Skip to content

脅威レポート

インターネット脅威マンスリーレポート【2012年4月度】

~情報窃取を主目的とする不正プログラムがMacでも約半数~


トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2012年4月度のインターネット脅威状況をお知らせします。

4月のインターネット脅威状況 トレンドマイクロ リージョナルトレンドラボコメント

4月は、Googleの公式サイト「Google Play」にて、日本語のアプリ名が付けられたAndroid向けの不正プログラムが複数公開されていた事例が大きく報道されたり、Mac OSを狙った不正プログラム「OSX_FLASHBCK(フラッシュバック)」が米国を中心に流行するなど、Windows以外のプラットフォームを標的にした攻撃が目立ちました。

Mac OSを狙った不正プログラムは、数年前より徐々に増加しており、当社がこれまで確認した不正プログラムを主な活動で区分すると、偽セキュリティソフトやバックドア、コンピュータのシステムを改ざんしユーザがWebアクセスした際にフィッシング詐欺サイトなどに誘導するものなど、約半数がユーザから何らかの情報を詐取することが目的でした(図1)。Windowsで活動する不正プログラムは引き続き情報詐取が主流ですが、Mac OSを狙った不正プログラムでも情報詐取が主たる目的となっています。

また、Android端末向けに新たな不正プログラムが相次いで確認されているとともに、スマートフォン向けに作成されたワンクリック詐欺サイトも新たに確認されています。ワンクリック詐欺サイトの中には、同じ攻撃者が1つのサーバ上でURLを次々と生成して運用していると思われるサイトも確認され(図2)、セキュリティソフトメーカーなどにURLを特定されても、詐欺活動を継続する狙いが読み取れます。

これまでWindowsに比べ狙われる機会が少ないと考えられていたMacや新しいインターネット端末であるスマートフォンを標的にした攻撃でもWindowsと同様にユーザの情報が主目的となっているため、日頃からセキュリティ関連情報の収集やセキュリティ対策製品の導入を検討することをお勧めします。

■日本国内の不正プログラム検出状況:他の不正プログラムを隠ぺいするルートキットが5位

日本では、他の不正プログラムを隠ぺいするルートキットの一種「TROJ_ZACCESS.CQJ(ジーアクセス)」が5位にランクインしています。ルートキットは、セキュリティ製品による他の不正プログラムの検出を回避するために用いられることが多いため、ルートキットがお使いのコンピュータから発見された場合、他の不正プログラムに感染している可能性が高いと考えられます。

表1:不正プログラム検出数ランキング※1(日本国内) 2012年4月度

順位

検出名

通称

種別

検出数

先月順位

1位

WORM_DOWNAD.AD

ダウンアド

ワーム

5,181台

2位

2位

CRCK_KEYGEN

キーゲン

クラッキングツール

4,118台

3位

3位

CRCK_PATCHER

パッチャー

クラッキングツール

2,612台

1位

4位

HKTL_PASSVIEW

パスビュー

ハッキングツール

1,646台

4位

5位

TROJ_ZACCESS.CQJ

ジーアクセス

トロイの木馬

1,183台

圏外

6位

TROJ_INJECTOR.JDR

インジェクター

トロイの木馬

1,113台

NEW

7位

ADW_KRADARE

クラデル

アドウェア

1,065台

5位

8位

WORM_ANTINNY.AI

アンティニー

ワーム

845台

8位

9位

HKTL_KEYGEN

キーゲン

ハッキングツール

814台

圏外

10位

PE_PARITE.A

パリット

ファイル感染型

781台

9位

■全世界の不正プログラム検出状況:Internet Explorerの設定を改変するアドウェアが10位

日本の不正プログラム検出状況でも5位にランクインしているルートキット「TROJ_ZACCESS.CQJ」が、全世界でも6位となったほか、Internet Explorerの設定を改変してユーザを不正なサイトにアクセスさせようとするアドウェア「ADW_BHO(ビーエイチオー)」が新たに10位となっています。

表2:不正プログラム検出数ランキング※1(全世界) 2012年4月度

順位

検出名

通称

種別

検出数

先月順位

1位

WORM_DOWNAD.AD

ダウンアド

ワーム

111,031台

1位

2位

CRCK_KEYGEN

キーゲン

クラッキングツール

60,415台

2位

3位

ADW_KRADARE

クラデル

アドウェア

24,545台

4位

4位

HKTL_KEYGEN

キーゲン

ハッキングツール

22,510台

6位

5位

PE_SALITY.RL

サリティ

ファイル感染型

22,431台

5位

6位

TROJ_ZACCESS.CQJ

ジーアクセス

トロイの木馬

17,327台

圏外

7位

Mal_OtorunN

オートラン

その他

16,720台

7位

8位

TROJ_ZACCES64.SM

ジーアクセス

トロイの木馬

12,574台

NEW

9位

PE_SALITY.RL-O

サリティ

ファイル感染型

12,115台

8位

10位

ADW_BHO

ビーエイチオー

アドウェア

11,249台

NEW

※1 表1、表2のランキングは、トレンドマイクロ製品・サービスで発見された脅威についてお客様の承諾に基づきTrend Micro Smart Protection Network(SPN)のスマートフィードバックにより収集した情報を元に、2012年4月1日から4月30日までの期間で各不正プログラムが発見された数を、コンピュータ台数ごとに集計したものです。本数値は、2012年5月9日現在の情報に基づき作成したものです。不正プログラムの集計対象に、基本的にジェネリック、ヒューリスティック検出などは含みませんが、一部の性質、挙動が特定できる検出名を対象に含むことがあります。

■日本国内のお問い合わせ状況:亜種が次々と確認される偽セキュリティソフト

4月の不正プログラム感染被害の総報告数は642件で、3月の646件から減少しています。4月は「TROJ_ZACCESS」が報告数で1位となったほか、偽セキュリティソフト「TROJ_FAKEAV(フェイクエイブイ)」が改ざんされたサイトなどからダウンロードされる事例が引き続き確認されており、2位となっています。偽セキュリティソフト自体は以前から存在する手口ですが、「SMART HDD」や「Smart Fortress」といった名称や画面デザインを次々に変えた亜種が確認されています。お使いのコンピュータで見慣れない警告画面が表示されても、落ち着いて周囲の詳しい方やセキュリティソフトメーカーに相談することをおすすめします。

表3:不正プログラム感染被害報告数ランキング※2 2012年4月度(日本国内)

順位

検出名

通称

種別

件数

先月順位

1位

TROJ_ZACCESS

ジーアクセス

トロイの木馬

30件

5位

2位

TROJ_FAKEAV

フェイクエイブイ

トロイの木馬

19件

3位

3位

WORM_DOWNAD

ダウンアド

ワーム

18件

2位

4位

BKDR_AGENT

エージェント

バックドア

9件

圏外

5位

TROJ_INJECTOR

インジェクター

トロイの木馬

7件

NEW

5位

TROJ_KRYPTIK

クリプティック

トロイの木馬

7件

NEW

※2 表3のランキングは、2012年4月1日から4月30日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2012年5月9日現在の情報に基づき作成したものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数は不正プログラム発見のみの数字も含みます。個々の検出名に関しては、亜種も含んでカウントしています。

■図1:Mac OSを狙った不正プログラムの増加率と主な活動の割合

図1-1:Mac OSを狙った不正プログラムののべ数増加率(2008年を100%とした場合の対比)

図1-2:Mac OSを狙った不正プログラムの主な活動別割合(2012年4月24日のパターンファイル内訳)

Mac OSを狙った不正プログラムは徐々に増加しているとともに、クレジットカード番号を詐取する偽セキュリティソフトやコンピュータ内のファイルやキーボード入力情報を外部に漏えいするバックドアなど、半数程度がコンピュータ内の情報を窃取することを目的に作成されています。ハードディスクをフォーマットしたり自身のコピーをメールなどで送るタイプの破壊活動や拡散活動を主目的とする不正プログラムの割合は、低くなっています。

※ 図1-1、図1-2ともに当社のパターンファイルに登録されている検出名称のうち、接頭語に「MAC」、「OSX」を持つ検出名称のパターンをカウントしています。図1-2の「情報窃取」は他の不正プログラムをダウンロードするなど間接的に情報窃取に関わるものも含みます。本数値は、2012年5月9日現在の情報に基づき作成したものです。今後、サポート調査により、件数に変更が生じる可能性があります。

■図2:同一のサーバ上で異なるURLで運用されるスマートフォン用ワンクリック詐欺サイト

ワンクリック詐欺サイトA
http://●●●●●●.com

ワンクリック詐欺サイトB
http://●●●●●●.asia

同一の請求画面

上記のワンクリック詐欺サイトA・Bは別のWebサイトを装っておりURLも異なりますが、IPアドレスは同じであるため、同一のサーバ上で運用されていると見られます。トップの画面は異なりますが、請求画面は全く同じものです。セキュリティソフトメーカーなどにURLを特定されても、URLの異なるWebサイトを何種類も公開し詐欺活動を継続する狙いがあると考えられます。

※ TRENDMICROはトレンドマイクロ株式会社の登録商標です。