トレンドマイクロは、2009年9月度のインターネット脅威マンスリーレポートを発表した。
9月の脅威傾向
9月の不正プログラム感染被害の総報告数は2,068件で、8月の3,576件から減少している。感染報告数ランキングを見ると、9月の1位には、主にUSBメモリを悪用する不正な設定ファイル「MAL_OTORUN(オートラン)
」が入っており、このところの1位を譲る気配はない。また2位には、Windowsの脆弱性を狙う不正プログラム「WORM_DOWNAD(ダウンアド)
」がランクインしている。いずれも、2008年以来上位にランクインしてる不正プログラムであり、その猛威が相変わらず継続していることがうかがえる。とはいえ、全体の報告総数の減少にあわせるかのように、個々の報告数も減少傾向が見られる。
また、8月のマンスリーレポートで紹介した解説した、プログラム開発環境であるDelphi(デルファイ)に感染する不正プログラム「TROJ_INDUC(インダク)
」は、8月の4位から圏外に順位を下げている。一方で、今月は圏外から4つの不正プログラムがランクインしている。
表1 不正プログラム感染被害報告数ランキング[2009年9月度]
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
---|---|---|---|---|---|
1位 | MAL_OTORUN | オートラン | その他 | 179件 | 1位 |
2位 | WORM_DOWNAD | ダウンアド | ワーム | 109件 | 2位 |
3位 | TROJ_TRACUR | トラッカー | トロイの木馬型 | 34件 | 圏外 |
4位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬型 | 30件 | 圏外 |
5位 | WORM_AUTORUN | オートラン | ワーム | 27件 | 8位 |
5位 | TROJ_BREDOLAB | ブレドラボ | トロイの木馬型 | 27件 | 圏外 |
7位 | JS_IFRAME | アイフレーム | Java Script | 25件 | 6位 |
8位 | BKDR_AGENT | エージェント | バックドア | 21件 | 7位 |
8位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬型 | 21件 | 4位 |
10位 | TROJ_GAMETHIEF | ゲームシーフ | トロイの木馬型 | 17件 | 圏外 |
特に注目すべきものは、トロイの木馬型不正プログラム「TROJ_BREDOLAB(ブレドラボ)
」である。感染報告数が多く寄せられており、感染報告ランキングでも5位にランクインしている。「TROJ_BREDOLAB
」は、ボットに類する不正プログラムで攻撃対象のコンピュータにインストールすることで、攻撃者が感染コンピュータに様々な命令を送信することができる。具体的には、
- コンピュータの強制終了
- ファイルのダウンロードやアップロード
- セキュリティ関係のWebサイトへのアクセスブロックを狙った特定のURLへのアクセス制限
といったことを行うための命令を送信する。
「TROJ_BREDOLAB
」の侵入経路はいくつかあるが、その1つとして、大手の宅配業者を装ったメールに添付された偽の配達請求書をユーザーに開かせる手口が報告されている。身に覚えのないメールを受信した際には、すぐに添付ファイルを開いたりメール本文のURLをクリックしないことが求められる。また、「TROJ_BREDOLAB
」は、亜種が多いことも報告されている。いつのもことであるが、OSやアプリケーションの脆弱性を放置せず、ウイルス対策ソフトのパターンファイルなどを、最新の状態に保ってほしい。
悪意を持った攻撃者が使うツールは、2007年に登場したMPack以降、わかりやすい操作画面となっており、技術的知識の高くない攻撃者でも扱えるようになってきている。背景には、攻撃ツールや不正プログラムの時間貸しサービスなどのビジネスモデルが確立し、アンダーグラウンドのビジネスの拡大のために、より誰もが扱いやすいツールの開発が続いているとのことである。
図1 感染コンピュータに命令を送信する管理画面(同社Webサイトより) |
図1の管理画面では、支配下のボットネットの状況を使用しているOSや所属している国ごとなどで管理することができる。また、時間貸しサービスのために複数アカウントでログインできる機能や技術的知識のない攻撃者でも扱いやすいように、不正な命令に関するヘルプ機能が実装されている。
「TROJ_BREDOLAB
」以外に圏外からランクインした不正プログラムを簡単に紹介しておこう。「TROJ_TRACUR(トラッカー)
」は、パスワードの搾取、新たな不正プログラムのダウンロード、P2Pソフトを介したワームの感染などが報告されている。「TSPY_ONLING(オンラインゲーム)
」と「TROJ_GAMETHIEF(ゲームシーフ)
」は、いずれもオンラインゲームなどのアカウントやパスワードを狙うものである。2008年以降、活動が活発になる時期があり、今回も悪意を持った攻撃者が集中的に攻撃を行ったものと推察される。