トレンドマイクロは、2012年2月度のインターネット脅威マンスリーレポートを発表した。
管理者も気づきにくい手口
2月には、Apacheの設定ファイル「.htaccessファイル」が改ざんされたと推測される攻撃により、結果的に偽セキュリティ対策ソフトがダウンロードされる事例が国内で確認された。その手口であるが、図1を見ながら解説したい。
まず、攻撃者は何らかの方法で、.htaccessファイルの改ざんを行う。この改ざんにより、以下のことが行われる。
- 検索サイトから誘導されたユーザーを指定した不正なサイトへ転送
- 管理者などが、直接サイトを閲覧しても改ざんに気がつかない
「検索サイト」を経由してアクセスしたユーザーのみが対象となるところが、ポイントである。結果、管理者がブラウザのブックマークやURLを直接入力してアクセスしたり、HTMLファイルだけをチェックしても改ざんの痕跡が発見できず、攻撃に気づきにくい。トレンドマイクロによると、.htaccessファイルを悪用した攻撃は以前にも存在したが、改ざんの発見や対処を遅らせる効果が高いため、改ざんを隠す手口の1つとなっているとのことだ。誘導される不正なWebサイトでは、偽セキュリティ対策ソフトなどが、ダウンロードさせられたとのことである。実際に改ざんのようすを示したものが、図2である。
ここでは、「.htaccessファイル」を改ざんされたと思われるWebサイトに、検索サイト「Bing」の検索結果からアクセスし、修復前後のWebサーバーの挙動を比較したものである。修復前のWebサーバーは、検索サイトからアクセスしてきたユーザーを「.pl(ポーランド)」ドメインの不正なサイトに誘導しようとしていることがわかる。閲覧者から被害の報告あるにもかかわらす、改ざんなどを確認できない場合、「.htaccessファイル」を確認すべきであろう。
国内で収集・集計されたランキング
今月のランキングもやや変動の多いものとなった。常連のアンティニー関連の不正プログラムがランクインしてきた。5位の「HKTL_PASSVIEW(パスビュー)」
は先月の6位より順位を上げてきた。もともとは、Windowsアプリケーションのパスワードの修復用ツールであるが、コピー製品の悪用などに使用される可能性がある。
表1 不正プログラム検出数ランキング(日本国内[2012年2月度])
順位 | 検出名 | 通称 | 種別 | 検出数 | 種別 |
---|---|---|---|---|---|
1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 5,019台 | 3位 |
2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 4,153台 | 4位 |
3位 | ADW_KRADARE | クラデル | アドウェア | 2,071台 | 圏外 |
4位 | TSPY_FAREIT.Z | フェアイット | スパイウェア | 1,755台 | 1位 |
5位 | HKTL_PASSVIEW | パスビュー | ハッキングツール | 1,677台 | 6位 |
6位 | HackingTools_RARPasswordCracker | ラーパスワードクラッカー | ハッキングツール | 999台 | 7位 |
7位 | WORM_ANTINNY.AI | アンティニー | ワーム | 822台 | 圏外 |
8位 | PE_PARITE.A | パリット | ファイル感染型 | 803台 | 9位 |
9位 | ADW_YABECTOR.SM | ワイエイベクター | アドウェア | 798台 | 圏外 |
10位 | WORM_ANTINNY.JB | アンティニー | ワーム | 783台 | 圏外 |
世界で収集・集計されたランキング
ランキングに若干の変動はあるものの、上位の変動は少ない。7位にランクインした「ADW_SCANNER(スキャナ)
」は、セキュリティ製品を勝手にインストールするというやや奇妙な動作を行う。
表2 不正プログラム検出数ランキング(全世界[2012年2月度])
順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
---|---|---|---|---|---|
1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 113,030台 | 1位 |
2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 63,680台 | 2位 |
3位 | ADW_KRADARE | クラデル | アドウェア | 23,746台 | 圏外 |
4位 | PE_SALITY.RL | サリティ | ファイル感染型 | 20,922台 | 3位 |
5位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 17,631台 | 4位 |
6位 | Mal_OtorunN | オートラン | その他 | 17,038台 | 5位 |
7位 | ADW_SCANNER | スキャナ | アドウェア | 13,190台 | 圏外 |
8位 | PE_SALITY.RL-O | サリティ | ファイル感染型 | 11,366台 | 10位 |
9位 | CRCK_PATCH | パッチ | クラッキングツール | 9,783台 | 圏外 |
10位 | TROJ_FAKEAV.BMC | フェイクエイブイ | トロイの木馬 | 9,643台 | 5位 |
日本国内における感染被害報告
2月の不正プログラム感染被害の総報告数は665件で、1月の586件から増加となった。1月に1位となったFTPクライアントの情報を詐取する「TSPY_FAREIT(フェアイット)」
が2月でも2位となった。改ざんされた一部の国内正規サイト経由で「TSPY_FAREIT」
に感染する事例も確認されている。トレンドマイクロでは、以前、猛威をふるったガンブラー攻撃と同様の危険性を指摘している。
表3 不正プログラム感染被害報告数ランキング(日本国内[2012年2月度])
順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
---|---|---|---|---|---|
1位 | WORM_DOWNAD | ダウンアド | ワーム | 26件 | 3位 |
2位 | TSPY_FAREIT | フェアイット | スパイウェア | 25件 | 1位 |
3位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬 | 20件 | 4位 |
4位 | BKDR_AGENT | エージェント | バックドア | 11件 | 5位 |
5位 | JAVA_BLACOLE | ブラコール | その他 | 9件 | 圏外 |
5位 | TROJ_ZACCESS | ジーアクセス | トロイの木馬 | 9位 | 圏外 |