4月の脅威傾向

4月の不正プログラム感染被害の総報告数は1,533件で、3月の1,808件から減少が見られる。感染報告数ランキング(表1)では、改ざんされたWebサイトの閲覧をきっかけに感染する、通称ガンブラー攻撃に関連した不正プログラムが依然として多数ランクインしている。具体的には、表1のランキング中、3位の「MAL_GUMBLAR」、4位の「TROJ_FAKEAV」、5位の「JS_GUMBLAR」、6位の「MAL_HIFRM」、9位の「JS_IFRAME」の5種類が、ガンブラー攻撃に関連する不正プログラムである。Webサイトを改ざんする攻撃が常態化していることがうかがえる。トレンドマイクロでは、一度改ざんされた後、復旧したサイトが再度改ざんの被害にあうケースを指摘している。

これは、Webサイトの改ざんに気がつき、不正なコードを削除しただけでは意味はない。悪意を持った攻撃者は、WebサイトのIDやパスワードを盗み出しているので、再度、Webサイトに不正にアクセスされてしまう。さらに、Webサイトの改ざんが発見された場合には、Webサイトの管理用のIDやパスワードを盗み出す不正プログラムに感染している可能性が極めて高い。このような不正プログラムに感染していると、IDやパスワードを変更しても意味はない。まずは感染の可能性が考えられるPCや端末を特定し、不正プログラムを削除する。そして、その後、IDやパスワードの変更を行うことである。

表1 不正プログラム感染被害報告数ランキング[2010年4月度]

順位 検出名 通称 種別 件数 先月順位
1位 MAL_OTORUN オートラン その他 48件 1位
2位 WORM_DOWNAD ダウンアド ワーム 44件 2位
3位 MAL_GUMBLAR ガンブラー その他 37件 圏外
4位 TROJ_FAKEAV フェイクエイブ トロイの木馬 26件 3位
4位 TROJ_FAKEAV フェイクエイブ トロイの木馬 26件 3位
5位 JS_GUMBLAR ガンブラー Java Script 24件 圏外
6位 MAL_HIFRM ハイフレーム その他 23件 8位
7位 BKDR_AGENT エージェント バックドア/td> 17件 6位
8位 WORM_AUTORUN オートラン ワーム 14件 6位
9位 JS_IFRAME アイフレーム Java Script 12件 5位
10位 MAL_XED-10 ゼッドテン その他 10件 8位

「一太郎」を狙ったゼロディ攻撃

4月10日には、ジャストシステムからワープロソフト「一太郎」の修正プログラムが公開された。トレンドマイクロでは、修正プログラムの公開前に、この脆弱性を狙ったゼロディ攻撃を確認した。この攻撃では、不正コードを含む文書ファイルを電子メールに添付して送るターゲット攻撃が使われた。特別に細工された一太郎のファイル(拡張子JTDのファイル)を開かせることで、一太郎の脆弱性が悪用され、不正プログラムを感染させる。

この不正プログラムは、トレンドマイクロのセキュリティ製品では、トロイの木馬型不正プログラム「TROJ_TARODROP.AV」として検出される。「TROJ_TARODROP.AV」は、次に「BKDR_AHNSY.A」を作成し実行する。このバックドア型不正プログラムは、他のサーバからの指示を受け、以下のコマンドが実行可能となる。

  • 情報の送受信
  • プロセスの追加や表示、強制終了
  • 不正なファイルのダウンロードおよび実行

今回、標的となった一太郎は、日本のワープロソフト・アプリケーション市場において、第2のシェアを占めるものである。トレンドマイクロによれば、一太郎に存在する脆弱性を悪用する手口は、標的型攻撃においてのみ確認されているとのことだ。そして、新しく見つかった脆弱性は、通常まず標的型攻撃で利用され、いずれ広く知られるようになることが多いため、この脆弱性についても、大規模な攻撃で利用されるようになる危険性があるとのことだ。

また、一太郎は、過去にも脆弱性を悪用したゼロディ攻撃が行われたことがある。初めての攻撃が確認されたのは2006年であった。その1年後、さらに2つの事例が確認されている。その後は、2009年に別の脆弱性を悪用した攻撃が確認されている。海外においては、「中国2010年上海万博」の事務局が送信したように装ったメールに不正なPDFファイルを添付し、Adobe AcrobatおよびAdobe Readerの脆弱性を利用して不正プログラムに感染させる攻撃も確認されている。対策としては、PCを起動し作業を始める前に各種修正プログラムの公開情報を確認し適用を徹底する、さらに怪しいメールを不用意に開かないようにすべきである。