トレンドマイクロは、2009年3月度のインターネット脅威マンスリーレポートを発表した。

3月の脅威傾向

3月の不正プログラム感染被害の総報告数は4,541件で、2月の5,713件から減少している。また、不正プログラム感染被害報告数ランキング(表1)では、1位のUSBメモリを悪用する不正な設定ファイル「MAL_OTORUN(オートラン)」も2月の484件から354件に減少している。

オートランは2008年12月の640件がピークとなり、2009年からは減少傾向が続いている。しかし、過去においては、報告数が減少している期間には、自身のアイコンを偽装するなどの新たな機能が追加されたUSBワームが登場した。これにより、その後の報告数が増加したこともある。亜種や新種の不正プログラムの可能性も予測されるので、注意を怠らないことである。

表1 不正プログラム感染被害報告数ランキング[2009年3月度]

順位 検出名 通称 種別 件数 先月順位
1位 MAL_OTORUN オートラン その他 354件 1位
2位 WORM_DOWNAD ダウンアド ワーム 129件 2位
3位 TROJ_VUNDO ヴァンドー トロイの木馬型 66件 4位
4位 JS_IFRAME アイフレーム Java Script 65件 7位
5位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 61件 3位
6位 BKDR_AGENT エージェント バックドア 47件 6位
7位 BKDR_TDSS ティディエスエス バックドア 45件 圏外
8位 MAL_HIFRM ハイフレーム その他 38件 5位
9位 WORM_AUTORUN オートラン ワーム 35件 10位
10位 TROJ_FAKEAV フェイクエイブイ トロイの木馬型 19件 圏外

最近の傾向として、文書ファイルを狙った攻撃が報告されている。まず、3月16日には、ジャストシステムからワープロソフト「一太郎」の修正プログラムが公開された。その直前には脆弱性を攻撃する「TROJ_TARODROP」が報告されていた。

まさに「ゼロディ」攻撃であり、修正プログラム公開前に脆弱性を使った不正プログラムが登場したものだ。この不正プログラムに感染すると、まずは無害なJTDファイルで有害なJTDファイルを上書きするといった偽装工作が行われる。

そして、さらにトロイの木馬を作成し、再度、偽装工作を行う。最終的には感染したPCの情報が収集される。今回の事例では、これらの手口が非常に洗練されてきているとのことだ(検出を遅らせることが第一の目的となる)。

トレンドマイクロで確認した「TROJ_TARODROP」を含むメールでは、ターゲットの組織で使用頻度の高い言葉を使った件名がつけられていたとのことである。悪意を持った攻撃者は、添付された文書ファイルを受け取ったユーザーが実行しやすい、疑問を抱かないようにと、このような偽装を施していたと推察される。不正コードを含む文書ファイルによる攻撃は、特定組織へのターゲット攻撃において多く見られる手口であり、その特徴を巧みに悪用している。

同様の文書ファイルの脆弱性を狙う攻撃は、2月にはMicrosoft Office Excelの脆弱性を狙う「TROJ_MDROPPER(エムドロッパー)」、PDFの脆弱性を狙う「TROJ_PIDIEF(ピディエフ)」が確認されている。2008年にも1月、2月、6月から9月の間に一太郎やExcel、PDF、Microsoft Office Wordの脆弱性を悪用する不正プログラムが確認された。このように、文書ファイルを使った攻撃が多く報告されている。

対策であるが、使用しているウイルス対策ソフトを常に最新の状態にすることが第一となる。また、こうしたメールは送信者が詐称されている場合もあるため、知人からのメールでも言葉使いに不自然な点や普段と違う点が見られるなど少しでも不審な点があれば、添付ファイルは実行せず、送信者にオフラインで事実確認を行うことも有効となる。

また、オフィスなどでは、メールによるファイル交換などから、オンラインストレージを利用したファイル交換に変更するなどの対策も考えらえる。これを機会に、このような検討をしてもよいであろう。

3月の不正プログラム収集状況

不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がみてとれる。上位3位までは、2月と同じ不正プログラムがランクインしている。1位のオンラインゲーム関連の不正プログラム「TSPY_ONLINEG」は、ユニーク数が先月の291件から132件に、URL数が100件から28件に減少しており、3月はオンラインゲームを狙った不正プログラムの作成・配布が落ち着きを見せている(2月には、増加が見られたが)。

しかし、4月下旬からは長期休暇を迎えてPCやゲームの使用時間が増加することが予想される。当然のことながら、悪意を持った攻撃者は、そのような機会を狙っている。ゲームを楽しむのは、たいていが家庭内であろう。家庭でもセキュリティ対策を忘れずに行ってほしい。

表2 不正プログラム別 攻撃者注力度ランキング(既知および新規)[2009年3月度]

順位 検出名 ユニーク数×URL数
1位 TSPY_ONLINEG 3,696(132×28)
2位 TROJ_AGENT 2,915(53×55)
3位 TROJ_DLOADER 1,147(31×37)
4位 TROJ_GAMETHI 780(12×65)
5位 WORM_AUTORUN 528(16×33)