トレンドマイクロは、2010年9月度のインターネット脅威マンスリーレポートを発表した。OSやアプリケーションの脆弱性が発見されると、メーカーなどから修正プログラムや修正パッチが提供される。この脆弱性の発見から対策が施されるまでの間を狙うのがゼロディ攻撃である。セロディ攻撃は、無防備な状態に攻撃を仕掛けるもので、非常に危険なものとなる。9月はAdobe Reader/Acrobatの脆弱性を狙ったゼロディ攻撃が行われた。
2010年9月の脅威傾向
9月の不正プログラム感染被害の総報告数は1,128件で、8月の1,121件から、大きな変化はない。ランキング(表1)を見ると、今月は圏外からのランクインが多数を占めた。10位にランクインした「TROJ_PIDIEF(ピディエフ)」は、Adobe Reader/Acrobatの脆弱性を狙ったウイルスである。この脆弱性は、9月8日にアドビシステムズから脆弱性識別番号:CVE-2010-2883として発表された。この脆弱性は、不正なPDFファイルを開くことで、PDF内に仕込まれたウイルスが実行されるというものである。実際に不正なPDFファイルを開くと、図1のようになる。
さらに感染すると、複数の不正なプログラムがダウンロードされる。不正プログラムの1つには、バックドア活動を行い、情報流出の危険性を含んだものも確認された。「TROJ_PIDIEF」の中には、利用者の目をあざむくため、無害なPDFファイルを作成、実行するものも存在した(図2)。
この脆弱性の修正プログラムは10月5日に公開された。脆弱性の発表された9月9日から10月5日までは、脆弱性の解消が行われずゼロディ攻撃の対象となった。また、9月13日には脆弱性識別番号:APSA10-03としてAdobe Flash Playerの脆弱性が発表された。9月20日に修正プログラムが公開されたが、この脆弱性においてもゼロデイ攻撃が確認された。つねに最新の脆弱性情報を収集し、脆弱性を放置しない対策を講じてほしい。
また、iOSの脆弱性を悪用しiPhone、iPadなどを狙うJailbreak(脱獄)ツールも報告されている。詳細は、トレンドマイクロセキュリティブログを参照してほしい。ランクインはしていないが、新種のマスメール型ワームが検出された。9月9日に発見された「WORM_MEYLME(メイルミー)」である。北米を中心に感染が報告されている。これまでのマスメールの手口同様、メールのURLをクリックさせて感染、同様のメールをアドレス帳に登録された宛先に自動で送信する。実際には図3のようなものだ。
特徴として、件名に「Here you have」などが使われる。国内での被害は、多くは報告されてはいない。しかし、ひとたびこの種のワームに感染すると爆発的に感染が拡大する可能性もある。不審なメールには、くれぐれも注意してほしい。また対策として、レピュテーション機能を使い、不正なURLへのアクセスを遮断することも有効である。
表1 不正プログラム感染被害報告数ランキング[2010年9月度]
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
---|---|---|---|---|---|
1位 | WORM_DOWNAD | ダウンアド | ワーム | 38件 | 1位 |
2位 | JS_REDIR | リデアー | Java Script | 22件 | 圏外 |
3位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬 | 12件 | 2位 |
3位 | TROJ_OFICLA | オフィクラ | トロイの木馬 | 12件 | 圏外 |
5位 | MAL_HIFRM | ハイフレーム | その他 | 11件 | 圏外 |
6位 | BKDR_AGENT | エージェント | バックドア | 8件 | 5位 |
6位 | TROJ_BREDOLAB | ブレドラボ | トロイの木馬 | 8件 | 5位 |
8位 | MAL_XED-10 | ゼッドテン | その他 | 6件 | 10位 |
8位 | HTML_REDIR | リデアー | その他 | 6件 | 圏外 |
10位 | MAL_OTORUN | オートラン | その他 | 5件 | 4位 |
10位 | WORM_AUTORUN | オートラン | ワーム | 5件 | 10位 |
10位 | TROJ_PIDIEF | ピディエフ | トロイの木馬 | 5件 | 圏外 |
10位 | JAVA_REXEC | レゼック | Java Applet | 5件 | 圏外 |
10位 | TROJ_FAKELRT | フェイクエルアールティ | トロイの木馬 | 5件 | 圏外 |
10位 | JS_HACKLOAD | ハックロード | Java Script | 5件 | 圏外 |
10位 | WORM_TATERF | タテルフ | ワーム | 5件 | 圏外 |
2010年上半期のトピックより - USBメモリによる感染の割合は減少するも引き続き注意が必要
2010年6月のマンスリーレポートとともに、2010年上半期の脅威についても紹介した。紙数の関係で紹介できなかったトピックを紹介しよう。不正プログラム感染被害報告数ランキングでは、USBメモリなどリムーバブルメディアを悪用する不正な設定ファイル「MAL_OTORUN」が315件で1位となった。2009年上期では、上位10種の報告数合計の約43.5%を占めていたが、2010年上期では約24.4%と減少している。
多くの不正プログラムにおいてUSBメモリ経由の感染手法は常套化したと考えらるが、自動起動させないなど、ユーザ側での対策も認知されたため、感染数が減少しているものと考えらる。しかし。今月のランキングでも急上昇したLNK_STUXNETといった新たなウイルスも登場した。悪意を持った攻撃者には、USBメモリは、感染経路として相変わらず有効な方法と考えているようである。流行の可能性もあり、引き続き注意してほしい。