トレンドマイクロは、2011年3月度のインターネット脅威マンスリーレポートを発表した。ランキングの前に、3月11日に発生した東日本大震災に便乗したサイバー攻撃について報告しよう。トレンドマイクロでは、震災発生後、数時間で震災関連のフィッシングサイトや検索サイトの検索結果に不正なサイトが表示されるSEOポイズニングが海外で確認したとのことである。トレンドマイクロのブログによれば、Facebookを経由した不正プログラムなどもある。
国内では、チェーンメールやデマメールも数多く報告されている。さらに不正プログラムを添付したメールも確認されている。そのいくつかを紹介しよう。まずは「放射線量の状況.doc」が添付されたメールである。
実際に、この添付ファイルは、図3のような内容となっている。
いかにもそれらしい内容を騙っている。同様な例として、上司から計画停電に関する指示として、「計画停電表.xls」といったファイルが添付されたメールも報告されている。添付ファイルの一部には、Adobe製品の脆弱性を悪用したTROJ_ADOF.B
という不正プログラムが含まれることもある。さらに不正プログラムが作成され、リモート操作が行われる危険性があるとのことだ。これまで、このような災害を悪用したメールは外国語がほとんどであり、注意力も働きやすかった。
しかし、計画停電に悩むユーザーにこのようなメールが届いた場合、注意力の低下は免れない。トレンドマイクロでは、今後は「ボランティア」や「支援」といったキーワードを使った攻撃が予想されるとのことだ。平常時と異なる環境下を悪用し、人間の不安感やボランティア精神につけこんだ攻撃が活発化していると、トレンドマイクロでは警告を発している。
国内で収集・集計されたランキング
1位はまたも「WORM_DOWNAD.AD(ダウンアド)
」となった。それ以外のランキングでは、「TROJ_SPNR(エスピーエヌアール)」が亜種を含め、4種類がランクインしている。この不正プログラムは、感染したPCのWindows XPのプロダクトキーやWebブラウザに保存されたパスワードを盗み出そうとする。危険度は低いとのことであるが、パターンファイルの更新、脆弱性の解消などを怠りなく行ってほしい。
表1 不正プログラム検出数ランキング(日本国内[2011年2月度])
順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
---|---|---|---|---|---|
1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 4,425台 | 1位 |
2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 3,546台 | 2位 |
3位 | TROJ_SPNR.03CG11 | エスピーエヌアール | トロイの木馬 | 2,831台 | NEW |
4位 | TROJ_SPNR.03CF11 | エスピーエヌアール | トロイの木馬 | 2,794台 | NEW |
5位 | ADW_TENCENT | テンセント | アドウェア | 2,357台 | 圏外 |
6位 | TROJ_SPNR.04CG11 | エスピーエヌアール | トロイの木馬 | 2,094台 | NEW |
7位 | PE_PARITE.A | パリット | ファイル感染型 | 1,336台 | 6位 |
8位 | WORM_ANTINNY.AI | アンティニー | ワーム | 1,279台 | 5位 |
9位 | TROJ_SPNR.03CI11 | エスピーエヌアール | トロイの木馬 | 1,268台 | NEW |
10位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 1,207台 | 4位 |
世界で収集・集計されたランキング
こちらでも、1位は相変わらず、「WORM_DOWNAD.AD
(ダウンアド)」となった。全体の傾向として、リムーバブルメディアを悪用する不正プログラムがランクインが目立つ。圏外から5位にランクインした「WORM_PALEVO.SMAH
(パレボ)」も同様の感染手法を使う。引き続き、USBメモリの管理など十分に行ってほしい。
表2 不正プログラム検出数ランキング(全世界[2011年2月度])
順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
---|---|---|---|---|---|
1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 141,386台 | 1位 |
2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 39,228台 | 2位 |
3位 | ADW_TENCENT | テンセント | アドウェア | 33,414台 | 圏外 |
4位 | TROJ_SPNR.03CG11 | エスピーエヌアール | トロイの木馬 | 24,688台 | NEW |
5位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 17,416台 | 4位 |
6位 | WORM_PALEVO.SMAH | パレボ | ワーム | 13,818台 | 圏外 |
7位 | PE_SALITY.RL | サリティ | ファイル感染型 | 13,502台 | 7位 |
8位 | TROJ_SPNR.03CF11 | エスピーエヌアール | トロイの木馬 | 12,771台 | NEW |
9位 | TSPY_ONLINEG.MCS | オンラインジー | スパイウェア | 12,769台 | 5位 |
10位 | TROJ_SPNR.04CG11 | エスピーエヌアール | トロイの木馬 | 12,630台 | NEW |
また、トレンドマイクロでは、3月下旬よりSQLインジェクションによるWebサイトの改ざん攻撃が多発していると報告する。これは、「LizaMoon(ライザムーン)」と呼ばれるもので、全世界で10万以上のサイトが被害にあっているとのことである。実際に改ざんされたWebサイトには、図4のように不正コード内に「lizamoon」という文字が見てとれる。
改ざんされたWebサイトからは、さらに不正なWebサイトに誘導され、偽セキュリティ対策ソフトなどがダウンロードされる被害が発生している。この方法も悪意を持った攻撃者にとって、有効と考えられており、今後も継続すると予想される。
日本国内における感染被害報告
まず注目したいのは、先月3位であった偽セキュリティ対策ソフト「TROJ_FAKEAV(フェイクエイブイ)」が1位となったことであろう。
これまでも繰り返しレポートで報告されてきたが、その猛威が継続中であるといわざろうえない。ウイルス感染などの警告表示がでたとしても、決して慌てず対応してほしい。さらにいえば、有名ベンダーの著名なセキュリティ対策ソフトを正しくインストールすることだ。セキュリティ対策ソフトをインストールしていない無防備な状態であることも、このような偽セキュリティ対策ソフトの被害に遭う原因となる。
セキュリティ対策ソフトによっては、不正なWebサイトに誘導されないように検索結果などを評価する機能もある。これらの機能を使うことでも、より確実な対策となる。最後に、3月の不正プログラム感染被害の総報告数は682件で、2月の863件から減少となった。
表3 不正プログラム感染被害報告数ランキング(日本国内[2011年3月度])
順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
---|---|---|---|---|---|
1位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬 | 28件 | 3位 |
2位 | TROJ_DLOADR | ディローダー | トロイの木馬 | 13件 | 圏外 |
3位 | MAL_HIFRM | ハイフレーム | その他 | 12件 | 圏外 |
4位 | MAL_OTORUN | オートラン | その他 | 10件 | 2位 |
4位 | WORM_DOWNAD | ダウンアド | ワーム | 10件 | 1位 |