8月の脅威動向まとめ

 

 ここで8月の脅威動向のまとめを。

  • セキュリティホール関連:
     
    8月には日本固有のゼロデイアタックが2種発覚しました。ひとつは日本製ワープロソフト「一太郎」への攻撃、ひとつはフリーの圧縮解凍ツール「Lhaz」への攻撃です。双方とも日本語環境でのみ使用されるソフトであり、日本の特定団体などへのターゲット攻撃を狙ってセキュリティホールが探されたものと考えられます。これはサイバー攻撃者にとって日本は大きな攻撃目標であることの実例と言え、今後もこのようなセキュリティホールへの攻撃が続くことを注意していかなければいけないでしょう。
     その他のセキュリティホールケースとしては以下のものがありました:

    • Yahoo! ウィジェットのセキュリティホール:
       
      WindowsVistaをはじめ、最近はガジェットやウィジェットなどと呼ばれる小さなアクセサリソフトがよく見られます。そのひとつであるYahoo!ウィジェットにセキュリティホールが見つかりました。幸いこれを狙う不正プログラムなどはこれまでに確認されていません。
    • Yahoo! メッセンジャー のセキュリティホール:
       
      Yahoo! メッセンジャーのUSBカメラを呼び出す機能にセキュリティホールが見つかり、警告されました。これも幸いにして悪用する不正プログラムはまだ確認されていません。
    • トレンドマイクロ製品のセキュリティホール:
       8月21日、トレンドマイクロ製品である「ServerProtect for WindowsNT/NetWare 5.58」においてセキュリティホールが確認され修正プログラムを公開しました。攻撃者からするとセキュリティ対策製品のセキュリティホールは最も狙いたいところになります。実際トレンドマイクロでは、このセキュリティホールの情報が公開された後、このセキュリティホールを探すためと思われるポートスキャンが増加したこと、そしてセキュリティホールが存在する環境に対して「BKDR_IRCBOT.AJZ」を送り込もうとする攻撃パケットを確認しました。
       いずれにせよ、セキュリティ対策製品で危険なセキュリティホールが出てしまうことは許されることではなく、今後はこのようなことがないよう改めて気を引き締めていきたいと考えています。
       
       
  • Webからの脅威:
     有名サイトの偽サイトで不正プログラムをインストールさせる手口として、偽Googleサイトのケースがありました。偽サイトといえばフィッシング詐欺が思い浮かぶと思いますが、不正プログラムケースでも狙われるところになってきています。
     そして、偽サイトよりも効果が高いのは正規サイト改竄ですが、8月12日前後に国連のWebページが不正アクセスを受け内容が改竄されたケースが発覚しました。このケースではWeb上への政治的メッセージの書き込みのみが行われたようですが、不正プログラム配布に使用された可能性もあったわけです。国連は誰でも知っている権威ある組織です。そのような組織のサイトでも実際に改竄を受けたということで、どのようなWebサイトでもプログラムの入手やインストールが行われる場合には、その正当性を確認することが必須になってきたと言えます。 
     
     
  • ウイルスケース:

    • スパムとウイルス:
       マスメーリング型ワームはあまり流行らなくなりましたが、電子メールは今でも不正プログラムにとって一番の侵入手段です。この8月には中旬を中心に非常に多くのスパムケースの報告がありました。殆どは直接の危険は無い広告だったわけですが、中には不正プログラムに繋がる危険なスパムも紛れていました。特に「NUWAR」ファミリーの亜種である「WORM_NUWAR.MV」のメールは日本でも多く報告がありました。「WORM_NUWAR.MV」のメールは件名が “Greeting card”、”Musical e-card”、”Funny postcard” などのランダムな組み合わせです。件名からもわかるように、電子メールによる挨拶状サービスを装ったもので、様々な内容で不定期に用いられる手口です。以下のようなメールを受け取ったユーザが自分宛の挨拶状を読もうとしてメール内のURLにアクセスすると不正プログラムが侵入します:ecard_mail2.gif
       
    • 脅迫ウイルス:
       
      TROJ_GPCODE.AB」、「TROJ_GPCODE.ACはPC内のデータをいわば「人質」に取って金銭を要求するランサムウェア(Ransomware、 Ransom=身代金)の新種です。侵入するとまずデータに暗号化を掛けてユーザがアクセスできないようにします。そして金銭を払えば復号するという脅迫メッセージを表示します。日本ではこの手のランサムウェアのケースはほとんど報告はありませんが、手口が輸入される日も近いのではないでしょうか。
       
  • その他:
    • 読み間違い攻撃その後:
       7月のまとめで「VV」と「W」を見間違うことを期待したドメイン名が取得されていた話題を書きましたが、8月にはそれが実際に使われたケースが確認されました。
    • スパム:
       前述のように8月中旬を中心に非常に多くのスパムケースの報告がありました。それらのうち不正プログラムとは関係の無いスパムでは株価操作を目的とするものが非常に多くなってきています。それら株価操作目的のスパムではアンチスパムの網の目を潜り抜ける手法を積極的に使用しています。以下はそのうちのひとつの例ですが、単語の間に記号やスペースなどを入れるパディングと言う手法を全体に使用しています:
      stock4.gif
       ここまでくると、意味がまったくわからないと言うか、そもそもこんなメールはほとんどの人はまじめに読めないと思うのですがどうでしょうか。その他には圧縮ファイル(ZIP、RAR)やアクロバット形式(PDF、FDF)、EXCEL形式(XLS)の添付ファイルに内容を書いたものや特定銘柄についてYahoo!の情報ページのURLだけを貼り付けたものなどもありました。
       これらの手段はユーザに意味が伝わりにくい分、スパムとしては非常に効率が悪い手段と思われます。特に添付ファイルは以前から警戒されているのでオープンされない可能性の方が高いでしょう。実際、ウイルスの疑いで解析依頼に送られてくることもよくあります。その様な効率が悪い手段を使ってでもスパムフィルタに捕まらずにユーザの元へスパムを届けたいと言うことで、株価操作に対するスパム送信者の情熱がよくわかる、と言っていいのか、どうか、、。まあ迷惑なメールであることは確かです。