には、メンテナンスの要員も手薄になりがちとなる。そんな休暇中に悪意を持った攻撃を受けた場合、対応などで後手にまわりかねない。休暇前には、脆弱性のチェックなどを確認しておくべきであろう。

また、いざという時のための体制の準備(緊急連絡網の整備や休暇中のスケジュールの共有)などもしておくとが望ましい。さらに、OSやアプリケーションのセキュリティホールの修正といったことも合わせて考慮しておくべきである。

表1 不正プログラム感染被害報告数ランキング[2008年7月度]

順位 検出名 通称 種別 件数 先月順位
1位 TROJ_CABAT キャバット トロイの木馬型 163件 NEW
2位 TROJ_GAMETHIEF ゲームシーフ トロイの木馬型 156件 9位
3位 MAL_OTORUN1 オートラン その他 141件 3位
4位 TROJ_LINEAGE リネージュ トロイの木馬型 133件 圏外
5位 BKDR_AGENT エージェント バックドア 95件 1位
6位 JS_IFRAME アイフレーム Java Script 72件 2位
7位 MAL_NSANTI エヌサンティ その他 70件 5位
8位 TROJ_RENOS レノス トロイの木馬型 68件 圏外
9位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 65件 6位
10位 MAL_HIFRM ハイフレーム その他 56件 4位

7月の不正プログラム収集状況

不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)を掛け合わせた数字を比較することで、攻撃者側の注力度が見てとれる(表2)。7月は、不正なWebサイトから不正プログラムをダウンロードする「TROJ_DLOADER」が、最も注力度が高くなっている。攻撃者からみれば、最も効率的な不正プログラムといえるからだ。また、2008年上半期1位であったオンラインゲーム関連の不正プログラムである「TSPY_ONLINEG」は2位に入り、オンラインゲーム関連の情報もこれまで同様に狙われている点に注意をしたい。

表2 不正プログラム別、攻撃者注力度ランキング

順位 検出名 ユニーク数×URL数
1位 TROJ_DLOADER 52884(452×117)
2位 TSPY_ONLINEG 29520(492×60)
3位 TROJ_ZLOB 23751(377×63)
4位 TROJ_AGENT 18762(177×106)
5位 TROJ_DIALER 3542(253×14)

「Web Crawler」は悪意のWebサイトを巡回し、ダウンロードできるファイルを自動収集するハニーポットシステムだ。その結果が、表3と表4である。7月は、USBメモリ経由で感染を広げる「WORM_AUTORUN」の亜種が2種ランクインしている。今年に入ってから猛威をふるっている不正プログラムの代表ともいえるものである。二次的な感染経路として、USBメモリなどを介するものであるが、最初の感染経路はやはりWebサイトからというのが、理解してもらえるであろう。

また、ユニーク数で1位の「TSPY_QQPASS」は、中国で主に利用されているインスタントメッセンジャーのアカウント情報を盗み取る不正プログラムである。

表3 Web Crawlerで取得した新規検体数の「のべ数」のランキング[2008年7月度]

順位 検体名 検出数
1位 WORM_AUTORUN.MCS 132
2位 TSPY_QQPASS.BV 48
3位 ADW_CINMUS 44
4位 WORM_AUTORUN6 32
5位 TROJ_GAMETHIE.NA 30

表4 Web Crawlerで取得した新規検体数の「ユニーク数」のランキング[2008年7月度]

順位 検体名 検出数
1位 TSPY_QQPASS.BV 17
2位 WORM_AUTORUN.MCS 11
3位 ADW_FRAUDLOAD 6
4位 TROJ_POPHOT.FG 5
5位 WORM_AUTORUN6 5