トレンドマイクロは、2011年4月度のインターネット脅威マンスリーレポートを発表した。まずは、3月11日に発生した東日本大震災に便乗したサイバー攻撃の分析から報告しよう。地震発生翌日の3月12日から3月14日にかけて「earthquake」「japan」「tsunami」などの言葉が含まれるドメインが100件以上新たに登録された。トレンドマイクロでは、4月末時点でこれらのドメインの約4分の3が不正に使用されていたとのことだ。

また、4月も「地震」「津波」「計画停電」「原発」「放射能」など震災関連の情報に偽装した不正プログラムを添付した標的型のメールが報告されている。3月に比べ4月は、被害報告数は減少したが、Microsoft OfficeやAdobe/Acrobat Readerなどの脆弱性を悪用するものが報告されており、対策としてOSやソフトウェアのアップデートを忘れずに行ってほしい。また、これらの不正メールの偽装された情報を分析結果は、図1のようになった。

図1 震災関連の不正なメール報告数のうち、偽装された情報の内訳(3/11~4/30)

もっとも多かったのが「原発、放射能」であり、24%を占めた。関心の多い情報を偽装することで、メールを読ませ、添付した不正プログラムを開かそうとしているのである。不審なメールには、くれぐれも注意してほしい。

4月の全体的な傾向

全体的な傾向として、偽セキュリティ対策ソフトに関連する目立つ。国内のサポートセンターでは、これまでの攻撃をまねた被害報告が確認された。過去に確認された偽セキュリティ対策ソフトが「System Tool」(図2)である。

図2 「System Tool」のメイン画面

今回、新たに発見された偽セキュリティ対策ソフトが「MS Removal Tool」(図3)である。

図3 「MS Removal Tool」のメイン画面

左上のソフト名以外はほとんど同じ外観である。この偽セキュリティ対策ソフトは「TROJ_FAKEAL(フェイクエーエル)」として検出される。トレンドマイクロでは、これら2つの不正プログラムの制作者が同一とは限らないが、過去に流行した攻撃の模倣はよくある事例とのことだ。

表2の不正プログラム検出数ランキング(全世界)でも「TROJ_FAKEAV(フェイクエイブイ)」が、4位にランクインしている。この偽セキュリティ対策ソフトは、不正な、もしくは改ざんされたWebサイトからダウンロードさせられることで、感染する。対策は、不正なWebサイトへアクセスした場合に、アクセスを遮断する機能を持つWebレピュテーションが有効だろう。

国内で収集・集計されたランキング

国内ランキングの上位は大きな変動はない。また、Windows XPのプロダクトキーやWebブラウザに保存されたパスワードを盗み出そうとする「TROJ_SPNR(エスピーエヌアール)」が亜種を含め、5種類がランクインしている。それ以外では、広告を表示するアドウェアである「ADW_YABECTOR(ワイエイベクター)」がランクインした。感染するとショートカットファイルがPC上に複数作成され、ユーザがクリックすることでオークションサイトなどの広告を表示するWebサイトへ誘導される。

表1 不正プログラム検出数ランキング(日本国内[2011年4月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 4,538台 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 4,456台 2位
3位 TROJ_SPNR.03CG11 エスピーエヌアール トロイの木馬 2,912台 3位
4位 TROJ_SPNR.03CF11 エスピーエヌアール トロイの木馬 2,188台 4位
5位 TROJ_SPNR.04CG11 エスピーエヌアール トロイの木馬 2,177台 6位
6位 ADW_YABECTOR ワイエイベクター アドウェア 2,110台 圏外
7位 WORM_ANTINNY.AI アンティニー ワーム 1,317台 8位
8位 PE_PARITE.A パリット ファイル感染型 1,313台 7位
9位 TROJ_SPNR.03CI11 エスピーエヌアール トロイの木馬 1,308台 9位
10位 TROJ_SPNR.04CI11 エスピーエヌアール トロイの木馬 1,237台 圏外

世界で収集・集計されたランキング

こちらも1位、2位は先月同様となった。また、国内ランキング同様に「TROJ_SPNR(エスピーエヌアール)」が亜種を含め、3種類がランクインしている。変化としては、冒頭にもふれたように、偽セキュリティ対策ソフトの「TROJ_FAKEAV(フェイクエイブイ)」が、圏外から4位にランクインした点であろう。「TROJ_FAKEAV」については、これまでも幾度となく報告をしてきた。

偽のウイルス警告画面を表示しユーザの恐怖心を煽り、システムの復元には正規版が必要として金銭や個人情報を騙し取る手口が悪意を持った攻撃者にとって有効といえる。正しいセキュリティ対策ソフトをインストールしていれば、このようなことはない。セキュリティ対策ソフトを入れてないユーザーは、まず、そこから対策をしてほしい。

表2 不正プログラム検出数ランキング(全世界[2011年4月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 129,477台 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 38,775台 2位
3位 TROJ_SPNR.03CG11 エスピーエヌアール トロイの木馬 23,620台 4位
4位 TROJ_FAKEAV.SM10 フェイクエイブイ トロイの木馬 18,503台 圏外
5位 HKTL_KEYGEN キーゲン ハッキングツール 14,742台 5位
6位 PE_SALITY.RL サリティ ファイル感染型 13,489台 7位
7位 TROJ_SPNR.04CG11 エスピーエヌアール トロイの木馬 12,871台 10位
8位 TROJ_SPNR.03CF11 エスピーエヌアール トロイの木馬 12,140台 8位
9位 TROJ_KRYPTK.SM4 クリプティック トロイの木馬 11,542台 圏外
10位 TROJ_KRYPTK.SMN クリプティック トロイの木馬 10,880台 圏外

日本国内における感染被害報告

4月の不正プログラム感染被害の総報告数は567件で、3月の682件から減少した。「WORM_DOWNAD」が1位に復活した。それ以外の変化では、新たにマスメーリング型で感染を広げる「TROJ_OFICLA(オフィクラ)」が2位にランクインしたことだ。「TROJ_OFICLA」はメールに添付され、EXE形式のファイルをWordに偽装するという古典的な感染手法を用いている。感染後に他の不正プログラムダウンロードするなどする。

表3 不正プログラム感染被害報告数ランキング(日本国内[2011年4月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD ダウンアド ワーム 38件 5位
2位 TROJ_OFICLA オフィクラ トロイの木馬 17件 圏外
3位 MAL_OTORUN オートラン その他 14件 4位
4位 TROJ_FAKEAV フェイクエイブイ トロイの木馬 9件 1位
4位 MAL_HIFRM ハイフレーム その他 9件 圏外

最後にトレンドマイクロでは、東日本大震災に便乗し特定のユーザに不正なメールを送付する標的型攻撃についても注意喚起をしている。震災発生の3月から累計50件以上報告されている。4月は、3月末の40件から徐々に収束傾向にあるが、関心の高いキーワードを新たに使用した攻撃が登場する可能性も否定できない。今後も注意が必要だろう。