トレンドマイクロは、2011年11月度のインターネット脅威マンスリーレポートを発表した。

11月のインターネット脅威状況

11月は複数の国内Webサイトが改ざんされた。改ざんされたWebサイトには、不正なWebサイトに誘導する不正スクリプト「MAL_HIFRM(ハイフレーム)」が埋め込まれ、誘導先から「Privacy Protection」という名前の偽セキュリティ対策ソフトがダウンロードされる。トレンドマイクロでは、ネット上の詐欺に対して十分に警戒するとともに、気付かないうちに不正Webサイトに接続されることを防止する対策を進めてほしいと注意喚起している。

図1 不正なスクリプト「MAL_HIFRM」(レポートより)

国内で収集・集計されたランキング

日本国内の不正プログラム検出状況では、新たに、RARファイルのパスワードクラックを行うハッキングツール「HackingTools_RARPasswordCracker(ラーパスワードクラッカー)」が7位にランクインした。

表1 不正プログラム検出数ランキング(日本国内[2011年11月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 4,524台 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 4,110台 3位
3位 ADW_YABECTOR.SM ワイエイベクター アドウェア 1,541 4位
4位 WORM_ANTINNY.AI アンティニー ワーム 1,102台 6位
5位 PE_PARITE.A パリット ファイル感染型 987台 7位
6位 WORM_ANTINNY.F アンティニー ワーム 900台 9位
7位 HackingTools_RARPasswordCracker ラーパスワードクラッカー ハッキングツール 897台 NEW
8位 WORM_ANTINNY.JB アンティニー ワーム 854台 8位
9位 TROJ_FAKESMS.BBC フェイクエスエムエス トロイの木馬 686台 NEW
10位 BKDR_AGENT.TID エージェント バックドア 668台 圏外

世界で収集・集計されたランキング

全世界の不正プログラム検出状況は、上位においては大きな変化はなかった。注目は、金融機関やFacebook、Myspaceなど人気SNS関連の個人情報を詐取するボット型不正プログラム「TSPY_ZBOT.BBH(ゼットボット)」が圏外より6位にランクインしたことだ。

表2 不正プログラム検出数ランキング(全世界[2011年11月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 119,732台 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 51,695台 2位
3位 PE_SALITY.RL サリティ ファイル感染型 18,275台 4位
4位 Mal_OtorunN オートラン その他 15,459台 5位
5位 HKTL_KEYGEN キーゲン ハッキングツール 13,700台 8位
6位 TSPY_ZBOT.BBH ゼットボット スパイウェア 10,868台 圏外
7位 PE_SALITY.RL-O サリティ ファイル感染型 9,806台 10位
8位 WORM_FLYSTUDI.B フライスタディ ワーム 9,507台 9位
9位 PE_VIRUX.R バイラックス ファイル感染型 8,193台 圏外
10位 CRCK_PATCH パッチ クラッキングツール 8,144台 圏外

日本国内における感染被害報告

11月の不正プログラム感染被害の総報告数は655件で、10月の564件から増加している。冒頭でふれたように、国内では複数のWebサイト改ざん関連する報告が増加している。その結果、改ざんの際に埋め込まれる不正なスクリプト「MAL_HIFRM」が1位にランクインした。2位と3位にスパムメール関連の「TROJ_SCAR(スカー)」、「TSPY_ZBOT」がランクインしているが、これは大手運輸企業を装ったスパムメールに多数の添付が確認されたことによる。

表3 不正プログラム感染被害報告数ランキング(日本国内[2011年11月度])

順位 検出名 通称 種別 件数 先月順位
1位 MAL_HIFRM ハイフレーム その他 50件 圏外
2位 TROJ_SCAR スカー トロイの木馬 21件 NEW
3位 TSPY_ZBOT ゼットボット スパイウェア 18件 圏外
4位 MAL_OTORUN オートラン その他 12件 圏外
5位 HTML_HTAPORN エイチティーエーポルン その他 11件 3位
5位 WORM_DOWNAD ダウンアド ワーム 11件 1位

セキュリティブログから-史上最大規模のサイバー犯罪を摘発

トレンドマイクロでは、最新の脅威情報などをブログにて公開している。今月は、その中から、11月に400万以上のボットによって構成されたボットネットの摘発を紹介したい(図3)。

図2 トレンドマイクロセキュリティブログより

これは、今月のレポートでも取り上げられているが、FBI、エストニア警察、さらにはトレンドマイクロも含む多数の協力によって巨大ボットネットが摘発された。この犯罪組織は、Rove Digitalという一般の企業を装い、1400万ドル(約11億円)を稼いでいたと見られる。実際の摘発は、FBIがニューヨークとシカゴのデータセンタに対して強制捜査を実施(同時にボットネットも閉鎖)、さらにエストニア警察が、エストニア第2の都市タルトゥで複数のメンバーを逮捕した。トレンドマイクロによれば、400万台のボットPCと偽のDNSサーバを使い、バナー広告の不正な差し替えやGoogleなどの検索サイトの検索結果からの不正誘導、偽セキュリティ対策ソフトの押し売りを行って不当に金銭を稼いでいたとのことである。

図3 Rove Digitalが行っていた偽DNSサーバを使った不正サイトへの誘導手口(レポートより)

トレンドマイクロでは、この情報については5年前から把握していた。しかし、捜査への協力のため情報の公開は差し控えてきた。今回の摘発により、その内容が公開された。レベルの高い内容も含むが興味ある方は、ぜひお読みいただきたい。