トレンドマイクロは、2008年11月度のインターネット脅威マンスリーレポートを発表した。

引き続き、オートランの脅威が続く

11月の不正プログラム感染被害の総報告数は5,207件で、10月の5,744件から減少している。しかし、この数カ月で、リムーバブルメディアの設定ファイルである「MAL_OTORUN(オートラン)」の感染報告数が急激に増加している。感染被害報告数ランキング(表1)では、「MAL_OTORUN」が8月以来4カ月連続1位となっており、総報告数における「MAL_OTORUN」の割合も11月は約11%と、2位以下を大きく引き離す突出した報告数となっている。その理由としては、悪意を持った攻撃者によるUSBワームの作成・配布量の増加が有力と推測される。

先月は新しい機能を持ったUSBワームも報告されており、その脅威は、収まる兆しをみせていない。悪意を持った攻撃者にとっては、USBメモリなどのリムーバブルメディアを感染経路として狙う手法は、「効果的な攻撃方法」として今や定番化の様を呈している。また、「WORM_AUTORUN」以外にもリムーバブルメディアに自身をコピーする機能が付加される例も増えており、これも「MAL_OTORUN」の感染報告数増加の一因とみられる。

対策としては、ウイルス定義ファイルを最新にし、USBメモリなどのリムーバブルメディアへのウイルスチェックを欠かさない、不審なUSBメモリは使用しないことである。また、11月の感染報告ランキングでは、不正なWebサイトに誘導する不正プログラム「MAL_HIFRM(ハイフレーム)」が2位、「JS_IFRAME(アイフレーム)」が5位にランクインしている。これらの不正プログラムは、悪意のサイトに埋め込まれている他、正規サイトが改ざんされて埋め込まれるケースも多数、確認されている。ユーザーのWebアクセスをきっかけに不正なサイトに誘導する手法も攻撃者の狙い目になっているといえるものだ。

不正なWebサイトへの誘導はもちろん、USBワームも感染後にWebサイトから別の不正プログラムをダウンロードしてくることがほとんどである。不正プログラムが勝手に不正なWebサイトに接続し、感染することを防ぐには、ユーザーはセキュリティ対策ソフトのWebサイト安全性評価機能などを利用することが有効となる。

表1 不正プログラム感染被害報告数ランキング[2008年11月度]

順位 検出名 通称 種別 件数 先月順位
1位 MAL_OTORUN オートラン その他 611件 1位
2位 MAL_HIFRM ハイフレーム その他 89件 2位
3位 TROJ_GAMETHIEF ゲームシーフ トロイの木馬型 76件 9位
4位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 67件 5位
5位 JS_IFRAME アイフレーム Java Script 65件 10位
6位 BKDR_AGENT エージェント バックドア 64件 2位
7位 WORM_DOWNAD ダウンアド ワーム 60件 NEW
8位 TROJ_VUNDO ヴァンドー トロイの木馬型 55件 7位
9位 TROJ_DLOADER ディーローダー トロイの木馬型 44件 4位
9位 WORM_AUTORUN オートラン ワーム 44件 6位

11月の不正プログラム収集状況

不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がみてとれる。1位の「TSPY_ONLINEG」、3位の「TROJ_GAMETHI」は、感染報告数ランキングでもそれぞれ4位と3位にランクインしている。ちなみに先月は、1位と2位にランクインしていた。不正プログラムの大量配布によってユーザーの感染報告数が増加したと推測される。また2位の「TROJ_DLOADER」は、前月からユニーク数は若干減ったものの、配布されているURL数は増加しており(先月は48)、ダウンローダー型不正プログラムの配布されるWebサイトの作成も活発であることを示している。

表2 不正プログラム別 攻撃者注力度ランキング[2008年11月度]

順位 検出名 ユニーク数×URL数
1位 TSPY_ONLINEG 23564(274×86)
2位 TROJ_DLOADER 2816(44×64)
3位 TROJ_GAMETHI 1938(38×51)
4位 TROJ_AGENT 1886(46×41)
5位 WORM_AUTORUN 1804(44×41)

「Honey Client」は、検体収集用のおとりコンピュータ上で不正プログラムを実行し、ダウンロードされるファイルを収集するハニーポットシステムである。その結果が、表3と表4である。のべ数で1位の「TSPY_LDPINCHI.MF」はオンラインゲームのID・パスワードの情報を収集し、外部に送信する機能を持つ。また、自身の存在を隠すルートキットを作成する機能を持つ。オンラインゲームの情報を狙う不正プログラムが、より巧妙化している。

表3 Honey Clientで取得した新規検体数「のべ数」ランキング[2008年11月度]

ランキング 検体名 のべ数
1位 TSPY_LDPINCH.MF 302
2位 TSPY_ONLINEG.MCL 65
3位 TROJ_DLOADER.DDY 53
4位 TSPY_LDPINCH.OK 40
5位 WORM_ONLINEG.DPW 29

表4 Honey Clientで取得した新規検体数「ユニーク数」ランキング[2008年11月度]

ランキング 検体名 ユニーク数
1位 TSPY_ONLINEG.MCL 16
2位 TROJ_DROPPER.ACK 3
2位 WORM_ONLINEG.FIZ 3
4位 Adware_IstBar 2
4位 TROJ_PACKED.GEH 2