トレンドマイクロは、2010年7月度のインターネット脅威マンスリーレポートを発表。7月は、2010年3月より5カ月連続でランクインしている偽セキュリティソフト「TROJ_FAKEAV
(フェイクエイブイ)」に、日本語化されたものが新たに発見された。
2010年7月の脅威傾向
7月の不正プログラム感染被害の総報告数は1,618件で、6月の1,774件からやや減少している。7月は、2010年3月より5カ月連続でランクインしている偽セキュリティソフト「TROJ_FAKEAV
(フェイクエイブイ)」に、日本語化されたものが新たに発見された(図1)。日本語など25の言語で表示する不正プログラムであり、コンピュータの言語環境に合わせ、表示言語が変化する。メイン画面もそうであるがWindowsのバルーンチップの内容も変化するなど、手の込んだものとなっている。
また、その日本語内容も、一読した限りでは、おかしな表現など感じられない(これまでの日本語化された偽セキュリティソフトの一部には、日本語レベルの低いものもあり、それで不審に感じることができた)。これまでも、まず英語版の偽セキュリティソフトが流通し、その後、さまざまな言語に翻訳されたものが出回ることが多かった。今回の「SecurityTool」という名前の偽セキュリティソフトも、英語版が2010年1月に確認されており、それが多言語化されたものと想定されるとのことである。この偽セキュリティソフトは、正規Webサイト改ざんによる不正プログラム感染、いわゆるガンブラー攻撃によってダウンロードされることが確認されている。
図1 新たに発見された多言語対応偽セキュリティソフトの画面。Windowsセキュリティセンターのアイコンに偽装されており、バルーンチップで偽の警告メッセージを出す(左)。日本語など25の言語が用意されており、コンピュータの言語環境に合わせたものを表示する(右)(トレンドマイクロのレポートより)。 |
また、ガンブラー攻撃の手法が、迷惑(スパム)メールに応用された例が確認された。6月中旬より、迷惑メールに不正なHTMLファイルを添付する例が多く見つかっており、ユーザが添付ファイルを実行した結果、不正なWebサイトに誘導され、最終的に脆弱性を悪用して不正プログラムがダウンロードされる被害が報告されている。添付のHTMLファイルは、ソースコードが難読化されており(図2)、この難読化の手口はガンブラー攻撃でよく用いられているものに酷似している。このように、一度流行した手口は、悪意を持った攻撃者にとっては有効な手口と判断され、様々な媒体に使われることになる。トレンドマイクロでは、よりいっそうの注意を喚起している。
図2 迷惑メールに添付されているHTMLファイルのソース例。迷惑メールに添付されたHTMLファイルをメモ帳で開くと、難読化されているため意味不明の文字列が表示される(左)。リージョナルトレンドラボで解読したところ、不正なWebサイトへ誘導させるソースコードが書かれていることを確認された(右)(トレンドマイクロのレポートより)。 |
7月のランキングは、表1のとおりである。
表1 不正プログラム感染被害報告数ランキング[2010年7月度]
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
---|---|---|---|---|---|
1位 | WORM_DOWNAD | ダウンアド | ワーム | 47件 | 1位 |
2位 | MAL_OTORUN | オートラン | トロイの木馬 | 19件 | 圏外 |
3位 | TROJ_DLOADR | ディローダー | トロイの木馬 | 19件 | 圏外 |
4位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬 | 17件 | 4位 |
5位 | BKDR_AGENT | エージェント | バックドア | 15件 | 6位 |
6位 | WORM_AUTORUN | オートラン | ワーム | 14件 | 10位 |
7位 | JS_IFRAME | アイフレーム | Java Script | 10件 | 圏外 |
7位 | TSPY_ONLINEG | オンラインゲーム | トロイの木馬 | 10件 | 圏外 |
7位 | TSPY_ZBOT | ゼットボット | トロイの木馬 | 10件 | 圏外 |
10位 | RTKT_BUBNIX | バブニクス | ルートキット | 9件 | 圏外 |
2010年上半期のトピックより-Webサイト改ざんの目的が明確に、悪用される脆弱性が多様化
2010年6月のマンスリーレポートとともに、2010年上半期の脅威についても紹介したが、そこでは紹介できなかったトピックを紹介しよう。2009年に確認された正規のWebサイト改ざんをきっかけにした不正プログラム感染では、Webサーバのアカウント/パスワードを盗んで再度Webサーバの改ざんに繋げるなど、改ざんを繰り返す傾向が多く見られた。しかし、2010年になると、偽セキュリティソフトに感染させ、金銭や情報を詐取する例が確認されており、Webサイト改ざんの目的がより明確になってきている。
また、OSだけではなく、Adobe Flash/Reader、JREなど様々なソフトウェアの脆弱性を悪用し、修正プログラムが提供される前に発生するゼロデイ攻撃も確認された。対策としては、修正プログラムが提供されるまでの暫定的な対策として、脆弱性を狙う攻撃自体を防ぐ仕組みを利用することが有効になる。とはいえ、脆弱性の解消なしにこのような攻撃を完全には防ぐことはできない。つねに、注意を払う必要があるだろう。