トレンドマイクロは、2012年10月度のインターネット脅威マンスリーレポートを発表した。まず取り上げているのは、「BKDR_SYSIE.A(シスアイイー)」である。すでに報道されている通り、遠隔操作で犯行予告や脅迫が行われ、誤認逮捕された事件である。改めて、不正プログラムの脅威を知らしめる事件となった。トレンドマイクロでは、この不正プログラム「BKDR_SYSIE.A」の駆除プログラムを18日から提供したところ、10月末までに2万件を超えるダウンロードが行われた。いかに多くの関心を集めていたかが、推察される。

このような大騒ぎの一方で、攻撃者の活動も続いていた。今月のランキングで注目したいのは、Skypeのインスタントメッセージで広がる「WORM_DORKBOT.DN(ドークボット)」である(国内の不正プログラム検出数ランキングでは8位)。「WORM_DORKBOT」は「これはあなたのプロフィール写真ですか?」というメッセージ内のURLをクリックすると、不正プログラム本体がダウンロードされ感染する。「WORM_DORKBOT」は、ネットバンキングやソーシャルメディアなどのログインパスワードを奪おうとする。メッセージには英語やフランス語など、少なくとも18言語が確認されている。もちろん、感染を拡大が目的である。現在のところ、日本語のメッセージは確認されていない。しかし、日本でもメッセージ内のURLをクリックしたユーザーが多く、検出が増加したとのことである。

図1 Skypeを通じて送られるメッセージと不正なURL(トレンドマイクロのレポートより)

国内で収集・集計されたランキング

Skypeのインスタントメッセージで拡散する「WORM_DORKBOT.DN」が8位にランクインしている。このワームは情報窃取以外にも、感染したPCをDDoS攻撃に悪用する機能を持つ。

表1 不正プログラム検出数ランキング(日本国内[2012年10月度])

順位 検出名 通称 種別 検出数 先月順位
1位 ADW_GAMEPLAYLABS ゲームプレイラボス アドウェア 22,365台 1位
2位 WORM_DOWNAD.AD ダウンアド ワーム 4,767台 2位
3位 ADW_GOONSEARCH グーンサーチ アドウェア 3,589台 NEW
4位 CRCK_KEYGEN キーゲン クラッキングツール 2,769台 3位
5位 TROJ_SIREFEF.DAM サーエフエフ トロイの木馬 2,128台 5位
6位 ADW_INSTALLCORE インストールコア アドウェア 2,114台 10位
data data data data data data
7位 ADW_OPTMEDIA オプトメディア アドウェア 1,695台 圏外
8位 WORM_DORKBOT.DN ドークボット ワーム 1,431台 NEW
9位 TROJ_DROPR.ZA ドロッパー トロイの木馬 1,382台 圏外
10位 TROJ_SIREFEF.SLS サーエフエフ トロイの木馬 1,362台 圏外

世界で収集・集計されたランキング

国内で1となった「ADW_GAMEPLAYLABS(ゲームプレイラボス)」が、世界でも3位にランクインしている。「ADW_GAMEPLAYLABS」は、フリーソフトと共にインストールされる。フリーソフトの利用には、十分注意してほしい。

表2 不正プログラム検出数ランキング(全世界[2012年10月度])

順位 検出名 ダウンアド ワーム 85,222台 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 50,320台 2位
3位 ADW_GAMEPLAYLABS ゲームプレイラボス アドウェア 28,888台 圏外
4位 Mal_Neb-2 ネブ その他 24,312台 圏外
5位 HKTL_KEYGEN キーゲン ハッキングツール 21,502台 5位
6位 PE_SALITY.RL サリティ ファイル感染型 20,857台 6位
7位 ADW_YONTOO ヨントー アドウェア 16,278台 10位
8位 Mal_OtorunN オートラン その他 13,678台 圏外
9位 PE_SALITY.RL-O サリティ ファイル感染型 11,690台 圏外
10位 TROJ_DLOADER.BMC ディーローダー トロイの木馬 11,666台 圏外

日本国内における感染被害報告

ランキングは、圏外からのランクインが多くなった。5位にランクインしている「BKDR_POISON(ポイズン)」は、内閣府を装ったメールに添付されるファイルを実行すると感染する(図2参照)。

図2 内閣府を装って攻撃者から送られたメールの一部(トレンドマイクロのレポートより)

表3 不正プログラム感染被害報告数ランキング(日本国内[2012年10月度])

順位 検出名 通称 種別 件数 先月順位
1位 WORM_CRIDEX クリデックス ワーム 15件 圏外
2位 BKDR_ANDROM アンドロム バックドア 11件 圏外
2位 WORM_DOWNAD ダウンアド ワーム 11件 5位
4位 ADW_GAMEPLAYLABS ゲームプレイラボス アドウェア 10件 圏外
5位 BKDR_POISON ポイズン バックドア 7件 圏外

世界の脅威動向を分析した「2012年第3四半期セキュリティラウンドアップ」

10月23日、2012年第3四半期のセキュリティラウンドアップを公開した。全世界のトレンドラボが行った世界規模のセキュリティ動向や傾向の分析である。

そのサマリーを簡単に紹介しよう。

モバイル

今回のセキュリティラウンドアップでも、Androidの不正アプリの増加を最初に指摘している。これまでに、累計17万5千種を超え、前四半期末から6倍以上となった。不正アプリの多くは、SMSの不正送信による高額請求が実際の攻撃として使われる。ランキングでは、1位が「ANDROIDOS_FAKE」、2位が「ANDROIDOS_BOXER」となった。

サイバー犯罪

第3四半期に全世界で最も多く検出された不正プログラムは「ZACCESS」であった。トレンドマイクロでは、この四半期に900,000以上の「ZACCESS」を検出している。また、Webサイトの閲覧時にぜい弱性を利用して不正プログラムを送り込む攻撃ツール「Blackhole Exploit Kit」の新しいバージョンが確認された。より、精巧なサーバー犯罪ツールが利用されているとのことだ。

スパムメール

スパムメールの多くは、ボットネットから送信されている。なかでも活発な活動をしていたのが、「FESTI」である。このボットネットは、サウジアラビアのISPを使った。結果、この四半期の送信国の1位がサウジアラビア(21%)となった。しかし、攻撃者がサウジアラビアにいるわけではない。

標的型攻撃

持続的標的型攻撃といえば、「Luckycat」が注目を集めている。Luckycat攻撃を行っている攻撃者は、不正なAndroid端末用アプリケーションのAPKファイルを攻撃の材料としている。その他、新たなぜい弱性を利用した侵入手法や、遠隔操作ツールを用いた複数の攻撃が確認された。

ソーシャルメディア

ソーシャルメディアでは、さまざまな個人情報の奪取が行われている。特にミニブログサービス「Tumblr」では、アンケート詐欺を使い情報を詐取しようとした。また、偽のWebアプリ「TumViewer」などが使われた。