Skip to content

脅威レポート

インターネット脅威マンスリーレポート【2012年9月度】

~ IE の脆弱性を利用した Web サイトによるゼロデイ攻撃を確認 ~


トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2012年9月度のインターネット脅威状況をお知らせします。

 9月のインターネット脅威状況 トレンドマイクロ リージョナルトレンドラボコメント


9月18日にMicrosoftのWebブラウザ「Internet Explorer( IE )」に任意のコードが実行される「緊急」レベルの脆弱性( CVE-2012-4969 )が公表され、22日に修正プログラム( MS12-063 )が公開されるまでの4日間、ユーザは「ゼロデイ攻撃」の脅威にさらされていました。実際に、トレンドマイクロでは脆弱性が公表された18日にはすでに該当の脆弱性を利用した不正なWebサイトを複数確認していました。これらの一部の不正Webサイトに接続されると、脆弱性を利用する不正なHTMLファイル「 HTML_EXPDROP (エクスドロップ)」がユーザの操作なく実行された後、連鎖的に別の不正プログラムに感染し、最終的にバックドア型不正プログラム(「 BKDR_PLUGX (プラグエックス)」で検出)が仕掛けられます。

確認されたうちの一つの不正サイトのURLには、18日頃に大きく報道されていた「尖閣諸島」のニュースを想定させる、「 senkaku 」という文字列と国内テレビ局名が含まれていました。この事例ではWebサイトに誘導するために、メール等にURLを添付し、話題のニュースでユーザの興味を引く意図があったと推測されます。また、別の例として、不正Webサイトにアクセスした後正規のMicrosoftのWebサイトを表示することで、攻撃に気づかれにくい工夫がされていたほか、正規サイトを改ざんし、該当の不正なHTMLファイルが埋め込まれた事例も確認されています。

攻撃者は、効率的かつ効果的に攻撃を行うために、ユーザ数が多く影響範囲が広いアプリケーションの脆弱性を探しており、ユーザを欺く手口も常に準備しているといえます。脆弱性を利用する攻撃への根本的な対策はあくまで修正プログラムの適用ですが、暫定的な対策としては特定の攻撃コードの実行を防ぐセキュリティソフトの仮想パッチ機能なども利用してリスクを最小限に抑えることも重要です。

■日本国内の不正プログラム検出状況:4~9位は全てZACCESS関連の不正プログラムがランクイン

4 位から 9 位の 6 種は Java の脆弱性などを利用して Web 経由で感染する ZACCESS 関連の不正プログラムです。 Java 、 Adobe などのアプリケーションの最新版へのアップデートが重要です。

表1:不正プログラム検出数ランキング※1(日本国内) 2012年9月度

順位

検出名

通称

種別

検出数

先月順位

1位

ADW_GAMEPLAYLABS

ゲームプレイラボス

アドウェア

4,821台

10位

2位

WORM_DOWNAD.AD

ダウンアド

ワーム

3,926台

3位

3位

CRCK_KEYGEN

キーゲン

クラッキングツール

2,655台

6位

4位

Mal_Siref32

サーエフ

その他

2,366台

NEW

5位

TROJ_SIREFEF.DAM

サーエフエフ

トロイの木馬

2,248台

2位

6位

Mal_Siref64

サーエフ

その他

1,942台

NEW

7位

PTCH64_ZACCESS.A

ジーアクセス

その他

1,876台

圏外

8位

TROJ_PATCHED.AGQ

パッチド

トロイの木馬

1,836台

NEW

9位

TROJ_SIREFEF.SLS

サーエフエフ

トロイの木馬

1,797台

9位

10位

ADW_INSTALLCORE

インストールコア

アドウェア

1,672台

5位

■全世界の不正プログラム検出状況:全世界でもZACCESS関連の不正プログラムが3種ランクイン

全世界でも 7 、 8 、 9 位は ZACCESS 関連の不正プログラムであり、日本と同様の傾向がみられます。「 ADW_SEARCHSUITE (サーチスーツ)」はフリーツールに伴ってインストールされる広告を勝手に表示するアドウェアです。

表2:不正プログラム検出数ランキング※1(全世界) 2012年9月度

順位

検出名

通称

種別

検出数

先月順位

1位

WORM_DOWNAD.AD

ダウンアド

ワーム

75,262台

1位

2位

CRCK_KEYGEN

キーゲン

クラッキングツール

34,774台

2位

3位

ADW_SEARCHSUITE

サーチスーツ

アドウェア

23,091台

NEW

4位

WORM_BAGLE.BMH

ベーグル

ワーム

17,502台

8位

5位

HKTL_KEYGEN

キーゲン

ハッキングツール

15,053台

5位

6位

PE_SALITY.RL

サリティ

ファイル感染型

14,604台

7位

7位

Mal_Siref64

サーエフ

その他

14,245台

NEW

8位

PTCH64_ZACCESS.A

ジーアクセス

その他

13,838台

6位

9位

TROJ_PATCHED.AGQ

パッチド

トロイの木馬

13,144台

NEW

10位

ADW_YONTOO

ヨントゥー

アドウェア

10,923台

9位

※1 表1、表2のランキングは、トレンドマイクロ製品・サービスで発見された脅威についてお客様の承諾に基づきTrend Micro Smart Protection Network(SPN)のスマートフィードバックにより収集した情報を元に、2012年9月1日から9月30日までの期間で各不正プログラムが発見された数を、コンピュータ台数ごとに集計したものです。本数値は、2012年10月1日現在の情報に基づき作成したものです。不正プログラムの集計対象に、基本的にジェネリック、ヒューリスティック検出などは含みませんが、一部の性質、挙動が特定できる検出名を対象に含むことがあります。

■日本国内のお問い合わせ状況: Adobe のエクスプロイトコードを含む pdf が 1 位に

ランキングの 1 、 2 位は、「 TROJ_PIDIEF.RLIA 」、「 EXPL_PDF4155.A 」で検出する pdf ファイルへのお問い合わせです。ファイル自体によるユーザへの深刻な実被害はありませんが、 Adobe の脆弱性に対するエクスプロイトコードを含むため検出しています。

表3:不正プログラム感染被害報告数ランキング※2 2012年9月度(日本国内)

順位

検出名

通称

種別

件数

先月順位

1位

TROJ_PIDIEF

ピーディーエフ

トロイの木馬

43件

圏外

2位

EXPL_PDF4155

ピーディーエフ

エクスプロイト

40件

圏外

3位

TROJ_SIREFEF

サーエフエフ

トロイの木馬

18件

1位

4位

MAL_OTORUN

オートラン

その他

13件

圏外

4位

WARM_DOWNAD

ダウンアド

ワーム

13件

圏外

※2 表3のランキングは、2012年9月1日から9月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2012年10月1日現在の情報に基づき作成したものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数は不正プログラム発見のみの数字も含みます。個々の検出名に関しては、亜種も含んでカウントしています。

< IE の脆弱性を利用したゼロデイ攻撃の例>

画像1  正規のサイトに不正な HTML ファイルが埋め込まれた事例

正規の旅行関連サイトが改ざんされた事例です。不正な HTML ファイルの読み込み中に■という記号が表示され、終了後は正常にページが表示されます。

Figure-mr-121004-topic-01-1-20130830

画像2 不正な HTMLファイルの実行後、正規サイトへリダイレクトする事例

攻撃者の用意したページにアクセスすると、不正な HTML ファイルの読み込み中に図①と同様■が表示され、その後 Microsoft の正規サイトへリダイレクトします。

Figure-mr-121004-topic-02-1-20130830