特に休暇シーズン中にオンラインショッピングをする一番の理由は、その「手軽さ」にあるといえるでしょう。しかしオンラインショッピングは、手軽にできる一方、情報窃取を可能にするフィッシング攻撃をサイバー犯罪者は容易に仕掛けることができるため、ユーザのログイン情報や個人情報が危険にさらされることとなります。

2012年12月下旬、米国の超党派組織「外交問題評議会」のWebサイトが、Internet Explorer（IE）に影響を及ぼすゼロデイの脆弱性を利用した不正プログラム（エクスプロイト）を組み込むように改変および変更されました。解析によると、攻撃は、ブラウザの言語が英語（米国）、中国語（中国）、中国語（台湾）、日本語、韓国語またはロシア語に設定されている場合のみ動作するように設定されており、特定の条件におけるユーザが影響するように設定されていることが明らかになっています。

マイクロソフトは、2012年9月21日（米国時間）、定例外セキュリティ情報「MS12-063」を公開しました。この更新プログラムは、Internet Explorer（IE）のバージョン 6、7、8 および 9に影響を及ぼす脆弱性を修正します。最も深刻な脆弱性が利用された場合は、任意のコードが実行されることとなります。問題の脆弱性は、いくつかの攻撃に利用され、「Remote Access Tool（RAT）」に誘導されることが報告されています。今回、本記事では、問題の脆弱性を解析した詳細情報をお伝えします。

2012年8月下旬、脆弱性を利用することで知られる攻撃ツール「Blackhole Exploit Kit」を始めとした、多くの攻撃ツールによって Java に存在するゼロデイ脆弱性が悪用されました。

トレンドマイクロは、中国にある高校の Webサイトを狙ったゼロデイ攻撃を確認。問題のゼロデイ攻撃は、Microsoft XML コア サービスに存在する脆弱性を利用していました。今回の攻撃を発見したのは、Microsoft が脆弱性についてのセキュリティ アドバイザリを公開したわずか数日後のことでした。この攻撃を仕掛けた犯人は、中国の江蘇省（こうそしょう）にある高校の入学試験の結果を表示するWebサイトを改ざんしました。このWebサイトには、試験の結果が知りたい学生やその両親、教師など多くの人々が閲覧します。

トレンドマイクロは、2012年3月末に公開した、インドや日本を狙う持続的標的型攻撃「Luckycat」に関するリサーチレポートに引き続き、持続的標的型攻撃「IXESHE（アイスシ）」のリサーチレポートを公開しました。

セキュリティソフトやシステム修復ツールを装ってユーザから金銭を詐取しようとする偽ソフトの被害が継続しています。トレンドマイクロにて 2012年4月にすでに 75件の問合せを受けている「SMART HDD」を始め、2012年の傾向と被害に遭ってしまった場合の対策、予防策を紹介します。

2011年はいわゆる「『情報漏えい』の年」とも言えましたが、2012年の第1四半期の動向を振り返ると、その状況は変化しています。「情報漏えい」に代わり「モバイル」に攻撃の狙いが定められたようです。第1四半期に確認されたモバイルの脅威での事例によって、2012年の予測の 1つとして挙げていた「Android OS を搭載したモバイル端末（以下、Android端末）は、サイバー犯罪者にとって格好の攻撃対象となり続ける」ことが裏付けられました。トレンドマイクロでは、実際に 2012年の第1四半期だけでおよそ 5,000個もの新しい不正な Androidアプリを確認しています。この不正なアプリの急増は、Android端末を利用するユーザ数の増加が原因だと考えられます。

2012年3月初旬、改ざんされた WordPress 使用のWebサイトから最終的に情報収集機能を備える「CRIDEX」ファミリに感染する事例を米国に本社を置くセキュリティ企業が報告しました。この攻撃の背後に潜むサイバー犯罪者は、改ざんされたサイトへとユーザを誘導するためにスパムメールを利用。米国の「Better Business Bureau（商事改善協会）」やソーシャル・ネットワーキング・サービス（SNS）「LinkedIn」などから送信されたように見せかけ、正規のメールを装っていました。確認されたこれらのスパムメールは、ユーザの興味や関心を逆手にとるソーシャルエンジニアリングの手法を用いて、メール本文内のリンクをクリックするように促します。

日本国内においては成人向けコンテンツなどの閲覧を促し、ワンクリックウェアと呼ばれる不正プログラムと連携して金銭を要求する「ワンクリック詐欺」の被害が相次いでいますが、同様の不正な請求は海外でも発生しています。トレンドマイクロでは、海外における不正請求の典型例である「ランサムウェア」の被害を日本国内においても確認しました。