9月の脅威動向まとめ

 ここで9月の脅威動向のまとめを。 

  • ウイルスケース:
    この9月には一般的なウイルスケースで注目されたものが多かったようです:

    • 9月の「NUWAR」:
       「WORM_NUWAR」ファミリーは現在最も活発なマスメーリング型ワームファミリーです。何らかのイベントがあればすぐ便乗したメールを送信する亜種が登場します。9月にも米国の労働の日(Labor day)に便乗したメールの「WORM_NUWAR.AQK」、アメリカンフットボールNFLの開幕直前にNFL情報を装った内容のメールの「WORM_NUWAR.AQN」(9月9日確認)の2種が特に注目されました。双方ともメールに興味を持ったユーザを自身のダウンロードサイトに誘導する手法です。

      ※「WORM_NUWAR.AQK」のワームメール内の画像
      ※「WORM_NUWAR.AQK」のワームメール内の画像

     

    • インスタントメッセンジャーワーム:
       インスタントメッセンジャーワームは増加の傾向にありますが、9月には Skype を利用するワームが登場し、注目されました。9月11日に登場した「WORM_SKIPI.A」はSkype のインスタントメッセンジャー機能を利用して自身をダウンロードさせるURLを送信します。日本でも「WORM_SKIPI.A」の感染報告を確認しています。また、Yahoo!メッセンジャーを狙うワームでは「WORM_SOHANAD.DC」および「WORM_SOHANAD.DJ」などがありました。
       
    • 福田首相を騙るウイルスメール:
       9月25日に就任した福田首相の名前を騙るメールで不正プログラムを頒布しようとするケースが確認されました。この不正メールには実際の福田首相事務所の住所や電話番号が記されているなど、巧妙なものでした。このようなユーザの興味を引く形のメールによって不正プログラムを頒布しようと言う試みは今後増加するものと見られます。
       この不正メールで頒布された不正プログラムをトレンドマイクロでは「BKDR_DARKMOON.BG」として検出対応しています。

    • トレンドマイクロも騙られた、、:
       9月5日にトレンドマイクロを騙るメールで不正プログラムを頒布しようとするケースが確認されました。前述のように8月中旬を中心に非常に多くのスパムケースの報告がありました。メールにはスパイウェア対策製品の無料体験版を偽って不正プログラムをインストールさせようと言うものでした。この不正メールで頒布された不正プログラムをトレンドマイクロでは「TROJ_DROPPER.CNH」として検出対応しています。

     こうして見てくると、電子メールやインスタントメッセンジャーによるワームの頒布はほとんど不正URLにユーザを誘導する手法=Web脅威に移行している感がありますね。この他にもインターネットショッピングの確認を装ったメールで頒布された「TROJ_AGENT.EGK」などもあります。逆に言うとそれだけ添付ファイルにはユーザが引っかからなくなっていると言うことかも知れません。今後はURLの含まれた電子メール、メッセージにも十分に注意を払ってください。

    ※「TROJ_AGENT.EGK」の頒布を狙った不正メールのサンプル画像
    ※「TROJ_AGENT.EGK」の頒布を狙った不正メールのサンプル画像 

  • セキュリティホール関連:
         9月には Microsoft Access のセキュリティホールを攻撃するTROJ_ACDROPPER.Kが登場しました。トレンドマイクロでも9月4日前後に複数の被害報告を確認しました。トレンドマイクロで入手した検体はすべて日本語のファイル名のMDBファイルであり、メールに添付される形で頒布されていました。日本の企業、団体へのターゲット攻撃に使用されたものと見られます。日本ではこのようなOFFICEファイルのセキュリティホールがターゲット攻撃に利用される傾向があります。文書ファイルは出元などに注意してください。
     その他のセキュリティホールケースとしては Yahoo! メッセンジャー のセキュリティホールに対する攻撃コード公開がありましたが、幸いこれを利用する攻撃は確認されていません。
     
  • その他:

    • 現代に甦ったシステム感染型ウイルス:
       9月14日前後にドイツで販売された最新のノートPCに「ANGELINA.A-B」という古いシステム感染型ウイルスの感染が確認されたという報道がありました。「ANGELINA.A-B」は1994年に最初に確認された非常に古いシステム感染型ウイルスであり、すでに一般の感染報告は絶えています。どのようにこのノートPCが感染したかはわかっていませんが、システム感染型ウイルスはシステム起動時にのみハードディスクに感染するものであり、何かの作業時に古いフロッピーディスクを入れたまま起動するなどしたものと考えられます。
       ちなみにほとんどのシステム感染型ウイルスはDOSのメモリ管理を前提にしており、WindowsNT系OS上では活動できず、感染や発病の危険はありません。

 

 

Related posts:

  1. 2007年5月のマイクロソフトアップデート
  2. 4月の脅威動向まとめ
  3. 2007年12月度 アプリケーションの脆弱性に関するラウンドアップ
  4. スパムマップ配信国ランキング(2008年4月)