トレンドマイクロは、2009年上半期、6月度のインターネット脅威マンスリーレポートを発表した。2009年上半期の日本国内における不正プログラム感染被害報告数は28,628件と、昨年の上半期の14,878件と比較すると約92%の増加。USBメモリを介した感染を行う不正プログラムとして、もっとも猛威を振るった期間となった。

2009年上半期の脅威傾向

2009年上半期の日本国内における不正プログラム感染被害報告数は28,628件と、昨年の上半期の14,878件と比較すると約92%の増加となった。ランキング(表1)では、「MAL_OTORUN(オートラン)」と「WORM_DOWNAD(ダウンアド)」の2つが上位を占めたが、この1年で常にランキングの上位を占めた不正プログラムといってもよい。「MAL_OTORUN(オートラン)」の報告数は、2008年8月以来、11カ月連続で月例の報告数で1位となった。USBメモリを介した感染を行う不正プログラムとして、もっとも猛威を振るったものといえるだろう。

2位の「WORM_DOWNAD(ダウンアド)」もまた、特徴的な不正プログラムといえる。当初は、Windowsの脆弱性を狙い、自身の感染を拡大させていた。その一方で「MAL_OTORUN」の感染手段が有効となると、その感染手段を採用した亜種が登場する。「WORM_DOWNAD」は、有効と思われる手口があれば、すばやくその手口を使った亜種が登場する点が特徴的であった。辞書攻撃を使ったパスワードクラック、偽セキュリティソフトのダウンロード、セキュリティ関連サイトへのアクセスブロックなど、非常に多くの亜種が出現し、今後もさらに続くと予想される。それ以外の不正プログラムについて、見てみよう。

2009年上半期は、4月から5月にかけて日本国内の正規Webサイトの改ざんが発生した。感染報告ランキング3位の「BKDR_AGENT(エージェント)」の亜種「JS_AGENT」を正規サイトに埋め込む手口がとられており、最終的には感染PCのFTPアカウントを盗む「TROJ_SEEKWEL(シークウェル)」がダウンロードさせられる。さらに、今回の不正プログラムが置かれた不正なWebサイトには、ラトビアや中国のサーバが悪用された。トップレベルドメイン別の取得検体数ランキング(表2)でも中国のドメイン「cn」が2位にランクインしており、中国のサーバを悪用した不正プログラムの配布が顕著であったことがうかがえる。

表1 不正プログラム感染被害報告数ランキング[2009年上半期]

順位 検出名 通称 種別 件数 前年同期順位
1位 MAL_OTORUN その他 2484件 1位 data
2位 WORM_DOWNAD ダウンアド ワーム 993件 NEW
3位 BKDR_AGENT エージェント バックドア 482件 2位
4位 TROJ_VUNDO ヴァンドー トロイの木馬型 330件 4位
5位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 321件 6位
6位 TROJ_SEEKWEL シークウェル トロイの木馬型 300件 NEW
7位 JS_IFRAME アイフレーム Java Script 261件 3位
8位 MAL_HIFRM ハイフレーム その他 256件 9位
9位 BKDR_TDSS ティディエスエス バックドア 149件 NEW
10位 TROJ_DLOADER ディーローダー トロイの木馬型 136件 圏外

スレットモニタリングセンター収集データ:2009年上半期の傾向

図1と表2は、日本のリージョナルトレンドラボ、スレットモニタリングセンターで分析した不正な通信および不正ドメインの状況である。まずは、不審な通信プロトコルにつては、図1のようになった。

図1 企業ユーザの不審な通信プロトコル別割合[2009年上半期]

図1は、企業ユーザ向けネットワーク監視製品で2009年上半期に検出した不審な通信のうち、通信のプロトコル別の割合を示したものである。メールの送信時に使用されるSMTPとWebサイトにアクセスする際に使用されるHTTPで82%以上となり、ほとんどを占める。不正プログラムはHTTPを使用して別の不正プログラムをダウンロードする他に、自身のメール送信機能を使ってSMTPで情報を漏えいさせる活動を行うものもある。このような理由により、メール・Web関係の通信が大部分を占めたと推察される。次は、不正ドメインの状況である。

表2 トップレベルドメイン別の取得検体数ランキング[2009年上半期:上位10ドメイン]

順位 トップレベルドメイン名 のべ(既知および新規)
1位 com(商用サイト) 72298
2位 cn(中国) 28653
3位 net(ネットワーク) 8315
4位 pl(ポーランド) 4742
5位 org(教育機関) 4256
6位 kr(韓国) 2419
7位 ar(アルゼンチン) 2408
8位 info(情報提供) 2281
9位 fr(フランス) 1156
10位 uk(イギリス) 799

表2で注目すべきは、中国のドメイン「cn」が、「com」に次いで2009年上半期2位となったことである。これまでは取得がしやすいことから、「net」が2位であったが、数的にも大きく凌駕する結果になった。事実、4月以降確認された国内正規サイト改ざんでも、不正プログラムが置かれたリダイレクト先のサイトに中国のサーバが悪用されていたことが確認されている。

2009年6月の脅威傾向

6月の不正プログラム感染被害の総報告数は4,781件で、5月の4,496件から増加がみられる。上位に関しては、順位変動はあるものの、大きな変化は見られない。6月は、Microsoft Outlookの再設定の案内に偽装したスパムメールが確認された。本文に、「Outlookにメールを受信しているがメールを閲覧するためにはOutlookの再設定が必要である」といった内容が含まれており、添付された不正プログラムをユーザに実行させるものと、本文中の不正なURLにアクセスさせるものがある。

感染するとさらに別の不正プログラムをダウンロードし、オンラインバンキングのIDやパスワードを盗み取ろうとする。たとえ、Microsoftのような信頼性の高い組織からのメールでも、不審な点があれば不用意に添付ファイルやURLをクリックしないことである。メーカからの正式なお知らせであれば、公式のホームページなどでも紹介があるはずだ。うかつに信用しないことである。

表3 不正プログラム感染被害報告数ランキング[2009年6月]

順位 検出名 通称 種別 件数 先月
1位 MAL_OTORUN オートラン その他 412件 1位
2位 TROJ_SEEKWEL シークウェル トロイの木馬型 114件 2位
3位 BKDR_AGENT エージェント バックドア 106件 4位
4位 WORM_DOWNAD ダウンアド ワーム 102件 3位
5位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 48件 5位
6位 TROJ_DLOADER ディーローダー トロイの木馬型 30件 10位
6位 WORM_AUTORUN オートラン ワーム 30件 圏外
8位 JS_IFARME アイフレーム Java Script 28件 7位
9位 MAL_HIFRM ハイフレーム その他 26件 8位
10位 MAL_OLGM オーエルジーエム その他 25件 圏外