Enterprise Watch
最新ニュース

連鎖するWebからの脅威、攻撃者は最初のきっかけ作りに注力

トレンドマイクロ、2008年度脅威レポートを発表

スレットモニタリングセンター マネージャーの平原伸昭氏

上位100種のうち、53%がWebを感染経路としていた
 トレンドマイクロ株式会社は1月6日、2008年度インターネット脅威年間レポートを発表した。2008年の脅威の総括と2009年の傾向予測を行っている。

 2008年はWebからの脅威が猛威を振るった1年だった。ウイルス感染数上位100種をみても、Webから直接ダウンロードさせるものが53%を占めるなど、それを裏付ける結果となっている。

 Webからの脅威は、一度感染するとほかの不正プログラムを次々と呼び込むダウンローダに象徴されるように、複合的な脅威におとしめられるのが特徴だ。その発端として、正規サイトの改ざんやUSBメモリ経由の不正プログラムなどさまざまな手口が駆使された2008年は、「攻撃者にとって、感染を広げるための最初のきっかけ作りに注力した1年だった」とスレットモニタリングセンター マネージャーの平原伸昭氏は振り返る。

 中でも、USBメモリ経由の不正プログラムのまん延が著しかった。全体の不正プログラム被害件数自体は5万6880件で、2007年より10.7%減少しているにもかかわらず、USBメモリの不正な設定ファイル「MAL_OTORUN」による被害は増加。件数は2870件で、通算9カ月トップとなるほど多くの被害が報告された。

 この手口の場合、感染を自動化するために、USBメモリ内に「Autorun.inf」ファイルを作成する。これにより、USBメモリにアクセスしただけで不正プログラムが起動してしまうのだ。この対策としては、「あらかじめUSBメモリ内にAutorun.infという名前のフォルダを作っておくといい。ファイルでフォルダは上書きできないので、こうしておけば、不正なAutorun.infファイルを作成されずに済むのだ」(リージョナルトレンドラボ シニアアンチスレットアナリストの岡本勝之氏)。

 ところが「Autorun.infフォルダの名前にスペースを1つ挿入し、変更してから不正なAutorun.infファイルを作成する」(岡本氏)ようなものまで出てきており、手口の巧妙化が進んでいるという。


MAL_OTORUNが2870件で通算9カ月トップに MAL_OTORUNの感染報告数推移

海外工場からUSBメモリで不正プログラムが持ち込まれたある製造業の事例 あらかじめ作成したAutorun.infフォルダの名前を変更してまで作成される不正なAutorun.infファイル

リージョナルトレンドラボ シニアアンチスレットアナリストの岡本勝之氏

オンラインゲームを狙ったトロイの木馬は、攻撃者の注力度が1位だった
 もう1つ忘れられないのが、SQLインジェクションによる正規サイト改ざんである。データベースに干渉してWebサイト内にIFRAMEを埋め込み、ユーザーを知らぬ間に不正サイトへ誘導するもので、7月中旬には、全世界で最大21万ページ、国内で約1万ページが改ざんされた可能性があるという。これに関連した不正プログラムとしては、「JS_IFRAME」(596件)と「MAL_HIFRM」(456件)が被害報告件数トップ10にランクインしている。

 また、オンラインゲーム関係の不正プログラムが多く報告された1年で、5位に「TROJ_GAMETHIEF」(411件)、6位に「TSPY_ONLINEG」(333件)、8位に「TROJ_LINEAGE」(264件)がランクイン。オンラインゲームの情報を盗むもので、Web上に大量に配布された。平原氏によれば「あるオンラインゲームにて10時間程度のプレイで獲得できる仮想100万通貨が、現実に約1100円で取引されており、物価が低い地域であれば、攻撃対象とするメリットが十分にある。攻撃者はローリスクで換金性の高い情報を狙うようになっている」という。

 では、2009年はどのような傾向が予測されるのか。岡本氏によると、2008年に拡大したWebからの脅威がますます広がることになりそうだ。「不特定多数への攻撃がますます増え、オンラインゲームの情報を盗んだり、偽セキュリティソフトを販売したりするような、ローリスクローリターンの金銭狙いが増加するだろう。正規サイトの改ざんやソーシャルエンジニアリングも継続する見込み。リムーバブルメディアによる感染では、USBメモリだけでなく、SDカードやコンパクトフラッシュカードにも同様の危険が存在し、少ないながら実際にも感染が報告されている。それらがユーザーの盲点となるならば、攻撃者はそこを狙ってくるだろう」(同氏)。

 こうした状況にトレンドマイクロは、既知の不正プログラムから類似点を探す「ジェネリック検出」や、不正プログラムの振る舞いを検知する「Webレピュテーション」、さらにはメール・Web・ファイルの不正情報を格納したデータベース同士を連携させる「Smart Protection Network」などの技術で対抗する方針とした。



URL
  トレンドマイクロ株式会社
  http://www.trendmicro.co.jp/

関連記事
  ・ USBメモリ経由のマルウェアはなぜ急増したのか?-ラックが2008年を総括(2008/12/18)
  ・ パターンファイルを雲の上へ、トレンドマイクロが新技術基盤を発表(2008/11/12)
  ・ レピュテーション機能を強化した「ウイルスバスター2009」、キーロガー対策機能も搭載(2008/09/10)


( 川島 弘之 )
2009/01/06 15:35

Enterprise Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.