トレンドマイクロは、2009年5月度のインターネット脅威マンスリーレポートを発表した。世界的なイベントやニュースは、悪意を持った攻撃者やスパマーにとっても、格好のネタとなるのであるが、今回は、やはり新型インフルエンザ騒動に便乗したスパムメールの国内の流通が確認された。

5月の脅威傾向

5月の不正プログラム感染被害の総報告数は4,496件となり、4月の4,125件から若干の増加となった。今月の1位は、主にUSBメモリを悪用する不正な設定ファイル「MAL_OTORUN(オートラン)」となり、ここ数カ月連続して1位となっている。これは、新しく作成された不正プログラムでも、USBメモリを悪用したり、感染経路とするものが増えていると推察される。

世界的なイベントやニュースは、悪意を持った攻撃者やスパマーにとっても、格好のネタとなるのであるが、今回は、新型インフルエンザ騒動に便乗したスパムメールの国内の流通が確認されたとのことである。日本国内でも感染者が報告され、多くの注目を集めた。スパマーもまた、それを見逃していないのである。件名には、新型インフルエンザに対する注意喚起をユーザに促すものであったという。

さらに、メールに添付されたファイルはAcrobatの脆弱性を狙うPDFファイルであった。PDFファイルは新型インフルエンザに関する警告の文面に偽装されるといった念の入れようである。海外で確認された新型インフルエンザ騒動に便乗したスパムメールでは、件名を新型インフルエンザに関連するものに偽装し、医薬品のオンライン販売サイトへ誘導するためのURLが記載されている。スパムメールでは、ダイエット用品、医薬品、偽ブランド品を販売するサイトに誘導しようとするものが多く、今回の新型インフルエンザでも、これまでの同じ手口が使われている。

さらに、メールタイトルに「Hi」や「Re:」などを付けることによって、ユーザが一度でも連絡を取った相手からのメールと錯覚するような細工が行われる。いずれの場合にも、まずは注意力を働かせることである。メールの件名に興味深い内容が含まれていたとしても、まずは注意すべきである。そして、知り合いや友人からの返信を装っている可能性もある。添付ファイルを開いたり、メール内のURLをクリックしないことである。

また、5月には「BKDR_AGENT(エージェント)」の亜種「JS_AGENT」などを埋め込む、Webサイト改ざんが確認されている。改ざんされたWebサイトでは、FTPサーバのアカウントを盗む「TROJ_SEEKWEL(シークウェル)」がダウンロードされるケースがあるとのことだ。対策としては、こうした改ざんされたWebサイトから不正なサイトに誘導されないようにすることである。セキュリティ対策ソフトで、危険なWebサイトへのアクセスをブロックするなどをすべきである。

表1 不正プログラム感染被害報告数ランキング[2009年5月度]

順位 検出名 通称 種別 件数 先月順位
1位 MAL_OTORUN オートラン その他 413件 1位
2位 TROJ_SEEKWEL シークウェル トロイの木馬型 186件 NEW
3位 WORM_DOWNAD ダウンアド ワーム 157件 2位
4位 BKDR_AGENT エージェント バックドア 68件 3位
5位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 48件 8位
6位 TROJ_VUNDO ヴァンドー トロイの木馬型 46件 4位
7位 JS_IFRAME アイフレーム Java Script 38件 6位
8位 MAL_HIFRM ハイフレーム その他 35件 7位
9位 TROJ_SMALL スモール トロイの木馬型 25件 圏外
10位 TROJ_DLOADER ディーローダー トロイの木馬型 17件 圏外

5月の不正プログラム収集状況

不正プログラムの種類(ユニーク数)と配布機会の多さ(URL数)により、攻撃者側の注力度がみてとれる。前回、3月の調査では1位であった「TSPY_ONLINEG」(オンラインゲームのアカウントやパスワードを収集する不正プログラム)が、ランク外となっている(その時も減少傾向が見られた)。今月のランキングで、注目したいのは、「WORM_AUTORUN(オートラン)」が4位に入っている点である。オートランは、USBメモリ経由で感染を広げる不正プログラムであるが、悪意を持った攻撃者にとっては、USBメモリは有効な感染経路として捉えられているということである。これまで以上に、USBメモリなどのリムーバブルメディアへの対策を怠らないようにすべきであろう。

今月の1位の「TROJ_AGENT(エージェント)」、5位の「TROJ_DROPPER(ドロッパー)」(いずれも他の不正プログラムを作成する不正プログラム)は、今回もランクインしている。同様に、3位の「TROJ_DLOADER(ディーローダー)」は他の不正プログラムを外部からダウンロードするもので、これらはここ数カ月ほぼ似たような推移をみせている。いずれも、連鎖攻撃を狙ったものである。セキュリティ対策ソフトの更新、ウイルス定義ファイルをつねに最新の状態に保つようにすべきであろう。

表2 不正プログラム別 攻撃者注力度ランキング(既知および新規)[2009年5月度]

順位 検出名 ユニーク数×URL数
1位 TROJ_AGENT 1806(42×43)
2位 TROJ_GAMETHI 858(13×66)
3位 TROJ_DLOADER 546(26×21)
4位 WORM_AUTORUN 182(7×26)
5位 TROJ_DROPPER 160(16×10)