1月18日、京都府警サイバー犯罪対策課から、ワンクリック詐欺サイトにかかる不正指令電磁的記録供用事件の被疑者を逮捕したとの発表がなされました。発表では、被疑者らは共謀の上、アダルト動画サイト上で「動画再生」と表示されたボタンをクリックした者に対して不正プログラムの実行を促すよう設定し、事情を知らずに上記ボタンをクリックした者に不正な指令を与えるプログラムを実行させたことや、関係総サイト数は 118 であることなど、事件の概要が述べられました。警察発表以上の内容を述べることはできませんが、トレンドマイクロでは、このワンクリック詐欺で用いられたプログラムの解析などの協力をいたしました。

「タコイカウイルス」作者への実刑判決が出たのとほぼ時を同じくして、7月14日から新設されたばかりのいわゆる「ウイルス作成罪」が初適用され、容疑者が逮捕されるという事件が発生しました。今回も舞台はファイル共有ソフトのネットワークでした。

2010年8月に「タコイカウイルス」を作成したとして逮捕・起訴された作者に対し、2011年7月20日、東京地裁は懲役2年6ヶ月の実刑判決を下しました（求刑は懲役3年）。 2009年に「Winny」や「Share」などのファイル共有ソフト利用者の間で話題になった通称「タコイカウイルス（イカタコウイルス）」。その動きは以下のとおりです。

ウイルス作成、保管を処罰する刑法改正案（いわゆるサイバー刑法）が2011年6月17日に可決、成立しました。 今回の刑法改正案は、1）正当な理由なく、2）無断で他人のコンピュータにおいて実行させる目的で、という二つの条件を満たした上でコンピュータウイルスを作成、提供した場合に処罰される、という点が大きなポイントです。

ジャストシステムは、2011年6月16日、日本語ワープロソフト「一太郎」の未修正の脆弱性「JS11001」に対応するアップデートモジュールを公開しました。リージョナルトレンドラボでは、この脆弱性を悪用しバックドアに感染させる事例を確認しています。明確に日本をターゲットとした不正プログラムであるため、注意が必要です。

トレンドマイクロでは、東北地方太平洋沖地震に便乗し、メールの添付ファイルで不正プログラムが届く事例を複数確認しています。Adobe製品の未修正の脆弱性を悪用した攻撃も行われているため、ここに注意喚起致します。

日本のユーザを標的にしたターゲット型（標的型）攻撃や、日本語表記の偽セキュリティソフトはその存在を数多く確認しています。新たな攻撃例の1つとして、2011年2月、リージョナルトレンドラボが確認した日本語を用いた不正プログラムを紹介します。

マルウェア解析の目的は場面に応じて様々ですが、目的の一つはマルウェア対策に有用な情報を得ることです。マルウェア対策の基本的な方法には、ファイルを検査してそのファイルがマルウェアかどうかを判別する手法があります。マルウェアと同じコード（バイナリ列）が検索対象ファイル内に存在するかを調べるパターンマッチング、そしてこの仕組みを応用して検出可能な範囲を拡大したヒューリスティック的な検索手法です。ファイルを検査するこれらの手法は、マスメーリングワームのように飛んでくる流れ弾をブロックするには高い効果を発揮しました。しかし現在の攻撃者は、事前に自身が作成したマルウェアの検出状況を確認し、検出されない状態のファイルを用意してから攻撃を開始することがあります。そこで登場してきたのが、色々な検出技術を多層的に組み合わせて総合的な防御力を高めようという考え方です。コンピュータ内で行われる不正と思われる振る舞い（自身を自動起動するよう設定するなど）の検知や、マルウェアが行う通信の検知など、層が増えれば増えるほどそのすべてを突破するのは困難になり、いずれかの検出技術で検出できる可能性が高まります。一つの絶対的な検出手法があればシンプルで分かりやすいのですが、そのような方法がない現状では採りえる最善の方法と言えるでしょう。しかし、防御する側が新たな対策を講じれば攻撃者はその対策手法を分析して対策の網をかいくぐろうとします。結果として攻撃手法はさらに巧妙さを増していくのです。前置きが長くなりましたが、今回ご紹介するのはそのような巧妙さを増したマルウェアの一例です。

脅威分析のために、攻撃全体を見通す「鳥の目」や過去からの流れを見極め行く末を予測する「魚の目」が重要なことはもはや強調するまでもありませんが、目の前の実体である攻撃コードが何を行うのかを正確に解析する「虫の目」は、脅威の適切な把握とその後の分析の基になる情報としてやはりその重要性に変わりはありません。リバースエンジニアリング手法を用いたマルウェア動作解析は、比較的他の人からも理解されやすい「鳥の目」や「魚の目」による分析とは違って、リバースエンジニア（リバースエンジニアリング手法を駆使して解析するエンジニア）だからこそ見えるものという意味でマルウェア解析の醍醐味と言えます。今回は原点に立ち返り、そんなマルウェア解析者の虫の目でどんなことが見えているのかを、最近解析した一つのマルウェアサンプルを通してご紹介します。

先月より開始した「インターネット脅威レポート」の解説。10月のトピックからいくつかご紹介するとともに、10月下旬より確認されている新たな Adobe の脆弱性に関しても注意喚起致します。