トレンドマイクロは、2010年1月度のインターネット脅威マンスリーレポートを発表した。
1月の脅威傾向
1月の不正プログラム感染被害の総報告数は1,670件で、12月の1,646件から若干増加している。今月のランキングでは、新たな不正プログラム「JS_ONLOAD(オンロード)
」が3位にランクインした。Java Scriptで書かれた不正プログラムであり、Webサイトなどに不正に埋め込まれる。ユーザが「JS_ONLOAD
」で改ざんされたWebサイトを閲覧すると、ロシアを中心とした不正なWebサイトにリダイレクトされる。さらに、りダイレクトされた不正なWebサイトでは、別の不正なプログラムをダウンロードさせられるというものである。
先月の1位「TSPY_KATES(カテス)
」に代わって、1位となったのは、去年、圧倒的な猛威を振るった「MAL_OTORUN(オートラン)
」である。2位にも「WORM_DOWNAD(ダウンアド)
」がランクインしている。昨年から常連ともいえるが、相変わらずの脅威といえよう。USBメモリの使用などでは、十分に注意してほしい。
この年末年始には「ガンブラー攻撃」と呼ばれる正規サイト改ざんをきっかけとした攻撃が話題となった。この名称は、2009年春に確認された攻撃で誘導される不正サイトのドメインが「gumblar.cn」だったことに由来する。その後、誘導先のURLや、利用する脆弱性、感染する不正プログラムが異なる攻撃が発生したが、正規サイト改ざんから複数の不正プログラムのダウンロードを経て、FTPのアカウント情報を盗む一連の攻撃を「ガンブラー攻撃」と呼ぶことが多いとのことである。現在でも、亜種などが、頻繁に発見されており、ウイルス対策ソフトのみではなく、危険なWebサイトを事前に警告するセキュリティ対策ソフトを併用することも必要であろう。
報告数ランキング4位の「JAVA_BYTEVER
(バイトバー)」はアクセス先の不正サイトからダウンロードされるが、JRE(Java Runtime Environment)の脆弱性を利用して、別の不正プログラムをダウンロードする。攻撃の最終目的としてFTPアカウントのみならず、HTTPベーシック認証やPOP3、SMTP Authenticationで用いられるユーザ名とパスワードを盗む「TROJ_WALEDAC
(ワレダック)」や偽セキュリティソフトによる金銭詐取を狙う例が確認されている。なお、同社Webサイトでは、この様々な情報を盗むワレダックの仕組みを図で解説している。
また、正規のWebサイトを改ざんする方法も、Webサイト改ざん用の自動攻撃ツールを用いて攻撃者が改ざんを行っている可能性をトレンドマイクロでは指摘している。Webサイト運営者はサーバのログを定期的に監視して、不正な攻撃や改ざんがないかチェックし、改ざんの可能性を検証すべきであろう。また、可能であればサーバメンテナンス用のFTP接続を、許可されたコンピュータのみに制限することも対策として有効と指摘する。
個人のユーザは、WindowsなどのOSだけではなく、Adobe FlashやReader、JREなどのOS以外のソフトウェアが最新の状態であるかのチェックも怠りなくやってほしい。悪意を持った攻撃者は、つねに脆弱性を狙っている。先月も含め、報告数自体は、非常に低いレベルといえるかもしれないが、その一方で、非常に危険性の高い不正プログラムが多いともいえる。ユーザアカウントやパスワードを狙うといった、すぐさま被害に直結するようなことも予想される。十分な注意をしてほしい。
表1 不正プログラム感染被害報告数ランキング[2010年1月度]
順位 | 順位 | 通称 | 種別 | 件数 | 先月順位 |
---|---|---|---|---|---|
1位 | MAL_OTORUN | オートラン | その他 | 81件 | 2位 |
2位 | WORM_DOWNAD | ダウンアド | ワーム | 43件 | 3位 |
3位 | JS_ONLOAD | オンロード | Java Scrip | 37件 | NEW |
4位 | JAVA_BYTEVER | バイトバー | その他 | 29件 | 圏外 |
5位 | BKDR_AGENT | エージェント | バックドア | 24件 | 6位 |
6位 | TROJ_RENOS | レノス | トロイの木馬型 | 21件 | 圏外 |
7位 | TSPY_KATES | カテス | トロイの木馬型 | 1位 | 20件 |
8位 | JS_REDIR | リデアー | Java Script | 19件 | 圏外 |
10位 | JS_GUMBLAR | ガンブラー | Java Script | 18件 | 4位 |