トレンドマイクロは、2012年3月度のインターネット脅威マンスリーレポートを発表した。最近、よく聞かれる攻撃に標的型攻撃がある。これは会社や団体などの特定のユーザーを狙った攻撃で、実在する部署や関係者などを装い、いかにも本物のメールであるかのようにふるまう。悪意を持った攻撃者の狙いは、機密情報などである。さらに特徴として、執拗に攻撃が行われる点にある。
そして、その手口がより巧妙になってきている点にも注意したい。これまでは、脆弱性を悪用し、添付した文書ファイルを実行させることで、不正に侵入を行ってきた。また、宛先の氏名を正確に記すような、にわかに信じ難いような手口もあった。ここでは、3月に確認された標的型攻撃の手口を紹介したい。まずは、パスワードで暗号化した文書ファイル(doc)を使った手口である。図1のように、ファイルを開くには、パスワードの入力を求める。
なぜ、このようなことをするのか?理由として、
- セキュリティ対策ソフトの検出から逃れる
- パスワードが記載された別メールを送ることで、正規のメールであるかのように信憑性を高める
が考えられるとのことである。次に確認された手口は、不正プログラムを2つのコンポーネント(部品)に分割し、zip形式で圧縮したファイルを送り付けるものである。zipファイルを解凍すると、文書ファイル(doc)とdllファイルが現れる。この文書ファイルを実行すると、dllファイルと連携し、外部から感染PCを操作可能にする不正なコードが実行される仕組みであった(図2)。
この目的は、
- 対策側での解析の混乱や検出の回避を狙う
- 個々のファイルは不正な動作がないように見せかけた
とのことである。このように、日々、新たな手口や巧妙化された手口が悪用されている。トレンドマイクロでは対策として、不正プログラムや脆弱性を検出する入り口対策だけでなく、ネットワーク内の不正なふるまいを可視化するといったことが求められるとのことである。
国内で収集・集計されたランキング
まずは国内である。いつもながらダウンアドやアンティニーがランクインしているが、1位は「CRCK_PATCHER(パッチャー)
」となった。これは、DVDなどのメディアをPCに挿入することなくPCゲームを起動する不正プログラムである。3月は「CRCK_PATCHER
」以外にも、不正にソフトウェアを起動するクラッキングツールやハッキングツールがランクインしている。
表1 不正プログラム検出数ランキング(日本国内[2012年3月度])
順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
---|---|---|---|---|---|
1位 | CRCK_PATCHER | パッチャー | クラッキングツール | 4,671台 | 圏外 |
2位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 4,433台 | 1位 |
3位 | CRCK_KEYGE | キーゲン | クラッキングツール | 3,064台 | 2位 |
4位 | HKTL_PASSVIEW | パスビュー | ハッキングツール | 1,239台 | 5位 |
5位 | ADW_KRADARE | クラデル | アドウェア | 711台 | 3位 |
6位 | TROJ_AGENT.KNO | エージェント | トロイの木馬 | 710台 | 圏外 |
7位 | WORM_ANTINNY.JB | アンティニー | ワーム | 696台 | 10位 |
8位 | WORM_ANTINNY.AI | アンティニー | ワーム | 683台 | 7位 |
9位 | PE_PARITE.A | パリット | ファイル感染型/td> | 660台 | 8位 |
10位 | HackingTools_RARPasswordCracker | ラーパスワードクラッカー | ハッキングツール | 624台 | 6位 |
世界で収集・集計されたランキング
今月も、1位はダウンアドとなった。それ以外では、3位と4位にはユーザーの意図とは異なる動作を引き起こすアドウェア「ADW_YONTOO(ヤントゥー)
」、「ADW_KRADARE(クラデル)
」がランクインした。「ADW_KRADARE
」に感染すると、特定のWebサイトにアクセスできないように、PC内のHOSTSファイルを改変する。
表2 不正プログラム検出数ランキング(全世界[2012年3月度])
順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
---|---|---|---|---|---|
1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 106,946台 | 1位 |
2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 51,235台 | 2位 |
3位 | ADW_YONTOO | ヨントゥー | アドウェア | 25,592台 | 圏外 |
4位 | ADW_KRADARE | クラデル | アドウェア | 21,572台 | 3位 |
5位 | PE_SALITY.RL | サリティ | ファイル感染型 | 19,456台 | 4位 |
6位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 15,671台 | 5位 |
7位 | Mal_OtorunN | オートラン | その他 | 15,256台 | 6位 |
8位 | PE_SALITY.RL-O | サリティ | ファイル感染型 | 10,600台 | 8位 |
9位 | CRCK_PATCH | パッチ | クラッキングツール | 8,650台 | 9位 |
10位 | WORM_FLYSTUDI.B | フライスタディ | ワーム | 7,888台 | 圏外 |
日本国内における感染被害報告
3月はWeb改ざんを行う不正プログラムがランクインがめだった。1位の「JS_IFRAME
(アイフレーム)」は、正規のWebサイトを改ざんする。閲覧したユーザーを、不正なWebサイトへと誘導する。有名なWebサイトでも、改ざんされている危険性があり、事前にWebの安全性を確認できる機能を持つセキュリティ対策ソフトなどを導入すべきだろう。不正なWebサイトでは、偽セキュリティ対策ソフトの「TROJ_FAKEAV
(フェイクエイブイ)」などに感染する。
表3 不正プログラム感染被害報告数ランキング(日本国内[2012年3月度])
順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
---|---|---|---|---|---|
1位 | JS_IFRAME | アイフレーム | JavaScript | 28件 | 圏外 |
2位 | WORM_DOWNAD | ダウンアド | ワーム | 23件 | 1位 |
3位 | TROJ_FAKEAV | フェイクエイブイ | トロイの木馬 | 18件 | 3位 |
4位 | TROJ_SIREFEF | サーエフエフ | トロイの木馬 | 13件 | 圏外 |
5位 | TROJ_ZACCESS | ジーアクセス | トロイの木馬 | 12件 | 5位 |