トレンドマイクロは、2010年2月度のインターネット脅威マンスリーレポートを発表した。

2月の脅威傾向

2月の不正プログラム感染被害の総報告数は916件で、1月の1,670件から大きく減少した。。1月のランキングでは、1位に復活したオートランは2位に、2位だったダウンアドは6位へとランクを落としている。一方、2009年末から猛威を振るうのがガンブラー攻撃に関わる不正プログラムである。今月は、ランキング1位の「JS_GUMBLAR(ガンブラー)」、3位の「JS_ONLOAD(オンロード)」、4位の「TROJ_BREDOLAB(ブレドラボ)」、5位の「HTML_EXPL(イーエクスピーエル)」、9位の「JS_IFRAME(アイフレーム)」の5種類の不正プログラムがランキングに入っている。

これらが、正規Webサイト改ざんをきっかけとして不正サイトに誘導し、アクセス元のOSやアプリケーションのぜい弱性を利用して不正プログラムをダウンロードさせる。正規サイトの改ざんによる不正プログラムの配布が依然として、収束する気配のないことが示されているものといえよう。

「ガンブラー攻撃」で最終的にダウンロードされる不正プログラムの活動として、ランキング4位の「TROJ_BREDOLAB」によりダウンロードされる「TSPY_DAURSO(ダウルソ)」が、FFFTPなどのFTPクライアントソフトの設定情報からFTPアカウント情報を収集したり、FTPサーバに感染して、受信したFTPアカウント情報を収集する。

この不正プログラムは、2月に新たに確認されたものである。FTPアカウント情報の詐取以外にも、「TROJ_WALEDAC(ワレダック)」や「TROJ_AGENT(エージェント)」に感染したPCがスパムボット化し、C&Cサーバ(コマンド&コントロールサーバ)の指令に基づいてスパムメールを送信する活動もこれまでに確認されている。このように、最終的に不正プログラムに感染したユーザは、情報詐取の被害者となるばかりでなく、知らず知らずのうちに攻撃者の目的達成のための手段としてPCを利用される可能性もある。十分な注意が必要である。

表1 不正プログラム感染被害報告数ランキング[2010年2月度]

順位 検出名 通称 種別 件数 先月順位
1位 JS_GUMBLAR ガンブラー Java Script 25件 10位
2位 MAL_OTORUN オートラン その他 24件 1位
3位 JS_ONLOAD オンロード Java Script 22件 3位
4位 TROJ_BREDOLAB ブレドラボ トロイの木馬型 21件 圏外
5位 HTML_EXPL イーエクスピーエル その他 13件 New
6位 WORM_PALEVO パレボ ワーム 12件 圏外
7位 WORM_DOWNAD ダウンアド ワーム 9件 2位
8位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 8件 圏外
9位 JS_IFRAME アイフレーム Java Script 7件 圏外
10位 WORM_AGOBOT アゴボット ワーム/td> 6件 圏外
10位 WORM_INJECT インジェクト ワーム 6件 New

ガンブラー攻撃の10の問題点

トレンドマイクロのリージョナルトレンドラボの解析者のブログでは、ガンブラー攻撃の特徴をマクロ的視点から、次の10点にまとめている。

(1)改ざん内容がランダムに難読化され、方法も随時変化しながら長期にわたって継続している。また、改ざんページ閲覧時の接続先サイトはリバースプロキシ(nginx)になっており、1つの名前に対するIPアドレスも複数存在している。

検出およびURLフィルタリングによるブロックが困難になる

(2)不正スクリプトによる不正サイトへの接続先URLに正常なドメインの文字列が多数含まれている

URLフィルタリングをすり抜けることがある

(3)不正スクリプトによる不正サイトへの接続は、同じIPアドレスからは初回接続時(または初回接続後のわずかな時間)しか本来の(不正な)応答がされない。

マルウェアサンプルの入手が困難になる

(4)file.exe(TROJ_BREDOLAB)をダウンロードさせるJavaScriptは一部が別ファイルに分かれている。

単体では動作を解析できず解析が困難になる

(5)file.exe(TROJ_BREDOLAB)をダウンロードさせるために複数の脆弱性が利用される(JustExploitなどが利用されている模様)。

より多くの環境で感染しやすくなる

検出・動作の解析が困難になる

(7)TROJ_AGENT.AUQSはSYSファイル内で自身のコードを復号したうえで、service.exeにコードをインジェクションして動作させる。また、自身が削除されないように監視する。

解析・駆除が困難になる

(8)TSPY_DAURSO.CによるFTPクライアントの設定情報からの収集、TSPY_DAURSO.DによるFTPサーバ側での受信内容の監視、TROJ_WALEDACによるネットワークパケットの監視など、いくつもの方法でFTPアカウント情報を収集する。

感染PCから見えるFTPアカウント情報を逃さず収集される。

(9)TROJ_WALEDAC.AYZはFTPアカウントだけでなく、HTTPベーシック認証、POP3、SMTP Authenticationなど平文で流れるパスワード情報を収集する。

収集された情報を利用した情報漏えいなど問題が広がる

(10)さまざまな動作の背後で偽セキュリティソフトをインストールする。

注目を集中させるとともに、購入を促すことで攻撃者の安定した資金源になる

以上であるが、ガンブラー攻撃は非常に巧妙に進化しつつある。その流れは現在でも続いており、さらなる巧妙化も予想される。サーバやクライアントのぜい弱性を厳密に管理し、被害にあわないよう引き続き警戒を怠らないでほしい。