トレンドマイクロは、2011年1月度のインターネット脅威マンスリーレポートを発表した。1月からは、これまでの感染報告数の集計以外によるランキングも発表された。トレンドマイクロでは、今後、この形式にてレポートを行っていくとのことだ。その背景なども合わせて紹介しよう。今回は日本国内の不正プログラムの検出状況を公開している。

SPNで収集・集計されたランキング

1月のレポートからは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(以下、SPNと略記)」のスマートフィードバックにより収集・集計された脅威の検出数のランキングも同時に発表される。スマートフィードバックとは、トレンドマイクロ製品・サービスが発見した脅威に関する情報をクラウドにあるSPNにフィードバックして最新のセキュリティ対策を提供するための仕組みである(詳細はこちら)。3つのランキングがあるが、まずは、日本国内の不正プログラム検出状況である。

表1 不正プログラム検出数ランキング(日本国内[2011年1月度])

順位 検出名 通称 種別 検出数
1位 CRCK_GETCPRM ゲットシーピーアールエム クラッキングツール 5,573台
2位 WORM_DOWNAD.AD ダウンアド ワーム 4,997台
3位 CRCK_KEYGEN キーゲン クラッキングツール 3,116台
4位 WORM_ANTINNY.AI アンティニー ワーム 1,006台
5位 WORM_ANTINNY.F アンティニー ワーム 767台
6位 HKTL_KEYGEN キーゲン クラッキングツール 757台
7位 WORM_ANTINNY.JB アンティニー ワーム 745台
8位 PE_PARITE.A パリット ファイル感染型 742台
9位 ADW_DOUBLED ドウブレッド アドウェア 703台
10位 TROJ_REDOS.SME レドス トロイの木馬 659台

そして、表2は全世界で検出された不正プログラムである。

表2 不正プログラム検出数ランキング(全世界[2011年1月度])

順位 検出名 通称 種別 検出数
1位 WORM_DOWNAD.AD ダウンアド ワーム 116,680台
2位 CRCK_KEYGEN キーゲン クラッキングツール 32,960台
3位 TSPY_ONLINEG.MCS オンラインジー スパイウェア 12,937台
4位 HKTL_KEYGEN キーゲン クラッキングツール 10,029台
5位 WORM_FLYSTUDI.B フライスチューディ ワーム 9,619台
6位 TROJ_FAKEAV.SMT1 フェイクエイブイ トロイの木馬 7,446台
7位 TROJ_HILOTI.SMAE ヒロティ トロイの木馬 6,613台
8位 CRCK_GETCPRM ゲットシーピーアールエム クラッキングツール 6,288台
9位 TROJ_LAMEWAR.VTG ライムウェア トロイの木馬 5,066台
10位 PE_SALITY.RL サリティ ファイル感染型 4,509台

そして、表3はこれまで同様、日本のトレンドマイクロサポートセンターに報告された感染被害報告数のランキングである。

表3 不正プログラム感染被害報告数ランキング(日本国内[2011年1月度])

順位 検出名 通称 種別 件数 先月順位
1位 WORM_DOWNAD ダウンアド ワーム 24件 1位
2位 MAL_OTORUN オートラン その他 18件 8位
3位 BKDR_AGENT エージェント バックドア 14件 3位
4位 MAL_OLGM-41 オーエルジーエム その他 10件 10位
5位 WORM_AUTORUN オートラン ワーム 8件 5位

表1、表2では、これまでとはかなり異なる不正プログラムがランクインしており、ずいぶんと印象が異なる。以下で、その詳細を見ていこう。

「見えない化」が進む脅威

このように、感染報告数だけでなくSPNの検出数を収集・集計したことについて、トレンドマイクロでは、脅威の「見えない化」をあげる。本誌の記事でも紹介したように、感染報告数は、この数年で減少傾向にある。しかし、それは脅威の減少ではなく、発見される機会が減少していることやセキュリティ対策ソフトが未然に脅威を防いでいることが原因にある。一方、表3のランキングもこれまで長年にわたり集計してきたもので、そのランキングが無意味ということではない。複数の集計によって、脅威の実態をより詳細にあぶりだすことが目的である。

日本固有の脅威が浮かび上がる-「WORM_ANTINNY(アンティニー)」ファミリが多数ランクイン

表1に戻ろう。国内で検出された不正プログラムであるが、まずはファイル共有ソフト関連の「WORM_ANTINNY(アンティニー)」ファミリが4位、5位、7位と3種もランクインしている点に注目したい。表2ではまったくランクインしておらず、まさに日本固有の不正プログラムである。さらに1位となった「CRCK_GETCPRM(ゲットシーピーアールエム)」は、DVDなどで使われている著作権保護技術である「Content Protection for Recordable Media(CPRM)」の制御を不正に解除するプログラムである。トレンドマイクロによれば、この不正プログラムも検出の地域差が大きく、表2の検出数も9割が日本とのことである。

世界の脅威-クラッキングツールが猛威を

全世界に目を向けると、クラッキングツールが多く検出されている。「CRCK_KEYGEN(キーゲン)」、「HKTL_KEYGEN(キーゲン)」などが国内、全世界でランクインしている。「CRCK_GETCPRM」同様にクラックを目的とし、有償ソフトウェアのシリアル番号を不正に解読する目的に使われる。トレンドマイクロでは、脆弱性を悪用した感染活動やマスメーリングなどで不特定多数を対象にした攻撃に比べ、ユーザの行動に応じて遭遇率が左右するものであり、ユーザの心がけ次第で感染機会を低減できると注意喚起している。特に、不正ツールやファイル共有ソフトの使用は、法律やモラルの問題を含み、連鎖的な不正プログラムへの感染につながる危険性を指摘している。

また、脆弱性を悪用し侵入、複数の感染経路を持つワーム「WORM_DOWNAD(ダウンアド)」は、検出数で国内2位、全世界1位、感染被害報告数でも1位と世界的に猛威を振るっている。表3では、2位の「MAL_OTORUN(オートラン)」、4位の「MAL_OLGM-41(オーエルジーエム)」、5位の「WORM_AUTORUN(オートラン)」がUSBメモリを媒介に感染拡大する不正プログラムである。企業などで、重要なデータを取り扱う場合には、セキュリティ対策機能付きのUSBメモリを使うといった対策が有効であろう。

国内でも偽セキュリティ対策ソフトが確認

表2の6位にランクインした「TROJ_FAKEAV.SMT1(フェイクエイブイ)」は、偽の警告メッセージを表示し、ユーザの金銭や情報を詐取する不正プログラムである。

図1 偽のシステム診断をするTROJ_FAKEAV.GG(マンスリーレポートより)

次いで、修復には正規版の購入が必要とし、購入サイト(悪意あるWebサイト)に誘導する。

図2 正規版の購入を促すTROJ_FAKEAV.GG(マンスリーレポートより)

「TROJ_FAKEAV」のほとんどは英語表記であり、日本では注意力も働きやすい。しかし、トレンドマイクロによれば、日本でも感染が報告されているとのことだ。このような被害に遭うのは、セキュリティ対策ソフトを導入していないことが原因となる。被害を防ぐためにも、正しいセキュリティ対策ソフトを導入しておきたい。

「Spy Eye(スパイアイ)」に操られるボットが日本でも確認

悪意を持った攻撃者らがよく使う手口に、PCの乗っ取りがある。遠隔操作で乗っ取ったPCを操ることから「ボット」と呼ばれる(語源はロボット)。そのための不正プログラム(トロイの木馬)を作成したり、ボットを操るためのツールの1つが「Spy Eye」と呼ばれるツールキットである。

図3 Spy Eye(全体を把握する画面、マンスリーレポートより)

これらのツールキットは、インターネットの闇市場で売買されている。トレンドマイクロによると、国内でも「Spy Eye」の感染が確認されたとのことである。

図4 TROJ_SPYEYEに感染した個々のPCを操る画面(マンスリーレポートより)

ボット化されたPCは、踏み台、スパムメールの送信、フィッシング詐欺、DDoS攻撃などに悪用される。被害者どころか加害者になる危険性もある。十二分に注意してほしい。