トレンドマイクロは、2010年11月度のインターネット脅威マンスリーレポートを発表した。11月は、メールにzip形式で添付されるウイルス「WORM_PROLACO(プロラコ)」が新たに検知された。巧みに偽装が行われており、被害が多数報告されている。

2010年11月の脅威傾向

11月の不正プログラム感染被害の総報告数は1,049件で、10月の1,294件から減少している。

表1 不正プログラム感染被害報告数ランキング[2010年11月度]

順位 検出名 通称 種別 件数 先月順位
1位 WORM_DOWNAD ダウンアド ワーム 29件 1位
2位 MAL_OTORUN オートラン その他 20件 4位
2位 WORM_PROLACO プロラコ ワーム 20件 圏外
4位 WORM_AUTORUN オートラン ワーム 15件 圏外
5位 TROJ_HILOTI ヒロティ トロイの木馬 13件 圏外
6位 TROJ_DELF デルフ トロイの木馬 8件 圏外
7位 MAL_HIFRM ハイフレーム その他 6件 圏外
8位 TROJ_PIDIEF ピディエフ トロイの木馬 5件 圏外
8位 TROJ_REFROSO レフロソ トロイの木馬 5件 圏外
10位 TROJ_FAKEAV フェイクエイブイ トロイの木馬 4件 8位
10位 JS_IFRAME アイフレーム Java Script 4件 圏外
10位 JS_GUMBLAR ガンブラー Java Script 4件 圏外
10位 WORM_TATERF タテルフ ワーム 4件 圏外

今月もランキングには「圏外」の文字が多い。これは、10月に猛威をふるったWebサイトを改ざんするmstmp攻撃関連の不正プログラムがランク外になり、代わりに9月までの不正プログラムがランクインしたためである。1位には「WORM_DOWNAD(ダウンアド)」、2位には「MAL_OTORUN(オートラン)」とこれまでの常連が上位となった。

著名な企業を装ったサービスからのメールがきっかけに

さて、11月のランキングで注目したいのは「WORM_PROLACO(プロラコ)」である。メールにzip形式で添付されてくる不正プログラムだ。この手口自体は、古くからあるもので目新しさはない。しかし、今回のメールは偽装のレベルの高いことが特徴である。

図1 Amazonから送信されたように装うメール(トレンドマイクロのレポートより)

図1はAmazonからのメールを偽装している。同様に図2ではfacebookの招待状、図3ではGoogleの採用関連書類を偽装している。

図2 Twitterからの招待状を装うメール、添付ファイルをクリックせよとある(トレンドマイクロのウイルスデータベースより)

図3 Googleからの採用関連書類を装うメール(トレンドマイクロのレポートより)

一見した程度では、偽装と見抜くのが難しいレベルである。いずれも有名な企業やサービスであり、この点も感染拡大に影響していると思われる。

多様な感染経路を持つ「WORM_PROLACO」

「WORM_PROLACO」のもう1つ特徴は、多くの感染経路を持つことである。

図4 `「WORM_PROLACO」`の感染経路(トレンドマイクロのレポートより)

一度感染すると、図4のように複数の方法で感染拡大を行う。Webサーバ公開フォルダ経由では、セキュリティ修正プログラムのダウンロードページを装ったindex.htmlファイルと自身のコピーを作成する(図5)。

図5 `「WORM_PROLACO」`がセキュリティ警告を偽装(トレンドマイクロのレポートより)

セキュリティ修正プログラムを装うが、リンクの実体は「WORM_PROLACO」本体であり、Web経由の感染経路となりうる。メールにもさまざまな種類がある。銀行を装ったフィッシングサイトへ誘導するメールもある(図6)。

図6 銀行を装うフィッシングサイトへ誘導(トレンドマイクロのレポートより)

すでにルートキット機能による自身の活動の隠蔽する亜種や別の不正プログラムの作成も確認されている。5位にランクインした「TROJ_HILOTI(ヒロティ)」はその1つである。

「WORM_PROLACO」への対策は?

感染経路も特に目新しいものはない。旧来の手口ではあるが、これだけ多くの感染経路を持つことで、対策はトータルに行う必要が出てくる。リムーバブルメディアの扱い、パスワードやIDの管理、アクセス権限などを再度、確認・徹底すべきと、トレンドマイクロでは注意喚起している。

図7 クリスマスカードを装ったメール(トレンドマイクロのレポートより)

そして、時期柄、グリーティングカードにも注意すべきとのことである。この時期、クリスマスカードや年賀状が増える。これに便乗し「WORM_PROLACO」配布が行われる可能性も否定できない。この点にも注意したい。そして、水際での防御が効果的である。不審な添付ファイルは開かないことを徹底してほしい。また、セキュリティ対策ソフトでの、不正メールのフィルタリングも効果的な対策になる。

トレンドマイクロセキュリティブログから

トレンドマイクロセキュリティブログでは、ウイルス解析担当者により、最新のセキュリティ動向などが紹介される。例月のレポートに対しても分析が行われている。

図8 トレンドマイクロセキュリティブログ

今月は、「WORM_PROLACO」を中心に取り上げている。より詳しい情報が知りたい方はぜひアクセスしていただきたい。