トレンドマイクロは、2009年11月度のインターネット脅威マンスリーレポートを発表した。

11月の脅威傾向

11月の不正プログラム感染被害の総報告数は2,262件で、10月の2,033件からわずかに増加している。この数カ月、微減傾向が続いていたのであるが、上昇に転じている点に注意をしたい。さらに11月の感染報告数ランキング(表1)では、大きな変化があった。2008年8月から連続15カ月にわたり1位を維持してきた「MAL_OTORUN(オートラン)」が2位となったことである。「MAL_OTORUN」は、主にUSBなどの自動実行機能を悪用し、感染を広げる不正プログラムであった。

「MAL_OTORUN」に感染すると、種類によっては、さらにトロイの木馬などに感染する。USBメモリ以外にも、リムーバブルメディアやNASなどの共有フォルダからも感染する可能性がある。これらのメディアが不正プログラムの感染経路としてユーザーに認知され、有効な対策がとられたことが、報告数が減少した理由と推察される。

しかし、「MAL_OTORUN」は、2008年6月と7月にも報告数が3位に減少したが、その後に新たな機能が追加されたことにより、再び1位となった経緯がある。これまでの「MAL_OTORUN」の猛威により、悪意を持った攻撃者は、USBメモリを悪用した感染拡大の手法は有効な方法と認識している。今後も感染が増加する可能性は否定できないとのことである。以降も注意が必要であろう。

表1 不正プログラム感染被害報告数ランキング[2009年11月度]

順位 検出名 通称 種別 件数 先月順位
1位 TSPY_KATES カテス トロイの木馬型 307件 4位
2位 MAL_OTORUN オートラン その他 79件 1位
3位 WORM_DOWNAD ダウンアド ワーム 76件 3位
4位 BKDR_AGENT エージェント バックドア 47件 5位
5位 JS_GUMBLAR ガンブラー Java Script 38件 圏外
6位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 20件 圏外
7位 WORM_AUTORUN オートラン ワーム 19件 圏外
8位 JS_IFRAME アイフレーム Java Script 17件 圏外
9位 WORM_TATERF タテルフ ワーム 14件 圏外
10位 TROJ_FAKEAV フェイクエイブイ トロイの木馬型 13件 2位

「MAL_OTORUN」と入れ替えに、報告数が増加し先月4位から1位となったのは、「TSPY_KATES(カテス)」である。「TSPY_KATES」は、感染したPCのユーザー情報やFTPサーバへのログイン名やパスワードを盗み出そうとする。先月も紹介したが、「TSPY_KATES」の感染プロセスを改めて紹介しよう。

第1段階:悪意を持った攻撃者が、正規のWebサイトに「JS_GUMBLER」、「JS_IFRAME」などを埋め込む。
第2段階:ユーザーが、上述の改ざんされたWebサイトにアクセスする。
第3段階:不正なWebサイトにユーザーをリダイレクトする。
第4段階:ユーザーのPCに不正なPHPの通信が行われ、実行されるとexeファイルを作成する。
第5段階:exeファイルがdllファイルを作成し、自身(exeファイル)を削除する。
第6段階:dllファイルが、感染したPCのユーザー情報やFTPアカウントを盗み出す。

TSPY_KATES」感染のきっかけは、「JS_GUMBLER(ガンブラー)」や「JS_IFRAME(アイフレーム)」によって改ざんされた正規のWebサイトから、不正なWebサイトにリダイレクトされることである。11月の感染報告数ランキングには、「JS_GUMBLER」が5位、「JS_IFRAME」が8位にランクインしている点にも注目したい。

「TSPY_KATES」を感染させるために、悪意を持った攻撃者が、多用していることがうかがえる。また、一部の「TSPY_KATES」には欠陥があり、感染PCがブルースクリーン表示になるなどの現象が見られるとのことである。さらに、この攻撃では改変したレジストリを隠蔽するなど、ますます不正プログラムによる攻撃が巧妙化している。一度、感染が拡大すると亜種などの発生も活発化するので、注意が必要である。もし「TSPY_KATES」に感染したユーザーは二次被害を防ぐためにも、使用中のログイン名やパスワードの変更をすべきであろう。

脆弱性を狙う不正プログラム

「TSPY_KATES」感染のきっかけとなる「JS_GUMBLER」は、ActiveXの脆弱性の他に、Adobe Acrobat Reader、Flashなどのアプリケーションの脆弱性も悪用する。このことが、感染を拡大させた要因の1つと思われる。また、11月はInternet Explorerに対する新たな脆弱性を狙った攻撃も確認されたとのことである。現時点では、具体的な攻撃例の報告はないが、Windows 7に関する脆弱性も発見されている。

広く普及しているOSやアプリケーションの脆弱性を狙うことは攻撃の常套手段であるため、修正プログラムの適用を怠らないことである。さらに、不正プログラムのWebからの侵入を防ぐためにはレピュテーション技術などを利用し、多段的な防御策を講じることが必要と、トレンドマイクロでは注意を喚起している。