Skip to content

脅威レポート

インターネット脅威マンスリーレポート【2012年2月度】

~「.htaccessファイル」を使ったWeb改ざん、Webサイト管理者は改めて確認を~


トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2012年2月度のインターネット脅威状況をお知らせします。

2月のインターネット脅威状況 トレンドマイクロ リージョナルトレンドラボコメント

2月は、感染コンピュータのFTPアカウントの情報を詐取する不正プログラム「TSPY_FAREIT(フェアイット)」の亜種が不正プログラム検出数ランキング(表1)および不正プログラム感染被害報告数ランキング(表3)で上位にランクインしています。その後の調査により、「TSPY_FAREIT」は、Javaのぜい弱性を利用するように改ざんされた国内の正規サイト経由で感染するケースが確認されました。

また、2月には、WebサーバプログラムApacheの設定ファイル「.htaccessファイル」が改ざんされたと推測される攻撃により、結果的に偽セキュリティソフトがダウンロードされる事例が国内で確認されました。この事例では、GoogleやYahoo!といった検索サイトからアクセスした場合のみ、不正なサイトに誘導されるため、サイト管理者がブラウザのお気にいりやURLを入力して直接アクセスしたり、HTMLファイルだけをチェックしても改ざんの痕跡が見られず、攻撃に気づきにくいことが特徴です(図1)。「.htaccessファイル」を悪用した攻撃は以前にも報告されましたが、攻撃の発見や対策を遅らせる隠ぺい手法のひとつとなっていることうかがえます。

サイト管理者で、自身の管理するWebサイトの閲覧者より被害の報告があるにもかかわらず、管理者側で不審な点が確認できない場合、「.htaccessファイル」を確認し、もし不安な場合は、サーバの管理者やセキュリティ会社に相談することをお勧めします。またサイト閲覧側としては、Microsoft製品や Adobe製品、Java などお使いのアプリケーションのぜい弱性が、自身のコンピュータで修正されているかを確認するとともに、不正なサイトへのアクセス自体をブロックするセキュリティ機能の利用をおすすめします。

■日本国内の不正プログラム検出状況:Windowsアプリケーションのパスワード用ツールが5位に

国内の不正プログラム検出数ランキングでは、「HKTL_PASSVIEW(パスビュー)」が先月6位より5位にランクアップしています。「HKTL_PASSVIEW」は、Windowsのアプリケーションのパスワードを修復するツールですが、コピー製品の悪用などに使用される可能性があります。

表1:不正プログラム検出数ランキング※1(日本国内) 2012年2月度

順位

検出名

通称

種別

検出数

先月順位

1位

WORM_DOWNAD.AD

ダウンアド

ワーム

5,019台

3位

2位

CRCK_KEYGEN

キーゲン

クラッキングツール

4,153台

4位

3位

ADW_KRADARE

クラデル

アドウェア

2,071台

圏外

4位

TSPY_FAREIT.Z

フェアイット

スパイウェア

1,755台

1位

5位

HKTL_PASSVIEW

パスビュー

ハッキングツール

1,677台

6位

6位

HackingTools_RARPassword
Cracker

ラーパスワード
クラッカー

ハッキングツール

999台

7位

7位

WORM_ANTINNY.AI

アンティニー

ワーム

822台

圏外

8位

PE_PARITE.A

パリット

ファイル感染型

803台

9位 

9位

ADW_YABECTOR.SM

ワイエイベクター

アドウェア

798台

圏外

10位

WORM_ANTINNY.JB

アンティニー

ワーム

783台

圏外

■全世界の不正プログラム検出状況:セキュリティ製品を勝手にインストールするアドウェア

 全世界の不正プログラム検出ランキングでは、セキュリティ製品を勝手にインストールするアドウェア「ADW_SCANNER(スキャナ)」が7位にランクインしています。また、1月に9位であった「TSPY_FAREIT.Z」は圏外となったものの、2月も検出数が7000台を超えています。

表2:不正プログラム検出数ランキング※1(全世界) 2012年2月度

順位

検出名

通称

種別

検出数

先月順位

1位

WORM_DOWNAD.AD

ダウンアド

ワーム

113,030台

1位

2位

CRCK_KEYGEN

キーゲン

クラッキングツール

63,680台

2位

3位

ADW_KRADARE

クラデル

アドウェア

23,746台

圏外

4位

PE_SALITY.RL

サリティ

ファイル感染型

20,922台

3位

5位

HKTL_KEYGEN

キーゲン

ハッキングツール

17,631台

4位

6位

Mal_OtorunN

オートラン

その他

17,038台

5位

7位

ADW_SCANNER

スキャナ

アドウェア

13,190台

圏外

8位

PE_SALITY.RL-O

サリティ

ファイル感染型

11,366台

10位

9位

CRCK_PATCH

パッチ

クラッキングツール

9,783台

圏外

10位

TROJ_FAKEAV.BMC

フェイクエイブイ

トロイの木馬

9,643台

5位

※1 表1、表2のランキングは、トレンドマイクロ製品・サービスで発見された脅威についてお客様の承諾に基づきTrend Micro Smart Protection Network(SPN)のスマートフィードバックにより収集した情報を元に、2012年2月1日から2月29日までの期間で各不正プログラムが発見された数を、コンピュータ台数ごとに集計したものです。本数値は、2012年3月5日現在の情報に基づき作成したものです。不正プログラムの集計対象に、基本的にジェネリック、ヒューリスティック検出などは含みませんが、一部の性質、挙動が特定できる検出名を対象に含むことがあります。

■日本国内のお問い合わせ状況:FTPの情報を盗む不正プログラムが引き続き上位

 2月の不正プログラム感染被害の総報告数は665件で、1月の586件から減少しています。1月に1位となったFTPクライアントの情報を詐取する「TSPY_FAREIT(フェアイット)」が2月でも2位となっています。改ざんされた一部の国内正規サイト経由で「TSPY_FAREIT」に感染する事例も確認されており、以前のガンブラー攻撃のように猛威を奮う可能性も考えられます。

表3:不正プログラム感染被害報告数ランキング※2 2012年2月度(日本国内)

順位

検出名

通称

種別

検出数

先月順位

1位

WORM_DOWNAD

ダウンアド

ワーム

26件

3位

2位

TSPY_FAREIT

フェアイット

スパイウェア

25件

1位

3位

TROJ_FAKEAV

フェイクエイブイ

トロイの木馬

20件

4位

4位

BKDR_AGENT

エージェント

バックドア

11件

5位

5位

JAVA_BLACOLE

ブラコール

その他

9件

圏外

5位

TROJ_ZACCESS

ジーアクセス

トロイの木馬

9件

圏外

※2 表3のランキングは、2012年2月1日から2月29日までに、日本のトレンドマイクロのサポートセンターに寄せられたウイルス被害件数をもとにランク付けを行ったものです。本数値は、2012年3月5日現在の情報に基づき作成したものです。今後、サポート調査により、件数に変更が生じる可能性があります。被害件数は不正プログラム発見のみの数字も含みます。個々の検出名に関しては、亜種も含んでカウントしています。

■「.htaccessファイル」を改ざんされたと推測されるWebサイトの修復前後の挙動比較

「.htaccessファイル」を改ざんされたと推測されるWebサイトの修復前後の挙動比較

上記画面は、「.htaccessファイル」を改ざんされたと思われるWebサイトに、検索サイト「Bing」の検索結果からアクセスし、修復前後のWebサーバの挙動を比較したものです。修復前のWebサーバは、検索サイトからアクセスしてきたユーザを「.pl(ポーランド)」ドメインの不正なサイトに誘導しようとしています。

■「.htaccessファイル」の改ざんによる攻撃イメージ図

「.htaccessファイル」の改ざんによる攻撃イメージ図

※ Webサーバの挙動から当社にて推測。

※ TRENDMICROはトレンドマイクロ株式会社の登録商標です。