成人向けコンテンツの閲覧などをきっかけとしたワンクリック詐欺は、画面に請求画面を貼り付けるなど巧妙な手口でその被害者が増加し続けています。2011年6月の脅威傾向とともに、解説します。

米Apple がこの秋提供を始める無料クラウドサービス「iCloud」。このサービスは、2011年6月6日（米国時間）に開幕した Apple の開発者向け年次イベント「Worldwide Developers Conference（WWDC）」で CEO の Steve Jobs氏から発表され、大きな話題となっています。また、iCloud については、この発表に加え、商標をめぐる訴訟問題も明らかになったことから、多くの人々の関心を呼ぶこととなっています。

2011年4月に本ブログで注意喚起したSQLインジェクションによる正規Webサイト改ざん攻撃、通称「Lizamoon(ライザムーン)」攻撃の被害を再び確認いたしました。

　トレンドマイクロでは、2010年6月10日から、「open.htm」というファイルを添付し、不正サイトへと誘導するスパムメールが世界的に流通しており、日本国内においても多数の企業で受信していることを確認しています。 　弊社にて確認しているスパムメールの件名にはいくつかのバリエーションがみられます。このうち、「Microsoft Outlook Setup Notification」の件名は2009年にも確認した手口です。（Trend Micro Security Blog：2009年6月15日「国内確認、Outlook利用者を狙ったソーシャルエンジニアリング攻撃」） Outlook利用者を狙ったケース World Cup South Africaに便乗 図1. 件名「Outlook Setup Notification」 図2. 件名「FIFA World Cup South Africa... bad news」

　JPCERT コーディネーションセンターは6月1日、「社内 PC のマルウエア感染調査を騙るマルウエア添付メールに関する注意喚起」を発表しました。 　今回はこのインシデントにおける添付ファイル「Virus Check.zip」に注目し、その脅威について報告いたします。 図1. メールに添付されていたファイル「Virus Check.zip」

現在、国内の正規Webサイトが不正プログラムによって改ざんされる事象が相次いでいます。改ざんされたWebサイトを閲覧すると、FTPアカウント情報（サーバアドレス、アカウント、パスワードなど）を盗む不正プログラムに感染します。さらに攻撃者は感染PCから盗んだFTPアカウント情報を使用して、別のWebサイトを改ざんするなど、複数のWebサイトが連鎖的に被害にあう可能性があります。

　普段インターネットを使わない人々が、一斉にインターネットを使う事が多くなると予想されるのが、年末年始です。年末年始というのは、多くの人に精神的、時間的な余裕が生まれる特殊な期間ともいえます。

TrendLabs | ラボレポート 初の「iPhone」ワーム登場： 　日本でも人気の「iPhone」。前年に比べて数百％という勢いで販売数が伸びていると発表されています。そのiPhoneに攻撃を仕掛けるワームが初めて確認されました。今のところ、オーストラリアのみで感染が確認されていますが、「Ikee」と名付けられたこのワームのソースコードは、既に公開されているため、亜種の発生および他の地域への感染拡大が懸念されています。

　10月2日、TROJ_ASPROXファミリによる攻撃と見られるSQLインジェクションを用いた、正規Webサイト改ざんを確認いたしました。 　TROJ_ASPROXファミリは、Microsoft Active Server Pages（ASP技術）で作成されたフォーム（例：ログインページなどの入力要求を受け付けているもの、または動的にページを生成しているもの）を使用している正規サイトを探し、脆弱性（使用しているASP技術のセキュリティ対策の不備）を抱えている場合には、不正なサイトへリダイレクトするIFRAMEタグを埋め込むウイルスです。 ｓｒｃ＝ｈｔｔｐ：／／ｗｗｗ．{BLOCKED}．ｒｕ／ａｄｓ．ｊｓ 図1 改ざんサイトに見られる不正なリンク 上記URLは「Webレピュテーション」により接続がブロックされています。 　同種の被害は過去にも報じられています。

　ボーランド社のプログラム開発環境「Delphi（デルファイ）」がウイルス「TROJ_INDUC.AA」により汚染される事例が相次いで報告されています。 　リージョナルトレンドラボでは、汚染された環境にて作成（コンパイル）され、ウイルス化した（汚染環境にてコンパイルした際に悪意あるコードが組み込まれた）プログラム「PE_INDUC.A」について多数報告を受けており、その一部はオンラインソフトとして正規に配布されているものであることを特定しています。 図1 「TROJ_INDUC.AA」によって汚染された「Delphi」にて作成された「PE_INDUC.A」 　攻撃の発端は、プログラム作成者の開発環境「Delphi」が「TROJ_INDUC.AA」により汚染されることにはじまります。「TROJ_INDUC.AA」は「Delphi」でプログラムを作成する際に使用するライブラリ「SysConst.dcu」（特定の機能をもったプログラムを再利用可能な形で部品化したもの）を「TROJ_INDUC.AA」と置き換えます。この置き換え行為をここでは、「Delphi開発環境への汚染」と呼んでいます。 $(DELPHI)\lib にある「SysConst.pas」ファイルに悪意あるコードをコピーする。 正規の「SysConst.dcu」を「SysConst.bak」という名前に変更する。 悪意あるコードを含む「SysConst.pas」をコンパイルすることで、新たな「SysConst.dcu」（「TROJ_INDUC.AA」）を作成する。 作成後、元の「SysConst.pas」ファイルは削除する。 この汚染は、Delphiバージョンが4.0、5.0、6.0、7.0の場合に発生します。