トレンドマイクロは、2011年11月度のインターネット脅威マンスリーレポートを発表した。
11月のインターネット脅威状況
11月は複数の国内Webサイトが改ざんされた。改ざんされたWebサイトには、不正なWebサイトに誘導する不正スクリプト「MAL_HIFRM(ハイフレーム)」が埋め込まれ、誘導先から「Privacy Protection」という名前の偽セキュリティ対策ソフトがダウンロードされる。トレンドマイクロでは、ネット上の詐欺に対して十分に警戒するとともに、気付かないうちに不正Webサイトに接続されることを防止する対策を進めてほしいと注意喚起している。
 |
図1 不正なスクリプト「MAL_HIFRM」(レポートより) |
国内で収集・集計されたランキング
日本国内の不正プログラム検出状況では、新たに、RARファイルのパスワードクラックを行うハッキングツール「HackingTools_RARPasswordCracker(ラーパスワードクラッカー)」が7位にランクインした。
表1 不正プログラム検出数ランキング(日本国内[2011年11月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 4,524台 | 1位 |
| 2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 4,110台 | 3位 |
| 3位 | ADW_YABECTOR.SM | ワイエイベクター | アドウェア | 1,541 | 4位 |
| 4位 | WORM_ANTINNY.AI | アンティニー | ワーム | 1,102台 | 6位 |
| 5位 | PE_PARITE.A | パリット | ファイル感染型 | 987台 | 7位 |
| 6位 | WORM_ANTINNY.F | アンティニー | ワーム | 900台 | 9位 |
| 7位 | HackingTools_RARPasswordCracker | ラーパスワードクラッカー | ハッキングツール | 897台 | NEW |
| 8位 | WORM_ANTINNY.JB | アンティニー | ワーム | 854台 | 8位 |
| 9位 | TROJ_FAKESMS.BBC | フェイクエスエムエス | トロイの木馬 | 686台 | NEW |
| 10位 | BKDR_AGENT.TID | エージェント | バックドア | 668台 | 圏外 |
世界で収集・集計されたランキング
全世界の不正プログラム検出状況は、上位においては大きな変化はなかった。注目は、金融機関やFacebook、Myspaceなど人気SNS関連の個人情報を詐取するボット型不正プログラム「TSPY_ZBOT.BBH(ゼットボット)」が圏外より6位にランクインしたことだ。
表2 不正プログラム検出数ランキング(全世界[2011年11月度])
| 順位 | 検出名 | 通称 | 種別 | 検出数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | WORM_DOWNAD.AD | ダウンアド | ワーム | 119,732台 | 1位 |
| 2位 | CRCK_KEYGEN | キーゲン | クラッキングツール | 51,695台 | 2位 |
| 3位 | PE_SALITY.RL | サリティ | ファイル感染型 | 18,275台 | 4位 |
| 4位 | Mal_OtorunN | オートラン | その他 | 15,459台 | 5位 |
| 5位 | HKTL_KEYGEN | キーゲン | ハッキングツール | 13,700台 | 8位 |
| 6位 | TSPY_ZBOT.BBH | ゼットボット | スパイウェア | 10,868台 | 圏外 |
| 7位 | PE_SALITY.RL-O | サリティ | ファイル感染型 | 9,806台 | 10位 |
| 8位 | WORM_FLYSTUDI.B | フライスタディ | ワーム | 9,507台 | 9位 |
| 9位 | PE_VIRUX.R | バイラックス | ファイル感染型 | 8,193台 | 圏外 |
| 10位 | CRCK_PATCH | パッチ | クラッキングツール | 8,144台 | 圏外 |
日本国内における感染被害報告
11月の不正プログラム感染被害の総報告数は655件で、10月の564件から増加している。冒頭でふれたように、国内では複数のWebサイト改ざん関連する報告が増加している。その結果、改ざんの際に埋め込まれる不正なスクリプト「MAL_HIFRM」が1位にランクインした。2位と3位にスパムメール関連の「TROJ_SCAR(スカー)」、「TSPY_ZBOT」がランクインしているが、これは大手運輸企業を装ったスパムメールに多数の添付が確認されたことによる。
表3 不正プログラム感染被害報告数ランキング(日本国内[2011年11月度])
| 順位 | 検出名 | 通称 | 種別 | 件数 | 先月順位 |
|---|---|---|---|---|---|
| 1位 | MAL_HIFRM | ハイフレーム | その他 | 50件 | 圏外 |
| 2位 | TROJ_SCAR | スカー | トロイの木馬 | 21件 | NEW |
| 3位 | TSPY_ZBOT | ゼットボット | スパイウェア | 18件 | 圏外 |
| 4位 | MAL_OTORUN | オートラン | その他 | 12件 | 圏外 |
| 5位 | HTML_HTAPORN | エイチティーエーポルン | その他 | 11件 | 3位 |
| 5位 | WORM_DOWNAD | ダウンアド | ワーム | 11件 | 1位 |
セキュリティブログから-史上最大規模のサイバー犯罪を摘発
トレンドマイクロでは、最新の脅威情報などをブログにて公開している。今月は、その中から、11月に400万以上のボットによって構成されたボットネットの摘発を紹介したい(図3)。
 |
図2 トレンドマイクロセキュリティブログより |
これは、今月のレポートでも取り上げられているが、FBI、エストニア警察、さらにはトレンドマイクロも含む多数の協力によって巨大ボットネットが摘発された。この犯罪組織は、Rove Digitalという一般の企業を装い、1400万ドル(約11億円)を稼いでいたと見られる。実際の摘発は、FBIがニューヨークとシカゴのデータセンタに対して強制捜査を実施(同時にボットネットも閉鎖)、さらにエストニア警察が、エストニア第2の都市タルトゥで複数のメンバーを逮捕した。トレンドマイクロによれば、400万台のボットPCと偽のDNSサーバを使い、バナー広告の不正な差し替えやGoogleなどの検索サイトの検索結果からの不正誘導、偽セキュリティ対策ソフトの押し売りを行って不当に金銭を稼いでいたとのことである。
 |
図3 Rove Digitalが行っていた偽DNSサーバを使った不正サイトへの誘導手口(レポートより) |
トレンドマイクロでは、この情報については5年前から把握していた。しかし、捜査への協力のため情報の公開は差し控えてきた。今回の摘発により、その内容が公開された。レベルの高い内容も含むが興味ある方は、ぜひお読みいただきたい。
