トレンドマイクロは、2010年10月度のインターネット脅威マンスリーレポートを発表した。10月は、アフィリエイトや偽セキュリティ対策ソフトを使い、最終的には金銭を奪取することを目的とする攻撃が行われた。国内の100社以上で感染被害が報告されている。
2010年10月の脅威傾向
10月の不正プログラム感染被害の総報告数は1,294件で、9月の1,128件から増加がみられる。10月に多数の感染被害が報告されたのは、正規のWebサイトの改ざんから始まる攻撃であった。その際に使用する不正プログラム「TROJ_DLOAD
」のファイル名から、「mstmp(エムエステンプ)」と呼ばれる。感染報告数ランキング(表1)で1位となった「TROJ_DLOAD
(ディロード)」、2位となった「TROJ_EXEDOT
(エグゼドット)」、8位となった「JAVA_AGENT
(エージェント)」が、この攻撃に関連した不正プログラムである。これらのランクインにより、10月のランキングはいつもとは大きく異なるものとなった。この攻撃の流れは以下のようになる(図1)。
- ユーザーが改ざんされた正規のWebサイトを閲覧
- 正規のWebサイト内に仕込まれたコードによって不正なWebサイトへ誘導
- 不正なWebサイトから、Javaの脆弱性を悪用する不正プログラム「
JAVA_AGENT
」がダウンロード
- 「
JAVA_AGENT」が「TROJ_DLOAD
」をダウンロード
- 「
TROJ_DLOAD」が別のの不正プログラムをダウンロードし、「TROJ_EXEDOT」
を作成
- 不正なWebサイトから、金銭目的の不正プログラムがダウンロード
- 悪意を持った攻撃者が金銭を奪取
2番目の最初に誘導された不正なWebサイトでは、アクセスしたユーザーの環境を確認し、脆弱性がある場合にそれを悪用する不正プログラム「JAVA_AGENT
」がダウンロードされる。悪用される脆弱性は、Oracle Sun JDKおよびJREの脆弱性(CVE-2010-0094)が確認されている。最終的にダウンロードされる不正プログラムには、特定のサイトの閲覧数を増やすクリッカーや偽セキュリティ対策ソフト「TROJ_FAKEAV
(フェイクエイブイ)」が確認されている。クリッカーは、サイトへの誘導数によって金銭が支払われるアフィリエイトでの報酬を狙っていると推察される。
偽セキュリティ対策ソフトも、悪意を持った攻撃者は金銭詐取を目的としており、今回の攻撃が明らかな金銭目的であることがわかる。被害は主に日本の企業ユーザに集中しており、トレンドマイクロには国内の企業100社以上から感染被害報告がよせられたとのことである。この攻撃で最終的にダウンロードされる偽セキュリティ対策ソフト「TROJ_FAKEAV
」も巧妙化が見られるとのことだ。10月下旬に確認された新種の「TROJ_FAKEAV
」は、マイクロソフトのセキュリティ対策ソフト「Microsoft Security Essentials」を装い、偽のウイルス警告を発する(図2)。
特にMicrosoft Security Essentials」のユーザーには、通常の警告との区別が非常に難しい。新種の「TROJ_FAKEAV
」は、最終的に購入を促すWebサイトが誘導され、個人情報やクレジットカード番号の入力を要求する(図3)。
表1 不正プログラム感染被害報告数ランキング[2010年10月度]
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
---|---|---|---|---|---|
1位 | TROJ_DLOAD | ディロード | トロイの木馬 | 142件 | 圏外 |
2位 | TROJ_EXEDOT | エグゼドット | トロイの木馬 | 81件 | 圏外 |
3位 | WORM_DOWNAD | ダウンアド | ワーム | 45件 | 1位 |
4位 | MAL_OTORUN | オートラン | その他 | 35件 | 10位 |
5位 | JAVA_LOADER | ローダー | その他 | 17件 | 圏外 |
6位 | BKDR_TDSS | ティーディーエスエス | バックドア | 14件 | 圏外 |
7位 | TROJ_BREDOLAB | ブレドラボ | トロイの木馬 | 12件 | 6位 |
8位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬 | 8件 | 圏外 |
8位 | JAVA_AGENT | エージェント | その他 | 8件 | 圏外 |
8位 | JS_IFRAME | アイフレーム | Java Script | 8件 | 圏外 |
8位 | TSPY_ZBOT | ゼットボット | トロイの木馬 | 8件 | 圏外 |
2010年上半期のトピックより-ダウンアドによる再感染…サポートが切れるWindows 2000に注意を
2010年6月のマンスリーレポートとともに、2010年上半期の脅威についても以前紹介した。過去にできなかったトピックをここで紹介しよう。「WORM_DOWNAD
」は、2009年11月以来、脆弱性を悪用し、現在でも猛威をふるうワームである(今月のランキングでも3位に入っている)。LAN内に1台でも「WORM_DOWNAD
」に感染しているPCがあると、再度、脆弱性の悪用やパスワード攻撃により再感染してしまう。対策としては、安易なパスワードを設定しない、脆弱性の解消をするといったことが求められる。しかし、企業などでは漏れなく運用することが難しく、対策が十分にとられないといった実情が浮き彫りになった。
また、「WORM_DOWNAD
」に感染するとWindows Updateが無効化されるなどの被害もあり、さらに対応が後手に回ることがあった。現在も活動は活発なので、十分に注意をしてほしい。さらにトレンドマイクロでは、レガシーなOSに対しても注意を喚起している。Windows 2000はいまでも、多くの企業で使われている。しかし、2010年7月13日にサポートが終了しており、今後修正プログラムが提供されない。不正プログラムに感染すると、感染の長期化、根本的な対策ができないなどの懸念が発生する。システムの見直しや、新しいOSへの移行も検討すべきとのことだ。