トレンドマイクロは、2012年3月度のインターネット脅威マンスリーレポートを発表した。最近、よく聞かれる攻撃に標的型攻撃がある。これは会社や団体などの特定のユーザーを狙った攻撃で、実在する部署や関係者などを装い、いかにも本物のメールであるかのようにふるまう。悪意を持った攻撃者の狙いは、機密情報などである。さらに特徴として、執拗に攻撃が行われる点にある。

そして、その手口がより巧妙になってきている点にも注意したい。これまでは、脆弱性を悪用し、添付した文書ファイルを実行させることで、不正に侵入を行ってきた。また、宛先の氏名を正確に記すような、にわかに信じ難いような手口もあった。ここでは、3月に確認された標的型攻撃の手口を紹介したい。まずは、パスワードで暗号化した文書ファイル(doc)を使った手口である。図1のように、ファイルを開くには、パスワードの入力を求める。

図1 パスワードで暗号化された不正プログラム(レポートより)

なぜ、このようなことをするのか?理由として、

  • セキュリティ対策ソフトの検出から逃れる
  • パスワードが記載された別メールを送ることで、正規のメールであるかのように信憑性を高める

が考えられるとのことである。次に確認された手口は、不正プログラムを2つのコンポーネント(部品)に分割し、zip形式で圧縮したファイルを送り付けるものである。zipファイルを解凍すると、文書ファイル(doc)とdllファイルが現れる。この文書ファイルを実行すると、dllファイルと連携し、外部から感染PCを操作可能にする不正なコードが実行される仕組みであった(図2)。

図2 コンポーネント化された不正プログラム(レポートより)

この目的は、

  • 対策側での解析の混乱や検出の回避を狙う
  • 個々のファイルは不正な動作がないように見せかけた

とのことである。このように、日々、新たな手口や巧妙化された手口が悪用されている。トレンドマイクロでは対策として、不正プログラムや脆弱性を検出する入り口対策だけでなく、ネットワーク内の不正なふるまいを可視化するといったことが求められるとのことである。

国内で収集・集計されたランキング

まずは国内である。いつもながらダウンアドやアンティニーがランクインしているが、1位は「CRCK_PATCHER(パッチャー)」となった。これは、DVDなどのメディアをPCに挿入することなくPCゲームを起動する不正プログラムである。3月は「CRCK_PATCHER」以外にも、不正にソフトウェアを起動するクラッキングツールやハッキングツールがランクインしている。

表1 不正プログラム検出数ランキング(日本国内[2012年3月度])

順位 検出名 通称 種別 検出数 先月順位
1位 CRCK_PATCHER パッチャー クラッキングツール 4,671台 圏外
2位 WORM_DOWNAD.AD ダウンアド ワーム 4,433台 1位
3位 CRCK_KEYGE キーゲン クラッキングツール 3,064台 2位
4位 HKTL_PASSVIEW パスビュー ハッキングツール 1,239台 5位
5位 ADW_KRADARE クラデル アドウェア 711台 3位
6位 TROJ_AGENT.KNO エージェント トロイの木馬 710台 圏外
7位 WORM_ANTINNY.JB アンティニー ワーム 696台 10位
8位 WORM_ANTINNY.AI アンティニー ワーム 683台 7位
9位 PE_PARITE.A パリット ファイル感染型/td> 660台 8位
10位 HackingTools_RARPasswordCracker ラーパスワードクラッカー ハッキングツール 624台 6位

世界で収集・集計されたランキング

今月も、1位はダウンアドとなった。それ以外では、3位と4位にはユーザーの意図とは異なる動作を引き起こすアドウェア「ADW_YONTOO(ヤントゥー)」、「ADW_KRADARE(クラデル)」がランクインした。「ADW_KRADARE」に感染すると、特定のWebサイトにアクセスできないように、PC内のHOSTSファイルを改変する。

表2 不正プログラム検出数ランキング(全世界[2012年3月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 106,946台 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 51,235台 2位
3位 ADW_YONTOO ヨントゥー アドウェア 25,592台 圏外
4位 ADW_KRADARE クラデル アドウェア 21,572台 3位
5位 PE_SALITY.RL サリティ ファイル感染型 19,456台 4位
6位 HKTL_KEYGEN キーゲン ハッキングツール 15,671台 5位
7位 Mal_OtorunN オートラン その他 15,256台 6位
8位 PE_SALITY.RL-O サリティ ファイル感染型 10,600台 8位
9位 CRCK_PATCH パッチ クラッキングツール 8,650台 9位
10位 WORM_FLYSTUDI.B フライスタディ ワーム 7,888台 圏外

日本国内における感染被害報告

3月はWeb改ざんを行う不正プログラムがランクインがめだった。1位の「JS_IFRAME(アイフレーム)」は、正規のWebサイトを改ざんする。閲覧したユーザーを、不正なWebサイトへと誘導する。有名なWebサイトでも、改ざんされている危険性があり、事前にWebの安全性を確認できる機能を持つセキュリティ対策ソフトなどを導入すべきだろう。不正なWebサイトでは、偽セキュリティ対策ソフトの「TROJ_FAKEAV(フェイクエイブイ)」などに感染する。

表3 不正プログラム感染被害報告数ランキング(日本国内[2012年3月度])

順位 検出名 通称 種別 件数 先月順位
1位 JS_IFRAME アイフレーム JavaScript 28件 圏外
2位 WORM_DOWNAD ダウンアド ワーム 23件 1位
3位 TROJ_FAKEAV フェイクエイブイ トロイの木馬 18件 3位
4位 TROJ_SIREFEF サーエフエフ トロイの木馬 13件 圏外
5位 TROJ_ZACCESS ジーアクセス トロイの木馬 12件 5位