Skip to content

脅威レポート

インターネット脅威マンスリーレポート【2012年3月度】

~暗号化された文書ファイルで検出から逃れる標的型攻撃を確認~


トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2012年3月度のインターネット脅威状況をお知らせします。

3月のインターネット脅威状況 トレンドマイクロ リージョナルトレンドラボコメント

標的型攻撃の多くは、脆弱性を悪用する文書ファイルをメールに添付し、ユーザにこれを実行させることで企業のネットワークに侵入します。3月は、パスワードで暗号化した文書ファイル(doc)をメールに添付し、そのパスワードを別のメールで送付する事例を確認しました(図1)。
攻撃者は、セキュリティソフトの検出を逃れるためや、パスワードが記載された別メールを送ることで、ユーザに正規のメールであるかのように信憑性を高めようとした狙いがうかがえます。

また、3月に確認された標的型攻撃では、不正プログラムを2つのコンポーネント(部品)に分けてzip形式で圧縮した上で送付する攻撃が複数の企業で確認されました。zipファイルを解凍すると、文書ファイル(doc)とdllファイルが表示され、文書ファイル(doc)を実行することで2つのファイルが連携し、外部から感染端末を操作できる不正なコードを実行します(図2)。攻撃者は、対策側での解析の混乱や検出の回避を狙い、個々のファイルは不正な動作がないように見せかけたと考えられます。 

企業のセキュリティ対策においては、標的型攻撃に対して、不正プログラムや脆弱性を検出する入口対策に加えて、ネットワーク内の不正なふるまいを可視化し、セキュリティ状況を常に把握することで、万が一、攻撃を受けた際にも被害を最小化する取り組みが求められます。

■日本国内の不正プログラム検出状況:不正にPCゲームを起動する不正プログラムが1位に

日本では、DVDなどの媒体をPCに挿入することなくソフトウェアを起動できるようにするツールが1位にランクインしています。これら不正にソフトウェアを起動するクラッキングツールやハッキングツールが国内のランキングでは4種ランクインしています。

表1:不正プログラム検出数ランキング※1(日本国内) 2012年3月度

順位

検出名

通称

種別

検出数

先月順位

1位

CRCK_PATCHER

パッチャー

クラッキングツール

4,671台

圏外

2位

WORM_DOWNAD.AD

ダウンアド

ワーム

4,433台

1位

3位

CRCK_KEYGEN

キーゲン

クラッキングツール

3,064台

2位

4位

HKTL_PASSVIEW

パスビュー

ハッキングツール

1,239台

5位

5位

ADW_KRADARE

クラデル

アドウェア

711台

3位

6位

TROJ_AGENT.KNO

エージェント

トロイの木馬

710台

圏外

7位

WORM_ANTINNY.JB

アンティニー

ワーム

696台

10位

8位

WORM_ANTINNY.AI

アンティニー

ワーム

683台

7位

9位

PE_PARITE.A

パリット

ファイル感染型

660台

8位

10位

HackingTools_RARPasswordCracker

ラーパスワード

ハッキングツール

624台

6位

 

■全世界の不正プログラム検出状況:アドウェアが2種ランクイン

3位と4位にはユーザの意図とは異なる動作を引き起こすアドウェア「ADW_YONTOO(ヤントゥー)」「ADW_KRADARE(クラデル)」がランクインしています。先月から引き続き上位にランクインしている「ADW_KRADARE」はユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

表2:不正プログラム検出数ランキング※1(全世界) 2012年3月度

順位

検出名

通称

種別

検出数

先月順位

1位

WORM_DOWNAD.AD

ダウンアド

ワーム

106,946台

1位

2位

CRCK_KEYGEN

キーゲン

クラッキングツール

51,235台

2位

3位

ADW_YONTOO

ヨントゥー

アドウェア

25,592台

圏外

4位

ADW_KRADARE

クラデル

アドウェア

21,572台

3位

5位

PE_SALITY.RL

サリティ

ファイル感染型

19,456台

4位

6位

HKTL_KEYGEN

キーゲン

ハッキングツール

15,671台

5位

7位

Mal_OtorunN

オートラン

その他

15,256台

6位

8位

PE_SALITY.RL-O

サリティ

ファイル感染型

10,600台

8位

9位

CRCK_PATCH

パッチ

クラッキングツール

8,650台

9位

10位

WORM_FLYSTUDI.B

フライスタディ

ワーム

7,888台

圏外

※1 表1、表2のランキングは、トレンドマイクロ製品・サービスで発見された脅威についてお客様の承諾に基づきTrend Micro Smart Protection Network(SPN)のスマートフィードバックにより収集した情報を元に、2012年3月1日から3月31日までの期間で各不正プログラムが発見された数を、コンピュータ台数ごとに集計したものです。本数値は、2012年4月6日現在の情報に基づき作成したものです。不正プログラムの集計対象に、基本的にジェネリック、ヒューリスティック検出などは含みませんが、一部の性質、挙動が特定できる検出名を対象に含むことがあります。

■日本国内のお問い合わせ状況:Web改ざん関連の不正プログラムが3種ランクイン

3月の不正プログラム感染被害の総報告数は646件で、2月の665件から減少しています。1位の「JS_IFRAME(アイフレーム)」は、改ざんされた正規のWebサイトにアクセスしたユーザを不正なWebサイトに誘導する不正プログラムです。改ざんされたWebサイトにアクセスしたユーザは、3位の「TROJ_FAKEAV(フェイクエイブイ)」や5位の「TROJ_ZACCESS(ジーアクセス)」に感染します。

表3:不正プログラム感染被害報告数ランキング※2 2012年3月度(日本国内)

順位

検出名

通称

種別

件数

先月順位

1位

JS_IFRAME

アイフレーム

JavaScript

28件

圏外

2位

WORM_DOWNAD

ダウンアド

ワーム

23件

1位

3位

TROJ_FAKEAV

フェイクエイブイ

トロイの木馬

18件

3位

4位

TROJ_SIREFEF

サーエフエフ

トロイの木馬

13件

圏外

5位

TROJ_ZACCESS

ジーアクセス

トロイの木馬

12件

5位

※2 表3のランキングは、2012年3月1日から3月31日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2012年4月6日現在の情報に基づき作成したものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数は不正プログラム発見のみの数字も含みます。個々の検出名に関しては、亜種も含んでカウントしています。

■図1:パスワードで暗号化された不正プログラム

■図2:コンポーネント化された不正プログラム(文書ファイル(doc)とdllファイル)

※ フォルダオプションですべてのファイルとフォルダを表示していない場合、dllファイルは表示されない。

※ TRENDMICROはトレンドマイクロ株式会社の登録商標です。