トレンドマイクロは、2010年9月度のインターネット脅威マンスリーレポートを発表した。OSやアプリケーションの脆弱性が発見されると、メーカーなどから修正プログラムや修正パッチが提供される。この脆弱性の発見から対策が施されるまでの間を狙うのがゼロディ攻撃である。セロディ攻撃は、無防備な状態に攻撃を仕掛けるもので、非常に危険なものとなる。9月はAdobe Reader/Acrobatの脆弱性を狙ったゼロディ攻撃が行われた。

2010年9月の脅威傾向

9月の不正プログラム感染被害の総報告数は1,128件で、8月の1,121件から、大きな変化はない。ランキング(表1)を見ると、今月は圏外からのランクインが多数を占めた。10位にランクインした「TROJ_PIDIEF(ピディエフ)」は、Adobe Reader/Acrobatの脆弱性を狙ったウイルスである。この脆弱性は、9月8日にアドビシステムズから脆弱性識別番号:CVE-2010-2883として発表された。この脆弱性は、不正なPDFファイルを開くことで、PDF内に仕込まれたウイルスが実行されるというものである。実際に不正なPDFファイルを開くと、図1のようになる。

図1 「ファイルが壊れている」と表示される(トレンドマイクロのレポートより)

さらに感染すると、複数の不正なプログラムがダウンロードされる。不正プログラムの1つには、バックドア活動を行い、情報流出の危険性を含んだものも確認された。「TROJ_PIDIEF」の中には、利用者の目をあざむくため、無害なPDFファイルを作成、実行するものも存在した(図2)。

図2 無害なPDFファイル(トレンドマイクロのレポートより)

この脆弱性の修正プログラムは10月5日に公開された。脆弱性の発表された9月9日から10月5日までは、脆弱性の解消が行われずゼロディ攻撃の対象となった。また、9月13日には脆弱性識別番号:APSA10-03としてAdobe Flash Playerの脆弱性が発表された。9月20日に修正プログラムが公開されたが、この脆弱性においてもゼロデイ攻撃が確認された。つねに最新の脆弱性情報を収集し、脆弱性を放置しない対策を講じてほしい。

また、iOSの脆弱性を悪用しiPhone、iPadなどを狙うJailbreak(脱獄)ツールも報告されている。詳細は、トレンドマイクロセキュリティブログを参照してほしい。ランクインはしていないが、新種のマスメール型ワームが検出された。9月9日に発見された「WORM_MEYLME(メイルミー)」である。北米を中心に感染が報告されている。これまでのマスメールの手口同様、メールのURLをクリックさせて感染、同様のメールをアドレス帳に登録された宛先に自動で送信する。実際には図3のようなものだ。

図3 「WORM_MEYLME」が送るメール例(トレンドマイクロのレポートより)

特徴として、件名に「Here you have」などが使われる。国内での被害は、多くは報告されてはいない。しかし、ひとたびこの種のワームに感染すると爆発的に感染が拡大する可能性もある。不審なメールには、くれぐれも注意してほしい。また対策として、レピュテーション機能を使い、不正なURLへのアクセスを遮断することも有効である。

表1 不正プログラム感染被害報告数ランキング[2010年9月度]

順位 検出名 通称 種別 件数 先月順位
1位 WORM_DOWNAD ダウンアド ワーム 38件 1位
2位 JS_REDIR リデアー Java Script 22件 圏外
3位 TROJ_FAKEAV フェイクエイブイ トロイの木馬 12件 2位
3位 TROJ_OFICLA オフィクラ トロイの木馬 12件 圏外
5位 MAL_HIFRM ハイフレーム その他 11件 圏外
6位 BKDR_AGENT エージェント バックドア 8件 5位
6位 TROJ_BREDOLAB ブレドラボ トロイの木馬 8件 5位
8位 MAL_XED-10 ゼッドテン その他 6件 10位
8位 HTML_REDIR リデアー その他 6件 圏外
10位 MAL_OTORUN オートラン その他 5件 4位
10位 WORM_AUTORUN オートラン ワーム 5件 10位
10位 TROJ_PIDIEF ピディエフ トロイの木馬 5件 圏外
10位 JAVA_REXEC レゼック Java Applet 5件 圏外
10位 TROJ_FAKELRT フェイクエルアールティ トロイの木馬 5件 圏外
10位 JS_HACKLOAD ハックロード Java Script 5件 圏外
10位 WORM_TATERF タテルフ ワーム 5件 圏外

2010年上半期のトピックより - USBメモリによる感染の割合は減少するも引き続き注意が必要

2010年6月のマンスリーレポートとともに、2010年上半期の脅威についても紹介した。紙数の関係で紹介できなかったトピックを紹介しよう。不正プログラム感染被害報告数ランキングでは、USBメモリなどリムーバブルメディアを悪用する不正な設定ファイル「MAL_OTORUN」が315件で1位となった。2009年上期では、上位10種の報告数合計の約43.5%を占めていたが、2010年上期では約24.4%と減少している。

多くの不正プログラムにおいてUSBメモリ経由の感染手法は常套化したと考えらるが、自動起動させないなど、ユーザ側での対策も認知されたため、感染数が減少しているものと考えらる。しかし。今月のランキングでも急上昇したLNK_STUXNETといった新たなウイルスも登場した。悪意を持った攻撃者には、USBメモリは、感染経路として相変わらず有効な方法と考えているようである。流行の可能性もあり、引き続き注意してほしい。