トレンドマイクロは、2012年2月度のインターネット脅威マンスリーレポートを発表した。

管理者も気づきにくい手口

2月には、Apacheの設定ファイル「.htaccessファイル」が改ざんされたと推測される攻撃により、結果的に偽セキュリティ対策ソフトがダウンロードされる事例が国内で確認された。その手口であるが、図1を見ながら解説したい。

図1 「.htaccessファイル」の改ざんによる攻撃手口(レポートより)

まず、攻撃者は何らかの方法で、.htaccessファイルの改ざんを行う。この改ざんにより、以下のことが行われる。

  • 検索サイトから誘導されたユーザーを指定した不正なサイトへ転送
  • 管理者などが、直接サイトを閲覧しても改ざんに気がつかない

「検索サイト」を経由してアクセスしたユーザーのみが対象となるところが、ポイントである。結果、管理者がブラウザのブックマークやURLを直接入力してアクセスしたり、HTMLファイルだけをチェックしても改ざんの痕跡が発見できず、攻撃に気づきにくい。トレンドマイクロによると、.htaccessファイルを悪用した攻撃は以前にも存在したが、改ざんの発見や対処を遅らせる効果が高いため、改ざんを隠す手口の1つとなっているとのことだ。誘導される不正なWebサイトでは、偽セキュリティ対策ソフトなどが、ダウンロードさせられたとのことである。実際に改ざんのようすを示したものが、図2である。

図2 改ざんされたと推測されるWebサイトの修復前後の挙動比較(レポートより)

ここでは、「.htaccessファイル」を改ざんされたと思われるWebサイトに、検索サイト「Bing」の検索結果からアクセスし、修復前後のWebサーバーの挙動を比較したものである。修復前のWebサーバーは、検索サイトからアクセスしてきたユーザーを「.pl(ポーランド)」ドメインの不正なサイトに誘導しようとしていることがわかる。閲覧者から被害の報告あるにもかかわらす、改ざんなどを確認できない場合、「.htaccessファイル」を確認すべきであろう。

国内で収集・集計されたランキング

今月のランキングもやや変動の多いものとなった。常連のアンティニー関連の不正プログラムがランクインしてきた。5位の「HKTL_PASSVIEW(パスビュー)」は先月の6位より順位を上げてきた。もともとは、Windowsアプリケーションのパスワードの修復用ツールであるが、コピー製品の悪用などに使用される可能性がある。

表1 不正プログラム検出数ランキング(日本国内[2012年2月度])

順位 検出名 通称 種別 検出数 種別
1位 WORM_DOWNAD.AD ダウンアド ワーム 5,019台 3位
2位 CRCK_KEYGEN キーゲン クラッキングツール 4,153台 4位
3位 ADW_KRADARE クラデル アドウェア 2,071台 圏外
4位 TSPY_FAREIT.Z フェアイット スパイウェア 1,755台 1位
5位 HKTL_PASSVIEW パスビュー ハッキングツール 1,677台 6位
6位 HackingTools_RARPasswordCracker ラーパスワードクラッカー ハッキングツール 999台 7位
7位 WORM_ANTINNY.AI アンティニー ワーム 822台 圏外
8位 PE_PARITE.A パリット ファイル感染型 803台 9位
9位 ADW_YABECTOR.SM ワイエイベクター アドウェア 798台 圏外
10位 WORM_ANTINNY.JB アンティニー ワーム 783台 圏外

世界で収集・集計されたランキング

ランキングに若干の変動はあるものの、上位の変動は少ない。7位にランクインした「ADW_SCANNER(スキャナ)」は、セキュリティ製品を勝手にインストールするというやや奇妙な動作を行う。

表2 不正プログラム検出数ランキング(全世界[2012年2月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD.AD ダウンアド ワーム 113,030台 1位
2位 CRCK_KEYGEN キーゲン クラッキングツール 63,680台 2位
3位 ADW_KRADARE クラデル アドウェア 23,746台 圏外
4位 PE_SALITY.RL サリティ ファイル感染型 20,922台 3位
5位 HKTL_KEYGEN キーゲン ハッキングツール 17,631台 4位
6位 Mal_OtorunN オートラン その他 17,038台 5位
7位 ADW_SCANNER スキャナ アドウェア 13,190台 圏外
8位 PE_SALITY.RL-O サリティ ファイル感染型 11,366台 10位
9位 CRCK_PATCH パッチ クラッキングツール 9,783台 圏外
10位 TROJ_FAKEAV.BMC フェイクエイブイ トロイの木馬 9,643台 5位

日本国内における感染被害報告

2月の不正プログラム感染被害の総報告数は665件で、1月の586件から増加となった。1月に1位となったFTPクライアントの情報を詐取する「TSPY_FAREIT(フェアイット)」が2月でも2位となった。改ざんされた一部の国内正規サイト経由で「TSPY_FAREIT」に感染する事例も確認されている。トレンドマイクロでは、以前、猛威をふるったガンブラー攻撃と同様の危険性を指摘している。

表3 不正プログラム感染被害報告数ランキング(日本国内[2012年2月度])

順位 検出名 通称 種別 検出数 先月順位
1位 WORM_DOWNAD ダウンアド ワーム 26件 3位
2位 TSPY_FAREIT フェアイット スパイウェア 25件 1位
3位 TROJ_FAKEAV フェイクエイブイ トロイの木馬 20件 4位
4位 BKDR_AGENT エージェント バックドア 11件 5位
5位 JAVA_BLACOLE ブラコール その他 9件 圏外
5位 TROJ_ZACCESS ジーアクセス トロイの木馬 9位 圏外