2008年上半期はUSBメモリの自動実行を悪用するマルウェアが長期にわたって大流行 トレンドマイクロは3日、2008年1月1日から6月30日までの日本国内のデータを集計した2008年度上半期のインターネット脅威レポートと2008年度上半期の不正プログラムの状況のまとめを発表した。 発表によると、2008年上半期の日本国内における不正プログラム感染被害報告数は1万4,878件と2007年上半期の3万7,363件と比較すると大きく減少している。不正プログラムの感染報告としては、USBメモリなどリムーバブルメディアの自動実行機能を悪用する「MAL_OTORUN1(オートラン)」が最も多く報告され、2月から5月まで4ヶ月連続で1位となった。また、オンラインゲームの情報を盗む不正プログラムが大量に作成・配布され、同社が能動的に収集したデータによると、上半期はオンラインゲーム関連の不正プログラム「TSPY_ONLINEG(オンラインゲーム)」が、作成(検体数)と配布(URL数)から総合的に見ると最も多く、ウイルス作成者がオンラインゲーム関連の情報詐取に注力したことがうかがえる。 2007年に猛威を振るった「Webからの脅威」は、2008年上半期も勢いを維持していて、3位の「JS_IFRAME(アイフレーム)」を使用した不正なWebサイトへの誘導が頻発している。また、不正なドメインのうち約46%が、確認されてから30日以内に削除されていて、不正プログラムの配布者の多くが短期間で配布場所を変更することで、捜査機関からの追跡を避けようとしていることが読み取れる。なお、不正プログラムを配布するWebサイトでは、「com」や「net」をのぞいて中国ドメインからの配布がもっとも多く確認されている。 2008年上半期の不正プログラム感染被害報告数ランキングは以下の通り。順位 検出名 通称 種別 件数 前年同期順位----------------------------------------------------------------------1位 MAL_OTORUN1 オートラン その他 517件 NEW2位 BKDR_AGENT エージェント バックドア 316件 1位3位 JS_IFRAME アイフレーム JavaScript 233件 NEW4位 TROJ_VUNDO ヴァンドー トロイの木馬型 97件 2位5位 TROJ_DELF デルフ トロイの木馬型 72件 圏外6位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 63件 圏外7位 TROJ_WANTVI ウォントヴィ トロイの木馬型 53件 NEW8位 MAL_NSANTI エヌサンティ その他 51件 NEW9位 MAL_HIFRM ハイフレーム その他 47件 NEW10位 WORM_AUTORUN オートラン ワーム型 42件 NEW 2008年上半期トップレベルドメイン別の取得検体数の上位10ドメインは以下の通り。順位 トップレベルドメイン名 検体数(のべ数)----------------------------------------------------------------------1位 com(商用サイト) 1264582位 net(ネットワーク) 173473位 cn(中国) 77414位 org(教育機関) 39885位 fr(フランス) 37546位 info(情報提供) 31087位 ar(アルゼンチン) 18288位 pl(ポーランド) 18039位 it(イタリア) 153710位 ru(ロシア) 1435 2008年上半期の不正プログラム別攻撃者注力度ランキングは以下の通り。順位 検体名 検体数(ユニーク数)×URL数----------------------------------------------------------------------1位 TSPY_ONLINEG 223110(1665×134)2位 DIAL_SAPIR 104016(3152×33)3位 TROJ_DLOADER 91656(603×152)4位 TROJ_AGENT 52355(283×185)5位 DIAL_DIALPASS 32784(4098×8) また、2008年6月度のインターネット脅威マンスリーレポートも同時に公開されている。6月の不正プログラム感染被害の総報告数は4,232件で、5月の3,167件から増加している。Webサイトでダウンロードされるバックドア「BKDR_AGENT(エージェント)」や不正Webサイトにリダイレクトする「JS_IFRAME」が上位に入っているほか、オンラインゲーム関連の情報を盗む「TSPY_ONLINEG」も引き続き6位に入っている。スレットモニタリングセンターで収集した不正プログラムのうち、オンラインゲーム関連の不正プログラム(「TSPY_ONLINEG」、「TSPY_ONLING」、および「WORM_ONLINEG」)のトップレベルドメインごとの取得検体数を調査したところ、他の不正プログラムに比べて、オンラインゲーム関連の不正プログラムは「com」と「cn」に全体の約71%の検体が置かれており、商用サイトと中国のサイトから多く配布されていたことが確認された。 2008年6月の不正プログラム感染被害報告数ランキングは以下の通り。順位 検出名 通称 種別 件数 先月順位----------------------------------------------------------------------1位 BKDR_AGENT エージェント バックドア 86件 5位2位 JS_IFRAME アイフレーム JavaScript 75件 2位3位 MAL_OTORUN1 オートラン その他 61件 1位4位 MAL_HIFRM ハイフレーム その他 47件 NEW5位 MAL_NSANTI エヌサンティ その他 18件 3位6位 TSPY_ONLINEG オンラインゲーム トロイの木馬型 13件 6位7位 TROJ_CORELINK コアリンク トロイの木馬型 12件 圏外8位 TROJ_VUNDO ヴァンドー トロイの木馬型 11件 圏外9位 WORM_QQPASS キューキューパス ワーム型 9件 圏外9位 TROJ_DIALER ダイアラー トロイの木馬型 9件 圏外9位 TROJ_GAMETHIEF ゲームシーフ トロイの木馬型 9件 NEW 2008年6月にWeb Crawler、およびHoney Clientで取得した検体数のランキングは以下の通り。Web Crawlerで取得された不正プログラムの中では、偽セキュリティソフト「TROJ_FAKEAV.U」や広告を表示する「ADW_MOKEAD」などユーザが視覚的に認識できるものが多く、ユーザの意識的なWebサイトへのアクセスを前提としている。また、Honey Clientで取得された不正プログラムでは、「TSPY_ONLING」というオンラインゲーム関連の不正プログラムが多く収集され、不正プログラム同士の連携の最終目的がオンラインゲーム関連の情報であったと考えられる。【Web Crawler(不正Webサイトの巡回)】 順位 検体名 検体数(ユニーク) ---------------------------------------------------------------------- 1位 TROJ_FAKEAV.U 67 2位 TROJ_FRAUDLOA.PG 16 3位 TROJ_DLOADER.FXN 15 4位 ADW_MOKEAD 12 5位 TSPY_ONLINEG.MNU 11【Honey Client(不正プログラムによるダウンロード)】順位 検体名 検体数(ユニーク)----------------------------------------------------------------------1位 TSPY_ONLING.BT 272位 TROJ_DLOADER.FXN 133位 ADW_VAPSUP 114位 TROJ_DIALER.LI 95位 TSPY_ONLINEG.QBP 8