トレンドマイクロは、2010年上半期、2010年6月度のインターネット脅威マンスリーレポートを発表した。

2010年上半期の脅威傾向

2010年上半期の日本国内における不正プログラム感染被害報告数は9,885件と、2009年の上半期の28,628件から減少している。「WORM_DOWNAD(ダウンアド)」に代表される単純に自己を複製し感染を繰り返すワームの被害は減少している。一方、ガンブラーなどに代表されるWeb経由で感染する不正プログラムは多数確認されているのが特徴といえよう。

2010年の上期は、ガンブラーによる正規のWebサイト改ざんをきっかけにした不正プログラム感染が猛威をふるった。ランキングでは改ざんされたWebサイトに埋め込まれる「JS_ONLOAD(オンロード)」、「MAL_HIFRM(ハイフレーム)」、「JS_GUMBLAR(ガンブラー)」、「JS_IFRAME(アイフレーム)」、改ざんされたWebサイトを閲覧したユーザが誘導される不正なWebサイトから感染する「TROJ_FAKEAV(フェイクエイブイ)」、「TROJ_BREDOLAB(ブレドラボ)」がランクインしている。

2009年までは、ガンブラーによる一連の攻撃はWebサーバのアカウント/パスワードを詐取する事例が確認されていた。2010年では、偽セキュリティソフトなど金銭や情報を直接詐取する被害が報告されている。偽セキュリティソフトである「TROJ_FAKEAV」が、2010年には圏外だったが、5位にランクインしていることからもその傾向がうかがえる。「TROJ_FAKEAV」では、マイクロソフトの無償セキュリティソフト「Microsoft Security Essentials」に似せた画面を表示し、ユーザを巧妙に騙そうとしていた。

上半期の不正プログラム感染被害報告数ランキング(表1)では、USBメモリなどリムーバブルメディアを悪用する不正な設定ファイル「MAL_OTORUN(オートラン)」とOSの脆弱性を悪用し感染を広げる「WORM_DOWNAD」が1位、2位にランクインしている。しかし、2009年と比べると減少傾向にあり、脅威も縮小傾向にあるといえる。しかし、「WORM_DOWNAD」は脆弱性の悪用の他に、USBメモリへの感染、ファイル共有、パスワード攻撃など感染を拡散する機能が複数搭載されているため、根絶することが難しく、一度駆除したにも関わらず再感染を繰り返してしまう。引き続き注意が必要であろう。

表1 不正プログラム感染被害報告数ランキング[2010年上半期]

順位 検出名 通称 種別 件数 前年同期順位
1位 MAL_OTORUN オートラン その他 315件 1位
2位 WORM_DOWNAD ダウンアド ワーム 266件 2位
3位 JS_ONLOAD オンロード Java Script 124件 New
4位 TROJ_FAKEAV フェイクエイブイ トロイの木馬型 112件 圏外
5位 MAL_HIFRM ハイフレーム その他 96件 8位
6位 BKDR_AGENT エージェント バックドア 91件 3位
7位 JS_GUMBLAR ガンブラー Java Script 85件 New
8位 JS_IFRAME アイフレーム Java Script 70件 7位
9位 WORM_AUTORUN オートラン ワーム 68件 圏外
10位 TROJ_BREDOLAB ブレドラボ トロイの木馬型 62件 New

2010年上半期の脅威トピックについては、以後のレポートでも機会をみて紹介しよう。

2010年6月の脅威傾向

6月の不正プログラム感染被害の総報告数は1774件で、5月の1403件から増加している。今月の注目は、南アフリカで開催されている2010 FIFAワールドカップであろう。このような世界的なイベントあわせて関連ニュースを装ったスパムメールも確認された。メール本文には「ワールドカップ2010関連のスキャンダル、添付ファイル参照」とあり、ユーザーの関心を惹こうとしている。このようにFIFAワールドカップ関連ニュースを装い、添付ファイルを開かせようとしているのである(図1)。

図1 FIFAワールドカップ関連ニュースを装ったスパムメール(同社Webサイトより)

添付された不正なHTMLファイル内にはランキング6位のJS_REDIR(リデアー)として検出される不正なコードが含まれていいる。添付ファイルを実行するとワールドカップとは無関係なサイト(図2)が開かれ、同時にユーザに気づかれないように裏で別のURLに接続する。

図2 まったく無関係なWebサイトが開かれる(同社Webサイトより)<

接続先のサーバからPDFファイルやJavaファイルをダウンロードし、アプリケーションの脆弱性を利用してさまざまな不正ファイルを作成する。これらのファイルが実行されると、偽セキュリティソフトをインストールしたり、FTPのパスワードが盗まれたりする。この攻撃では、ガンブラー攻撃でもリダイレクト先として利用されるURL「.ru:8080」が利用されていることが確認されている。

表2 不正プログラム感染被害報告数ランキング[2010年6月]

順位 検出名 通称 種別 件数 先月順位
1位 WORM_DOWNAD ダウンアド ワーム 59件 1位
2位 MAL_HIFRM ハイフレーム その他 22件 2位
3位 MAL_OTORUN オートラン その他 21件 3位
4位 HTML_ALLAPLE オールアプレ その他 20件 圏外
4位 TROJ_FAKEAV フェイクエイブイ トロイの木馬 20件 4位
6位 BKDR_AGENT エージェント バックドア 17件 5位
6位 JS_REDIR リデアー Java Script 17件 圏外
8位 JS_PEGEL ペーゲル Java Script 16件 New
8位 MAL_XED-22 ゼッドトゥエンティートゥー その他 16件 圏外
10位 WORM_AUTORUN オートラン ワーム 15件 圏外