トレンドマイクロは、2011年3月度のインターネット脅威マンスリーレポートを発表した。ランキングの前に、3月11日に発生した東日本大震災に便乗したサイバー攻撃について報告しよう。トレンドマイクロでは、震災発生後、数時間で震災関連のフィッシングサイトや検索サイトの検索結果に不正なサイトが表示されるSEOポイズニングが海外で確認したとのことである。トレンドマイクロのブログによれば、Facebookを経由した不正プログラムなどもある。

図1 FacebookからYouTubeの偽ページに誘導される(トレンドマイクロのレポートより)

国内では、チェーンメールやデマメールも数多く報告されている。さらに不正プログラムを添付したメールも確認されている。そのいくつかを紹介しよう。まずは「放射線量の状況.doc」が添付されたメールである。

図2 「放射線量の状況.doc」が添付されたメール(トレンドマイクロのレポートより)

実際に、この添付ファイルは、図3のような内容となっている。

図3 偽の文書ファイル(トレンドマイクロのレポートより)

いかにもそれらしい内容を騙っている。同様な例として、上司から計画停電に関する指示として、「計画停電表.xls」といったファイルが添付されたメールも報告されている。添付ファイルの一部には、Adobe製品の脆弱性を悪用したTROJ_ADOF.Bという不正プログラムが含まれることもある。さらに不正プログラムが作成され、リモート操作が行われる危険性があるとのことだ。これまで、このような災害を悪用したメールは外国語がほとんどであり、注意力も働きやすかった。

しかし、計画停電に悩むユーザーにこのようなメールが届いた場合、注意力の低下は免れない。トレンドマイクロでは、今後は「ボランティア」や「支援」といったキーワードを使った攻撃が予想されるとのことだ。平常時と異なる環境下を悪用し、人間の不安感やボランティア精神につけこんだ攻撃が活発化していると、トレンドマイクロでは警告を発している。

国内で収集・集計されたランキング

1位はまたも「WORM_DOWNAD.AD(ダウンアド)」となった。それ以外のランキングでは、「TROJ_SPNR(エスピーエヌアール)」が亜種を含め、4種類がランクインしている。この不正プログラムは、感染したPCのWindows XPのプロダクトキーやWebブラウザに保存されたパスワードを盗み出そうとする。危険度は低いとのことであるが、パターンファイルの更新、脆弱性の解消などを怠りなく行ってほしい。

表1 不正プログラム検出数ランキング(日本国内[2011年2月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 4,425台 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 3,546台 2位
3位 TROJ_SPNR.03CG11 エスピーエヌアール トロイの木馬 2,831台 NEW
4位 TROJ_SPNR.03CF11 エスピーエヌアール トロイの木馬 2,794台 NEW
5位 ADW_TENCENT テンセント アドウェア 2,357台 圏外
6位 TROJ_SPNR.04CG11 エスピーエヌアール トロイの木馬 2,094台 NEW
7位 PE_PARITE.A パリット ファイル感染型 1,336台 6位
8位 WORM_ANTINNY.AI アンティニー ワーム 1,279台 5位
9位 TROJ_SPNR.03CI11 エスピーエヌアール トロイの木馬 1,268台 NEW
10位 HKTL_KEYGEN キーゲン ハッキングツール 1,207台 4位

世界で収集・集計されたランキング

こちらでも、1位は相変わらず、「WORM_DOWNAD.AD(ダウンアド)」となった。全体の傾向として、リムーバブルメディアを悪用する不正プログラムがランクインが目立つ。圏外から5位にランクインした「WORM_PALEVO.SMAH(パレボ)」も同様の感染手法を使う。引き続き、USBメモリの管理など十分に行ってほしい。

表2 不正プログラム検出数ランキング(全世界[2011年2月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 141,386台 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 39,228台 2位
3位 ADW_TENCENT テンセント アドウェア 33,414台 圏外
4位 TROJ_SPNR.03CG11 エスピーエヌアール トロイの木馬 24,688台 NEW
5位 HKTL_KEYGEN キーゲン ハッキングツール 17,416台 4位
6位 WORM_PALEVO.SMAH パレボ ワーム 13,818台 圏外
7位 PE_SALITY.RL サリティ ファイル感染型 13,502台 7位
8位 TROJ_SPNR.03CF11 エスピーエヌアール トロイの木馬 12,771台 NEW
9位 TSPY_ONLINEG.MCS オンラインジー スパイウェア 12,769台 5位
10位 TROJ_SPNR.04CG11 エスピーエヌアール トロイの木馬 12,630台 NEW

また、トレンドマイクロでは、3月下旬よりSQLインジェクションによるWebサイトの改ざん攻撃が多発していると報告する。これは、「LizaMoon(ライザムーン)」と呼ばれるもので、全世界で10万以上のサイトが被害にあっているとのことである。実際に改ざんされたWebサイトには、図4のように不正コード内に「lizamoon」という文字が見てとれる。

図4 LizaMoonによって埋め込まれた不正なコード(トレンドマイクロのレポートより)

改ざんされたWebサイトからは、さらに不正なWebサイトに誘導され、偽セキュリティ対策ソフトなどがダウンロードされる被害が発生している。この方法も悪意を持った攻撃者にとって、有効と考えられており、今後も継続すると予想される。

日本国内における感染被害報告

まず注目したいのは、先月3位であった偽セキュリティ対策ソフト「TROJ_FAKEAV(フェイクエイブイ)」が1位となったことであろう。

図5 偽セキュリティ対策ソフトの一例、日本語表記もあるがややおかしな表記となっている(トレンドマイクロセキュリティブログより)

これまでも繰り返しレポートで報告されてきたが、その猛威が継続中であるといわざろうえない。ウイルス感染などの警告表示がでたとしても、決して慌てず対応してほしい。さらにいえば、有名ベンダーの著名なセキュリティ対策ソフトを正しくインストールすることだ。セキュリティ対策ソフトをインストールしていない無防備な状態であることも、このような偽セキュリティ対策ソフトの被害に遭う原因となる。

セキュリティ対策ソフトによっては、不正なWebサイトに誘導されないように検索結果などを評価する機能もある。これらの機能を使うことでも、より確実な対策となる。最後に、3月の不正プログラム感染被害の総報告数は682件で、2月の863件から減少となった。

表3 不正プログラム感染被害報告数ランキング(日本国内[2011年3月度])

順位 検出名 通称 種別 検出数 先月順位
1位 TROJ_FAKEAV フェイクエイブイ トロイの木馬 28件 3位
2位 TROJ_DLOADR ディローダー トロイの木馬 13件 圏外
3位 MAL_HIFRM ハイフレーム その他 12件 圏外
4位 MAL_OTORUN オートラン その他 10件 2位
4位 WORM_DOWNAD ダウンアド ワーム 10件 1位