トレンドマイクロは、2012年11月度のインターネット脅威マンスリーレポートを発表した。11月のランキングにはランクインしていないが、「TROJ_DELETER.AF(デリーター)」について、取り上げていた。まず、その特徴として、日本語の開発言語「プロデル」によって作成されている点である。従来の不正プログラムの多くは、C/C++、C#、VB.NET、Java、アセンブリなどが使用される。このうち、有名な海外製のサンドボックスゲーム「Minecraft」を装い「自作Minecraft.exe」というファイル名の不正プログラムは、感染するとPC内のすべてのファイルを削除し、OSが起動不能になる可能性もある。稀な例ではあるが、単純な機能を簡単に設計する目的で日本語の開発言語も使われ始めている。トレンドマイクロでは、不正プログラムを容易に作成できる不正ツールの横行、さらには、悪意を持った攻撃者が攻撃を仕掛けるための選択肢がより拡大すると警告している。

国内で収集・集計されたランキング

ランキングであるが、11月も入れ替わりの多いランキングとなった。新たなアドウェアが2種ランクインしている。結果、アドウェアで4種となった。上位1、2位に変動はなかったが、圏外からの再ランクインもあり、半数以上が10月とは異なる不正プログラムとなった。

表1 不正プログラム検出数ランキング(日本国内[2012年11月度])

順位 検出名 通称 種別 検出数 先月順位
1位 ADW_GAMEPLAYLABS ゲームプレイラボス アドウェア 7,972件 1位
2位 WORM_DOWNAD.AD ダウンアド ワーム 4,454件 2位
3位 CRCK_KEYGEN キーゲン クラッキングツール 2,277件 4位
4位 BKDR_SIREFEF.CA サーエフエフ バックドア 2,227件 NEW
5位 ADW_BABYLON バビロン アドウェア 1,464件 NEW
6位 Mal_Siref32 サーエフ その他 1,451件 圏外
7位 ADW_INSTALLCORE インストールコア アドウェア 1,421件 6位
8位 TROJ_SIREFEF.DAM サーエフエフ トロイの木馬 1,190件 5位
9位 ADW_MULTIPLUG マルチプラグ アドウェア 1,109件 NEW
10位 Mal_Siref64 サーエフ その他 967件 圏外

世界で収集・集計されたランキング

1位は「WORM_DOWNAD.AD(ダウンアド)」となった。12月の結果を待たねばならないが、2012年、つねに1位となる可能性がある。国内でも3位にランクインした「CRCK_KEYGEN(キーゲン)」が、2位と続いている。さらにハッキングツールの「HKTL_KEYGEN(キーゲン)」が3位となった。改めてキーゲンについて説明すると、アプリケーションなどのインストールの際に必要となるシリアル番号やプロダクトIDなどを偽造するツールである。不正利用の原因ともなりかねないものである。トレンドマイクロでは、利用しないことを推奨している。

表2 不正プログラム検出数ランキング(全世界[2012年11月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 73,422件 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 37,594件 2位
3位 HKTL_KEYGEN キーゲン ハッキングツール 17,856件 5位
4位 PE_SALITY.RL サリティ ファイル感染型 15,649件 6位
5位 ADW_SOLIMBA ソリンバ アドウェア 13,100件 NEW
6位 ADW_GAMEPLAYLABS ゲームプレイラボス アドウェア 12,268件 3位
7位 Mal_OtorunN オートラン その他 10,599件 8位
8位 ADW_MULTIPLUG マルチプラグ アドウェア 9,911件 NEW
9位 Mal_Siref64 サーエフ その他 8,740件 圏外
10位 PE_SALITY.RL-O サリティ ファイル感染型 8,341件 9位
日本国内における感染被害報告 3位のダウンアド以外は、すべて圏外からのランクインとなった。4位の「LNK\_FAKEAV(フェイクエーブイ)」は偽セキュリティソフトが自身を起動するためにデスクトップやスタートメニューに作成することがあるショートカットファイルの検出名である。OSやアプリケーションの脆弱性を悪用して、感染を行うことが多い。いつものことであるが、脆弱性の解消を怠りなく実施してほしい。

表3 不正プログラム感染被害報告数ランキング(日本国内[2012年11月度])

順位 検出名 通称 種別 件数 先月順位
1位 BKDR_SIREFEF サーエフエフ バックドア 16件 圏外
1位 TSPY_ZBOT ゼットボット スパイウェア 16件 圏外
3位 WORM_DOWNAD ダウンアド ワーム 12件 3位
4位 LNK_FAKEAV フェイクエーブイ その他 10件 圏外
5位 MAL_OTORUN オートラン その他 9件 圏外

セキュリティブログより-ゲーマーのPCを破壊する「偽チートツール」

トレンドマイクロでは、最新の脅威情報などをブログにて公開している。今月は、その中から、上述した「TROJ_DELETER.AF」に関する記事を紹介しよう。

まず、チートツールであるが、オンラインゲームなどで高速移動、多重起動、所持金変更といったことを行うツールである(不正なものが少なくない)。当然、こういったニーズもあり、意図的にダウンロードするユーザーもいる。その欲求を突いて、偽チートツールを掲示板などで配布したのである。具体的には、以下のファイル名であった。

  • 自作Minecraft.exe
  • ネクソンポイント増やせます.exe
  • UnlimitedHackTool.exe
  • 64bit版 WH+AA+加速+Qkonline+観戦殺人.exe

一番上の「自作Minecraft.exe」が、紹介したようにPCのファイルを削除するのである(詳細はブログを参照)。

図2 ファイルを次々に削除(トレンドマイクロセキュリティブログより)

今月のランキングでも、キーゲンなどのクラッキングツールが上位となったが、チートツールも似たようなものといえよう。ユーザーの欲求を悪用することが似ている。今回のように、不正プログラムとして配布される可能性もあるのだ。さらに、状況によっては不正行為の可能性があるため、被害を訴えることもしにくい。こういった背景から、不正プログラムの温床となる可能性はきわめて高い。また、この手のツールは、作者が不明であったり、無名のWebサイトなどでダウンロードされることが多い。出所不明なプログラムは、決してインストールしないという大原則が、ここでも求められる。くれぐれも、注意してほしい。