トレンドマイクロは、2010年10月度のインターネット脅威マンスリーレポートを発表した。10月は、アフィリエイトや偽セキュリティ対策ソフトを使い、最終的には金銭を奪取することを目的とする攻撃が行われた。国内の100社以上で感染被害が報告されている。

2010年10月の脅威傾向

10月の不正プログラム感染被害の総報告数は1,294件で、9月の1,128件から増加がみられる。10月に多数の感染被害が報告されたのは、正規のWebサイトの改ざんから始まる攻撃であった。その際に使用する不正プログラム「TROJ_DLOAD」のファイル名から、「mstmp(エムエステンプ)」と呼ばれる。感染報告数ランキング(表1)で1位となった「TROJ_DLOAD(ディロード)」、2位となった「TROJ_EXEDOT(エグゼドット)」、8位となった「JAVA_AGENT(エージェント)」が、この攻撃に関連した不正プログラムである。これらのランクインにより、10月のランキングはいつもとは大きく異なるものとなった。この攻撃の流れは以下のようになる(図1)。

図1 正規のWebサイトの改ざんから始まる一連の攻撃(トレンドマイクロのレポートより)

  1. ユーザーが改ざんされた正規のWebサイトを閲覧
  2. 正規のWebサイト内に仕込まれたコードによって不正なWebサイトへ誘導
  3. 不正なWebサイトから、Javaの脆弱性を悪用する不正プログラム「JAVA_AGENT」がダウンロード
  4. JAVA_AGENT」が「TROJ_DLOAD」をダウンロード
  5. TROJ_DLOAD」が別のの不正プログラムをダウンロードし、「TROJ_EXEDOT」を作成
  6. 不正なWebサイトから、金銭目的の不正プログラムがダウンロード
  7. 悪意を持った攻撃者が金銭を奪取

2番目の最初に誘導された不正なWebサイトでは、アクセスしたユーザーの環境を確認し、脆弱性がある場合にそれを悪用する不正プログラム「JAVA_AGENT」がダウンロードされる。悪用される脆弱性は、Oracle Sun JDKおよびJREの脆弱性(CVE-2010-0094)が確認されている。最終的にダウンロードされる不正プログラムには、特定のサイトの閲覧数を増やすクリッカーや偽セキュリティ対策ソフト「TROJ_FAKEAV(フェイクエイブイ)」が確認されている。クリッカーは、サイトへの誘導数によって金銭が支払われるアフィリエイトでの報酬を狙っていると推察される。

偽セキュリティ対策ソフトも、悪意を持った攻撃者は金銭詐取を目的としており、今回の攻撃が明らかな金銭目的であることがわかる。被害は主に日本の企業ユーザに集中しており、トレンドマイクロには国内の企業100社以上から感染被害報告がよせられたとのことである。この攻撃で最終的にダウンロードされる偽セキュリティ対策ソフト「TROJ_FAKEAV」も巧妙化が見られるとのことだ。10月下旬に確認された新種の「TROJ_FAKEAV」は、マイクロソフトのセキュリティ対策ソフト「Microsoft Security Essentials」を装い、偽のウイルス警告を発する(図2)。

図2 「Microsoft Security Essentials」を装う新種の「TROJ_FAKEAV」(トレンドマイクロのレポートより)

特にMicrosoft Security Essentials」のユーザーには、通常の警告との区別が非常に難しい。新種の「TROJ_FAKEAV」は、最終的に購入を促すWebサイトが誘導され、個人情報やクレジットカード番号の入力を要求する(図3)。

図3 最終的に誘導される購入のためのWebサイト(トレンドマイクロのレポートより)

表1 不正プログラム感染被害報告数ランキング[2010年10月度]

順位 検出名 通称 種別 件数 先月順位
1位 TROJ_DLOAD ディロード トロイの木馬 142件 圏外
2位 TROJ_EXEDOT エグゼドット トロイの木馬 81件 圏外
3位 WORM_DOWNAD ダウンアド ワーム 45件 1位
4位 MAL_OTORUN オートラン その他 35件 10位
5位 JAVA_LOADER ローダー その他 17件 圏外
6位 BKDR_TDSS ティーディーエスエス バックドア 14件 圏外
7位 TROJ_BREDOLAB ブレドラボ トロイの木馬 12件 6位
8位 TROJ_FAKEAV フェイクエイブイ トロイの木馬 8件 圏外
8位 JAVA_AGENT エージェント その他 8件 圏外
8位 JS_IFRAME アイフレーム Java Script 8件 圏外
8位 TSPY_ZBOT ゼットボット トロイの木馬 8件 圏外

2010年上半期のトピックより-ダウンアドによる再感染…サポートが切れるWindows 2000に注意を

2010年6月のマンスリーレポートとともに、2010年上半期の脅威についても以前紹介した。過去にできなかったトピックをここで紹介しよう。「WORM_DOWNAD」は、2009年11月以来、脆弱性を悪用し、現在でも猛威をふるうワームである(今月のランキングでも3位に入っている)。LAN内に1台でも「WORM_DOWNAD」に感染しているPCがあると、再度、脆弱性の悪用やパスワード攻撃により再感染してしまう。対策としては、安易なパスワードを設定しない、脆弱性の解消をするといったことが求められる。しかし、企業などでは漏れなく運用することが難しく、対策が十分にとられないといった実情が浮き彫りになった。

また、「WORM_DOWNAD」に感染するとWindows Updateが無効化されるなどの被害もあり、さらに対応が後手に回ることがあった。現在も活動は活発なので、十分に注意をしてほしい。さらにトレンドマイクロでは、レガシーなOSに対しても注意を喚起している。Windows 2000はいまでも、多くの企業で使われている。しかし、2010年7月13日にサポートが終了しており、今後修正プログラムが提供されない。不正プログラムに感染すると、感染の長期化、根本的な対策ができないなどの懸念が発生する。システムの見直しや、新しいOSへの移行も検討すべきとのことだ。