話題となるニュースや出来事には多くの人々が関心を寄せ、さまざまな情報を得ようとすることから、サイバー犯罪者はこうした人々の心理を巧みに利用し、ユーザをだまそうとします。この手口は今や、サイバー犯罪者の常とう手段と化しています。今回の事例でもソーシャル・ネットワーキング・サービス（SNS）「Facebook」への投稿を用いた手口が確認されており、ユーザは、この投稿から偽の動画ページへ誘導され、そこから年齢認証のページへ、そして最終的にはアンケートのページへと誘導されることになります。

「TrendLabs（トレンドラボ）」は、今回の攻撃に利用されるアンケートのページがセキュリティブログ記事「『Google+』の招待状提供を装うアンケート詐欺を確認」で取り上げたものと類似していることを確認しています。ユーザは、こうしたアンケートを用いた詐欺の手口について理解しておくことで、誤って自身が今回のような攻撃に巻き込まれたとしても、Facebook 上の「友達」に注意を呼びかけることも可能です。

■エイミー・ワインハウスさん急死に便乗した攻撃について
今回の「エイミー・ワインハウスさんの死に便乗したアンケート詐欺」の詳細は、次の通りです。

ユーザの Facebook の「ウォール（各ユーザに与えられる『掲示板』のような機能）」に「エイミー・ワインハウスさんの死亡前に撮影された動画を視聴できる」と称するメッセージがリンクとともに投稿されます。ユーザがこのリンクをクリックすると、以下のページに誘導されます。

図1：「エイミー・ワインハウスさんの死亡前に撮影された動画を視聴できる」と称するメッセージの例

このページに記載されたリンクをクリックすると、偽の動画ページが表示されます。この動画ページに実際に表示されるのはクリック可能な画像で、ユーザが動画を見ようとこの画像をクリックすると、年齢認証のダイアログボックスが表示されます。

図2：年齢認証のダイアログボックス

このダイアログボックスをクリックすると、別のダイアログボックスが表示され、この動画ページへのリンクがユーザの Facebook のウォールに投稿されることを通知します。

図3：問題の動画ページへのリンクがユーザの Facebook のウォールに投稿されることを通知するダイアログボックス例

その後、「Human Verification」というウィンドウが表示され、ユーザに「Stupid o Genius?」または「Are You and Your Partner Compatible?」のどちらかのアンケートに答えて人間であることを証明するよう促します。

図4：「Human Verification」と称したウィンドウの例

ユーザが「Stupid o Genius?」を選択すると、以下のようなページに誘導されます。

図5：アンケート後に誘導されるWebページの例

ユーザがこのアンケートに答えていくと、最後に携帯電話番号を入力して暗証番号を入手するよう求められます。

図6：携帯番号入力を促すWebページの例

■SEOポイズニング攻撃も確認
トレンドラボは、上記の他にも、エイミー・ワインハウスさんの死に便乗した事例を確認しています。この事例では、検索エンジンで「amy winehouse death」というキーワードを用いて検索すると、検索結果の上位に不正な URL が表示されるよう悪質に操作されていました。脅威研究員Marco Dela Vega は、これらの不正な URL から最終的には偽セキュリティソフト型不正プログラム「FAKEAV」がダウンロードされることを確認しています。ユーザが検索結果に表示されたリンクをクリックすると、偽のスキャンページに誘導され、コンピュータが不正プログラムに感染していると警告されます。そして、この警告に脅かされたユーザは、FAKEAV ファミリをダウンロードさせられてしまうのです。トレンドマイクロ製品では、ダウンロードされるこの FAKEAV を「TROJ_FAKEAV.CLS」として検出します。

■セキュリティ製品以外にも、日頃心掛ける注意点を知っておく必要あり
トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、上述の攻撃から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」では、「Webレピュテーション」技術により、ユーザがアクセスする前に、不正なWebサイトへの接続をブロックし、「ファイルレピュテーション」技術により、関連するファイルを検出し削除します。

また、サイバー犯罪者は、ユーザをだまそうと絶えず新たな手口を工夫しているため、SNS を利用するユーザは、以下の記事を参照し、こうした脅威への対策を取ることをお勧めします。

参考記事：

• 「Amy Winehouse’s Death Used in Online Attacks」
  　by Cris Lumague (Frauds Analyst)

　翻訳・編集：橋元 紀美加（Core Technology Marketing, TrendLabs）

　先日、「Microsoft Video ActiveX コントロールゼロデイにより「WORM_KILLAV」侵入」について報告したばかりですが、新たに、同社製品 “Microsoft Office Web コンポーネント” のセキュリティホールを利用したゼロデイ攻撃が確認されました。このセキュリティホールは、ActiveXコントロールであるオブジェクト “OCW 10″ および “OCW 11″ に存在します。これらのオブジェクトは、IE（Internet Explorer）でスプレッドシートを表示する際に利用されます。まるで次の同社の「Patch Tuesday」にタイミングを合わせたかのように、サイバー犯罪者もまた、この攻撃で自身の「更新版」をリリースしました。

図1 「JS_SHELLCODE.BH」のスクリプトコード

　マイクロソフトは、「このセキュリティホールが利用されると、”ユーザのブラウザ次第” で、リモートによるコマンド実行が可能となります」と警告しています。また、「ただし、ユーザが、脆弱性利用型不正プログラムが組み込まれた不正Webサイトを閲覧しない限り、感染する恐れはありません」とも説明しています。確かにユーザは安易にこの攻撃を恐れる必要はないかもしれませんが、同社が公開している、この攻撃を仕掛けた不正プログラムに対するさらなる情報および「セキュリティ アドバイサリ」を確認する必要があるでしょう。また、同社は、どのコンピュータがこの攻撃に無防備かユーザが判断するための情報も、「Security Research & Defenseブログ」で公開しています。

　トレンドマイクロのリサーチ・プロジェクト・マネージャの Ivan Macalintalによると、今回のゼロデイ攻撃も、前回の大規模Webサイト改ざん・ゼロデイ攻撃と同様の手口が利用されました。また、この脆弱性利用型不正プログラムの一部は必ずしも不正であるとは言い切れないとのことです。しかし、この不正プログラムは実行される段階で、各コンポーネントが組み合わさり、バイナリ型不正プログラム本体として攻撃をしかけ、結果、大惨事が引き起こされることとなります。

　トレンドラボのウイルス解析者Jessa De La Torreによると、脆弱性のあるIE（Internet Explorer）を利用して不正Webサイトを閲覧したユーザは、自動的に感染する恐れがあります。また、トレンドマイクロの製品では「JS_SHELLCODE.BH」として検出される不正JavaScriptは、ActiveXコントロールを無効にしていない同ブラウザ上で自動的に実行されます。つまり、セキュリティホールが確認されているActiveXコントロールをインストールしているユーザのみ感染することとなります。この不正スクリプトは、実行されると、ダウンローダー「TROJ_DLOADER.DOF」をダウンロードし、このダウンローダーは他の不正プログラムのダウンロードを引き起こします。

　下記ソフトウエアは、通常のマイクロソフト製品の中でも特に、この不正プログラムの影響を受けやすいのでご注意ください。

• Microsoft Office XP Service Pack 3 および Microsoft Office 2003 Service Pack 3

　マイクロソフトは、現在、次の「Patch Tuesday」には、このセキュリティホールに対応するセキュリティパッチを配布する予定です。同ページには、ユーザが自動的にパッチをダウンロードするページへのリンクも掲載されます。

　トレンドマイクロのウイルス解析チームは、このセキュリティホールに関する報告を受け、現在、検体を取得しさらなる分析を実施しています。なお、トレンドマイクロ製品のユーザは、「Trend Micro Smart Protection Network（SPN）」によりブロックされています。

* 脅威をリアルタイムレポートする「Pollution Tracker」を公開いたしました。URLは「http://jp.trendmicro.com/jp/threat/trend_watch/pollution_tracker/」になります。併せてご活用ください。

■集計対象期間：2009年6月1日～2009年6月30日

　上記の5カ国に、6位にトルコ（先月3【位】）、7位にアルゼンチン（先月9【位】）、8位にロシア（先月4【位】）、9位にコロンビア（先月9【位】）、10位にUnknown（先月圏外【位】）が続いています。

　ワーストTOP5を見ると、先月に引き続き、1位にブラジル、2位にアメリカが位置しています。このほか、韓国（7位から4ステップアップの3位）、ポーランド（5位から1ステップアップの4位）、インド（圏外からのステップアップの5位）の急浮上も見られます。代わりにトルコ、ロシアが順位を下げています。

　各国のプロバイダにおけるボットネットの活動を監視している「Spam & Botnet Watch」（2009年07月01日時点）からは、スパムを配信するISP（インターネットサービスプロバイダ）の上位10社中2社がアメリカのISP、4社がブラジルのISPが占め、1月～6月とこの傾向は続いています。なお、今回急浮上の見られた韓国のISPは4位に1社。ポーランドのISPは3位に1社。インドのISPは8位に1社ランクインしています。

* アメリカのISP：1位「TTNET TTnet Autonomous System」、9位「VZGNI-TRANSIT – Verizon Internet Services Inc.」

* ブラジルのISP：2位「Telecomunicacoes da Bahia S.A.」、5位「TELECOMUNICACOES DE SAO PAULO S/A – TELESP」、7位「NET Servicos de Comunicao S.A.」、6位「TELESC – Telecomunicacoes de Santa Catarina SA」

* 韓国のISP：4位「KIXS-AS-KR Korea Telecom」

* ポーランドのISP：3位「TPNET Polish Telecom’s commercial IP network」

* インドのISP：8位「BSNL-NIB National Internet Backbone」

図1 スパム・ボットネットの監視統計（2009年07月01日時点）

　SaaS型セキュリティサービスプラットフォーム「SecureCloud」による「有害送信元IP」統計によれば、6月度は約12億のIPより有害情報が送信されたことを記録しています。これは先月から約1.5倍増の値となります。

図2 「SecureCloud」による「有害送信元IP」統計（2009年07月01日時点）

　スパムメールを介した攻撃手法としては、社会学的に効果の高い手法が採られています。

　今月は世界に衝撃をもたらしたニュースが相次ぎました。スパムメール配信業者はこうしたニュースをいち早く採り入れ、自身の目的達成手段へと活用しています。

　はじめに報告された事例がエールフランス機消息事故（関連記事1）、次いで報告されたのがマイケル・ジャクソンとファラ・フォーセットの訃報（ふほう）に便乗した事例でした（関連記事2（英文））。

　こうした事例においてはいくつかの共通性が見られます。メールにはニュースの概要などが記載され、詳細を示す写真や映像の閲覧にはリンク（記載URL）へのアクセスを促していること。実際にリンク先に配置されているコンテンツはウイルスであること。ウイルスのインストールを達成させるために、動画再生ソフトウェアや写真であると示し、実行を促していることなどが共通性として挙げられます。

　不正サイトへ誘導する手口はニュースに限られたものではありません。5月度に見られた「母の日ギフト」スパムメールと同様に、今月は「父の日ギフト」（関連記事3（英文））にその内容を変化させ、攻撃が行われていることを確認しています。

　このような不正サイトへ誘導する手口においては、スパムメールのみならず、SEO（インターネット検索エンジンの最適化）対策を実施した上で誘導する手口も報告されており、引き続きの注意が必要であるといえます。

　前述の通り、不正サイト誘導手口が主流を占めるなか、今月は懐古的な手口も報告されています。ウイルス自体をメールに添付し、拡散する手法です（関連記事4）。攻撃者はセキュリティリテラシーの高まった現状の裏をかく形で、ウイルスである添付ファイルをセキュリティパッチと偽り、受信者に実行させようと試みています。

　昨今、被害深刻な偽セキュリティソフト（スケアウェア）事例もリテラシー高まりを逆手に取った手口の一つであるといえます。こうした手口から身を守る手段として、利用者は信頼できる情報源を把握しておくこと。自らその情報源に訪れ、必要な対策を施していくことが有効であるといえます。

スパムメールハイライト：日本語ブログ、インターネット・セキュリティ・ナレッジより

• 2009/06/15 国内確認、Outlook利用者を狙ったソーシャルエンジニアリング攻撃
• 2009/06/09 オークションサイトを騙るフィッシングメールが出回る
• 2009/06/05 エールフランス機消息事故を検索すると偽セキュリティソフト配布サイトへ誘導
• 2009/06/03 迷惑メール大量送信、半年で約800件の苦情で改善命令

スパムメールハイライト：英語ブログより

• 2009/06/29 Michael Jackson Video Leads to Malware Download
• 2009/06/25 Italy: Political Controversy Spam
• 2009/06/24 Med Spam Litters Silverlight Forums
• 2009/06/22 “Critical Update” Leads to Critical Info Theft
• 2009/06/19 ATattletale Spam Reveals Malicious File Instead of Gossip
• 2009/06/19 Australia: Taxpayers Targeted by Phishing Attack
• 2009/06/18 Deceitful Advertisement thru Dating Spam
• 2009/06/17 Air France Flight 447 Spam Arrives with PowerPoint Exploit
• 2009/06/16 Spammers Celebrate with Father’s Day Early
• 2009/06/15 Another Google Search Feature Abused
• 2009/06/11 The Good and the Bad of Being A New Spam Bot
• 2009/06/07 Reconfigure Your Outlook with Malware
• 2009/06/02 Phishing Attack Targets Microsoft Outlook Users

　スパムメールはウイルス感染のリスクやフィッシング被害に遭うリスクを高めるだけでなく、正当なメールとの仕分け作業によりユーザへ負担を与え、組織のネットワーク資源の圧迫、さらには不要なメールによりディスク容量が占有されるなど、大きな問題となっているのはご承知の通りです。

　トレンドマイクロでは、クライアント環境での「スパム対策エンジン」（コンテンツフィルタリング）によるスパム対策のみならず、ゲートウェイでの4階層によるスパム対策を推奨しています。

1. IP Profiler：メールアドレス収集攻撃（DHA：Directory Harvesting Attack）が確認されると、送信元サーバからの通信をブロックし、メールアドレスの流出を阻止する。
2. IPレピュテーション：メールサーバの入り口で送信元IPアドレスの信頼性を判断、スパムメールと認識したものは自動的にブロックする。
3. IP Profiler：特定の企業や組織を狙う標的型攻撃が確認されると、送信元サーバからの接続を自動的にブロックする。
4. スパム検索エンジン：ヒューリスティックとパターンマッチングの技術を組み合わせて検出・隔離する

　トレンドマイクロでは、引き続きスパムメール対策のソリューションを提供してまいります。

スパムメール対策

●メッセージングソリューション
企業のメールやグループウェアを保護します。

■関連情報

* 脅威をリアルタイムレポートする「Pollution Tracker」を公開いたしました。URLは「http://jp.trendmicro.com/jp/threat/trend_watch/pollution_tracker/」になります。併せてご活用ください。

■集計対象期間：2009年5月1日～2009年5月31日

　上記の5カ国に、6位にインド（先月6【位】）、7位に韓国（先月7【位】）、8位にUnknown（先月圏外【位】）、9位にアルゼンチン（先月10【位】）、10位にコロンビア（先月9【位】）が続いています。

　ワーストTOP5を見ると、予てより活発な動きを見せていたブラジルが首位となり、代わってアメリカがランクを下げています。そのほかの順位については先月から大きな変動は見られません。

　SaaS型セキュリティサービスプラットフォーム「SecureCloud」による「有害送信元IP」統計によれば、5月度は約8億のIPより有害情報が送信されたことを記録しています。これは先月から約1.35倍増の値となります。

図1 「SecureCloud」による「有害送信元IP」統計（2009年06月01日時点）

　スパムメールを介した攻撃手法としては、社会学的に効果の高い手法が採られています。

　先月に引き続き、「豚インフルエンザ」に関する話題が報告されています。このほか、季節行事に合わせた攻撃、「母の日ギフト」を狙った動きも報告されています。確認されたスパムメールの中には、ギフトとして「Rep1ica」（レプリカ。「数字 1」は誤字ではなく実際にスパムメール記載の表記）と称した高額ブランド品や時計などの偽装品を勧める内容もみられます。

　このほか、海外電信送金サービスを詐称した事例（関連記事1（英文））など、全世界にサービス展開しているものは国内利用者への影響も懸念されます。

　更に、国内で著名な事例が同様に国外で見られることがあります。5月度の「Secret Admirer（隠れファン）」からのメールと称し誘導する事例（関連記事2（英文））やSNSサイトからの案内を装った事例（関連記事3（英文））は、国内においては「あなたのことを見て」、「お久しぶりです！＜名前＞です。」、「招待状が届いています！」といった件名によるスパムメール事例と対比して分析することができます。いずれにおいても送信者の狙いは受信者に親近感を与えることです。親近感は、スパムメールの効果を高める上で重要かつ、万国共通の要素であるといえるのではないでしょうか。

スパムメールハイライト：日本語ブログ、インターネット・セキュリティ・ナレッジより

• 2009/05/07 新型インフルエンザ流行に便乗したサイバー攻撃が出回る

スパムメールハイライト：英語ブログより

• 2009/05/28 ‘Secret Admirer’ Confesses Through Web TV Spam
  「Secret Admirer（隠れファン）」からのメールと称し、WebTVの宣伝へ誘導するスパムメールを確認。
• 2009/05/26 Citi Prepaid Phishing Services
  ペイメントカード企業の「Citi Prepaid Services」を詐称したスパムメールとフィッシングサイトを確認。
• 2009/05/20 German Job Offers Used for Nigerian Scam
  ドイツ語圏を標的とした違法なマネーロンダリング作業に荷担させようとする勧誘スパムメール。
• 2009/05/12 Spoofed Western Union Mail Carries Info Stealer
  海外電信送金サービスを提供しているWestern Union（米ウエスタンユニオン）からの請求書を装ったウイルス添付スパムメール。
• 2009/05/11 Fake Antivirus Targets Brazil
  卒業者向けSNSサイトからの案内を装ったスパムメールにパワーポイントファイルを装ったウイルスを添付。ウイルス発症により、ランサムウェア（ファイルを人質として身代金「ランサム」を要求する）機能を備えた偽セキュリティソフトが動作。
• 2009/05/11 Yet More Swine Flu Attacks
  豚インフルエンザ騒動に便乗したスパムメールによって、オンライン銀行（メキシコ圏）のアカウント搾取を狙うウイルス「TROJ_QHOST.TB」をインストール。正当な銀行サイトへアクセスを迂回させ、攻撃者が設置した偽サイトへし向ける。
• 2009/05/05 Waledac Turns to Cash and Vaccines
  怪しげなネットビジネス広告を装った内容を配信していた「WORM_WALEDAC」ファミリ。現在は豚インフルエンザ騒動に便乗した内容へ切り替えている。
• 2009/05/04 Spoofed KMart Survey Offers $150 for Credit Card Info
  米小売業の「Kmart（Sears Holdings Corporation）」を詐称した顧客満足度調査ページの存在が確認。

　スパムメールはウイルス感染のリスクやフィッシング被害に遭うリスクを高めるだけでなく、正当なメールとの仕分け作業によりユーザへ負担を与えたり、組織のネットワーク資源の圧迫、さらには不要なメールによりディスク容量が占有されるなど、大きな問題となっているのはご承知の通りです。

　トレンドマイクロでは、クライアント環境での「スパム対策エンジン」（コンテンツフィルタリング）によるスパム対策のみならず、ゲートウェイでの4階層によるスパム対策を推奨しています。

1. IP Profiler：メールアドレス収集攻撃（DHA：Directory Harvesting Attack）が確認されると、送信元サーバからの通信をブロックし、メールアドレスの流出を阻止する。
2. IPレピュテーション：メールサーバの入口で送信元IPアドレスの信頼性を判断、スパムメールと認識したものは自動的にブロックする。
3. IP Profiler：特定の企業や組織を狙う標的型攻撃が確認されると、送信元サーバからの接続を自動的にブロックする。
4. スパム検索エンジン：ヒューリスティックとパターンマッチングの技術を組み合わせて検出・隔離する

　トレンドマイクロでは、引き続きスパムメール対策のソリューションを提供してまいります。

スパムメール対策

●メッセージングソリューション
企業のメールやグループウェアを保護します。

■関連情報

* 脅威をリアルタイムレポートする「Pollution Tracker」を公開いたしました。URLは「http://jp.trendmicro.com/jp/threat/trend_watch/pollution_tracker/」になります。併せてご活用ください。

■集計対象期間：2009年4月1日～2009年4月30日

　上記の5カ国に、6位にインド（先月6【位】）、7位に韓国（先月4【位】）、8位にスペイン（先月10【位】）、9位にコロンビア（先月7【位】）、10位にアルゼンチン（先月圏外【位】）が続いています。

　ワーストTOP5を見ると、先月に引き続き、1位にアメリカ、2位にブラジルが位置しています。このほか、トルコ（圏外からステップアップの3位）、ポーランド（4ステップアップの5位）の急浮上も見られます。代わりにロシア、韓国が順位を下げています。

　各国のプロバイダにおけるボットネットの活動を監視している「Spam & Botnet Watch」（2009年05月01日時点）からは、スパムを配信するISP（インターネットサービスプロバイダ）の上位10社中2社がアメリカのISP、4社がブラジルのISPが占め、1月/2月/3月とこの傾向は続いています。なお、今回急浮上の見られたトルコのISPはトップ10圏外。ポーランドのISPは5位に1社ランクインしています。

* アメリカのISP：1位「TTNET TTnet Autonomous System」、3位「VZGNI-TRANSIT – Verizon Internet Services Inc.」

* ブラジルのISP：2位「Telecomunicacoes da Bahia S.A.」、4位「TELECOMUNICACOES DE SAO PAULO S/A – TELESP」、6位「NET Servicos de Comunicao S.A.」、7位「TELESC – Telecomunicacoes de Santa Catarina SA」

* ポーランドのISP：5位「TPNET Polish Telecom’s commercial IP network」

図1 スパム・ボットネットの監視統計（2009年05月01日時点）

　SaaS型セキュリティサービスプラットフォーム「SecureCloud」による「有害送信元IP」統計によれば、4月度は約6億のIPより有害情報が送信されたことを記録しています。

図2 「SecureCloud」による「有害送信元IP」統計（2009年05月01日時点）

　スパムメールを介した攻撃手法としては、社会学的に効果の高い手法が採られています。「全世界におけるスパムカテゴリ内訳」からは攻撃者の関心の高い領域をうかがい知ることができます。

図3 全世界におけるスパムカテゴリ内訳

　例年この時期に見られるのが、米国の確定申告シーズン（米国は4月15日）にあわせたスパムメールです。今回確認された事例は、米国非居住者（すなわち、日本人/日本法人を含む）を狙ったもの。米国非居住者用の免税書類、W-8BENフォームに個人情報を記載させる手口が報告されています（関連記事1（英文））。国内においても定額給付金の給付手続をよそおった詐欺事件が報告されています。十分ご注意ください。

総務省：重要なお知らせ「定額給付金の給付手続をよそおった詐欺が発生しました。ご注意ください。」

　この他、豚インフルエンザ騒動の影響に便乗したスパムメール（関連記事2（英文）、関連記事3）もサイバー空間を賑わしています。流行に便乗したタイプのスパムメールとして注意喚起いたします。

　国内の事例に目を向けると、大手クレジットカード会社を装った詐欺行為が報告されています（関連記事4）。料金請求や個人情報を要求するようなメールに対しては、たとえ信頼できる内容であっても、本文のリンクや電話番号をクリックするのではなく、ユーザから正規サイトへアクセスし、メールで連絡された内容で事実があるか必ず確認することが重要といえます。この他、「アダルト」カテゴリに関するスパムメールの被害報告が深刻です（関連記事5）。その手口は技術的にも進化が見られ、今後も新しい手口を投入してくることが予想されます。

スパムメールハイライト：日本語ブログ、インターネット・セキュリティ・ナレッジより

• 2009/04/15 UFJカードの情報を盗もうとするフィッシングサイトが出現
• 2009/04/08 動画を閉じると「入会完了」　悪質なワンクリックの新手口

スパムメールハイライト：英語ブログより

• 2009/04/30 Invoice Spam Finds New Target: WorldPay
  オンライン決済専門会社WorldPay（英ロイヤルバンク・オブ・スコットランドグループ）からの請求書を装ったウイルス添付スパムメール
• 2009/04/28 Swine Flu Outbreak Hits The Web Through Spam
  豚インフルエンザニュースに便乗したスパムメールが出現
• 2009/04/27 Terra Spam Targets Portuguese-Speaking Users
  ブラジルのポータルサイトTerraを装ったスパムメール。写真閲覧のためのソフトウェアと装い、ダウンローダ型のウイルス「TROJ_DLOADR.VIA」をインストール
• 2009/04/22 Fake Form W-8BEN Used in IRS Tax Scams
  米国非居住者用の免税書類、W-8BENフォームに個人情報を記載させ、個人情報の不正搾取に悪用
• 2009/04/21 WALEDAC’s Latest Spamming Fetish
  成人向けビデオサイトを装い、記載URLをクリックさせ、ウイルス感染サイトへの誘導
• 2009/04/16 New Waledac Campaign: SMS ‘Snooping’ Software
  ショートメッセージサービスを盗み見るスパイウェアソフトの体験版配布サイトへと誘導
• 2009/04/15 Online Casino, Geocities, and Waledac
  ホームページサービスのYahoo!ジオシティーズ上に作成されたオンライン・カジノサイトへと誘導
• 2009/04/07 Tax Season is Phishing Season
  確定申告書類作成にかかる費用を軽減させるサービスであると称して個人情報を集めようとするフィッシング詐欺
• 2009/04/02 Waledac Spamming Image Hosting and Italian Job Offers
  WORM_WALEDAC」ファミリによるスパムメール拡散事例、容量無制限のオンラインアルバムサービスを詐称
• 2009/04/02 Cable Cable Phish Phish
  ケーブルテレビ会社「Cable Cable Inc.」のドメイン上に米小売業の「ウォルマート・ストアーズ」を詐称した顧客満足度調査ページの存在を確認

　スパムメールはウイルス感染のリスクやフィッシング被害に遭うリスクを高めるだけでなく、正当なメールとの仕分け作業によりユーザへ負担を与えたり、組織のネットワーク資源の圧迫、さらには不要なメールによりディスク容量が占有されるなど、大きな問題となっているのはご承知の通りです。

　トレンドマイクロでは、クライアント環境での「スパム対策エンジン」（コンテンツフィルタリング）によるスパム対策のみならず、ゲートウェイでの4階層によるスパム対策を推奨しています。

1. IP Profiler：メールアドレス収集攻撃（DHA：Directory Harvesting Attack）が確認されると、送信元サーバからの通信をブロックし、メールアドレスの流出を阻止する。
2. IPレピュテーション：メールサーバの入口で送信元IPアドレスの信頼性を判断、スパムメールと認識したものは自動的にブロックする。
3. IP Profiler：特定の企業や組織を狙う標的型攻撃が確認されると、送信元サーバからの接続を自動的にブロックする。
4. スパム検索エンジン：ヒューリスティックとパターンマッチングの技術を組み合わせて検出・隔離する

　トレンドマイクロでは、引き続きスパムメール対策のソリューションを提供してまいります。

スパムメール対策

●メッセージングソリューション
企業のメールやグループウェアを保護します。

■関連情報

* 脅威をリアルタイムレポートする「Pollution Tracker」を公開いたしました。URLは「http://jp.trendmicro.com/jp/threat/trend_watch/pollution_tracker/」になります。併せてご活用ください。

■集計対象期間：2009年3月1日～2009年3月31日

　上記の5カ国に、6位にインド（先月7【位】）、7位にコロンビア（先月9【位】）、8位に中国（先月6【位】）、9位にポーランド（先月10【位】）、10位にスペイン（先月圏外【位】）が続いています。

　ワーストTOP5を見ると、ランキングの大きな変動が見られます。ブラジルが3ステップアップの2位に位置し、代わりにロシア、韓国が一つずつ順位を下げています。また、スパムマップランキングをブログで報じてきて初の「Unknown」が5位にランクインしています。混沌としたスパムメール被害の状況がこのランキングからも見えてきます。

　各国のプロバイダにおけるボットネットの活動を監視している「Spam & Botnet Watch」（2009年04月01日時点）からは、スパムを配信するISP（インターネットサービスプロバイダ）の上位10社中2社がアメリカのISP、4社がブラジルのISPが占め、1月/2月と連続しての傾向維持が確認できます。ただし、先月ランクインの見られた中国を拠点するISPはトップ10圏外となっています。代わってランクインしたのがポーランド、韓国、インド、ベトナムのISPです。

* アメリカのISP：1位「TTNET TTnet Autonomous System」、4位「VZGNI-TRANSIT – Verizon Internet Services Inc.」

* ブラジルのISP：2位「Telecomunicacoes da Bahia S.A.」、3位「TELECOMUNICACOES DE SAO PAULO S/A – TELESP」、5位「NET Servicos de Comunicao S.A.」、7位「TELESC – Telecomunicacoes de Santa Catarina SA」

図1 スパム・ボットネットの監視統計（2009年04月01日時点）

　スパムメールを介した攻撃手法としては、社会学的に効果の高い手法が採られています。

　インターネット上の問題の一つとしてあげられるのが「グレーマーケット」。ある商品がA国では合法であってもB国では不法となることがあります。こうした法の網をかい潜り、何とか禁制品を売買しようとするものが集まっている市場がグレーマーケットです。WORM_WALEDAC（ワレダック）ファミリによる、薬剤販売が横行している背景にはこのようなグレーマーケットの存在が影響していると推測されます（関連記事1（英文））。

　個人情報搾取を狙う攻撃者はウイルスを侵入させる方法の考案に躍起となっています。航空チケットの案内（関連記事2（英文））、偽のニュース（関連記事3（英文））、世界経済危機（関連記事4（英文））に、偽のWindowsUpdate（関連記事5（英文））。多層防御を施さなければ、これら脅威に立ち向かっていくことはもはや困難といえるでしょう。

　国内の事例に目を向けると、大手ソーシャルネットワークサービスを装った詐欺行為が報告されています（関連記事6）。いつの世においても人は人間関係を繋ぎ止めておきたいと望むものです。こうした思いを逆手にとった、攻撃行為は何も国内に限られたものではありません（関連記事7（英文））、（関連記事8（英文））。人の思いを踏みにじる犯罪は決して許されざる行為です。

スパムメールハイライト：日本語ブログ、インターネット・セキュリティ・ナレッジより

• 2009/03/13 mixiを騙り「データ消去費用を振り込め」　詐欺に注意喚起
• 2009/03/04 誤配信メールにウイルスが混入

スパムメールハイライト：英語ブログより

• 2009/03/27 Spoofed Delta Airlines Contains Malware
  デルタ航空からのチケット案内を装いウイルス配布
• 2009/03/20 WALEDAC Spamming Madness
  薬剤販売と称して拡散を広げるWORM_WALEDAC（ワレダック）
• 2009/03/17 Spanish Spam Abuses Reply-To, Contains Downloader
• 2009/03/13 Bogus Facebook, Malware, and a Dancing Girl
  相次ぐFacebookにただ乗りしたスパムメール、「Reply-to」フィールドに罠を仕掛けウイルス拡散
• 2009/03/16 Waledac Localizes Social Engineering
  「○○○で大爆発事故」利用者のアクセス元に応じて見出しを変える偽ニュースでウイルス配布
• 2009/03/11 Spammers Recommend Malicious Plans for the Crisis
• 2009/03/10 Economic Woes Ramp up Online Threats
  経済危機に便乗しウイルス配布
• 2009/03/09 Fake Windows Support Spam Brings Forth an Info-Stealer
  WindowsUpdateを装いウイルスダウンロードを促すスパムメール
• 2009/03/09 Chatwebcamfree Porn Hijacks Twitter Accounts
  Twitterのパスワードが破られる、成人向けサイトの宣伝に悪用

　スパムメールはウイルス感染のリスクやフィッシング被害に遭うリスクを高めるだけでなく、正当なメールとの仕分け作業によりユーザへ負担を与えたり、組織のネットワーク資源の圧迫、さらには不要なメールによりディスク容量が占有されるなど、大きな問題となっているのはご承知の通りです。

　トレンドマイクロでは、クライアント環境での「スパム対策エンジン」（コンテンツフィルタリング）によるスパム対策のみならず、ゲートウェイでの4階層によるスパム対策を推奨しています。

1. IP Profiler：メールアドレス収集攻撃（DHA：Directory Harvesting Attack）が確認されると、送信元サーバからの通信をブロックし、メールアドレスの流出を阻止する。
2. IPレピュテーション：メールサーバの入口で送信元IPアドレスの信頼性を判断、スパムメールと認識したものは自動的にブロックする。
3. IP Profiler：特定の企業や組織を狙う標的型攻撃が確認されると、送信元サーバからの接続を自動的にブロックする。
4. スパム検索エンジン：ヒューリスティックとパターンマッチングの技術を組み合わせて検出・隔離する

　トレンドマイクロでは、引き続きスパムメール対策のソリューションを提供してまいります。

スパムメール対策

●メッセージングソリューション
企業のメールやグループウェアを保護します。

■関連情報

　2007年の感染報告以降、急激にその種類が増加している事を考えると、USB機器経由での感染経路に一定の効果があることが、ウイルス作者にも広く急速に浸透した事がうかがい知れます。

　今回は、「Webからの脅威」と並び非常に効果的な感染経路の一つとして利用され続けるUSBワーム、および「Autorun.inf」について、従来とは異なった視点からより技術的に分析しレポート致します。

　リージョナルトレンドラボは、日本国内に寄せられたUSBワーム被害に関する統計調査を実施しました。今回の調査は、USBワーム被害が顕著となる2007年11月から15ヶ月間のデータを使用しています。

■目次■

■数から見るUSBワーム

　リージョナルトレンドラボに寄せられた総数1185の「Autorun.inf」から、自動実行対象であるファイル名を抽出し、ファイル名に対する頻度分析を行った結果を下記に示します。

図1　USBワームが自動実行させるファイル名のトップ10（期間：2007年11月～2009年2月）

　全自動実行ファイル名のうち、TOP10が占める割合は全体の32.3%となります。１位の「hbs.exe」（WORM_AUTORUN.MFC、WORM_AUTORUN.BSMが作成する不正プログラム）、2位の「f.exe」(WORM_AUTORUN.BYTが作成する不正プログラム)、3位の「3u.cmd」（WORM_AUTORN.PZ、WORM_AUTORUN.IANが作成する不正プログラム）、これらTOP3のUSBワームについては2008年11月～2009年1月にかけて感染報告が急増しています。

　お問い合わせ時期を見ると、TOP3のUSBワームは特に局所的な感染急増傾向が見られます。

　TOP3のUSBワームは時期的特徴の他にも、いくつかの共通点があげれます。

　まず、「Autorun.inf」に類似した難読化（1行おきにランダムな文字列のコメント文が挿入）が見られるという点です。

図2 類似した難読化（隔行でランダムな文字列のコメント文が挿入）がされている

　さらに、TOP3全てのUSBワームが下記URLにアクセスし、他の不正プログラムをダウンロードさせる挙動が見られます。

　こうした事実から、過去のお問い合わせ報告数1位～3位のUSBワームが、非常に高い関連性を持ったウイルスであることがわかります。

　TOP3のUSBワームがここまで感染を拡げた理由としては、発見・駆除を逃れるための動作を複数組み合わせていた事がその主な要因と推測されます。非常に高い頻度で次々と新しい亜種を呼び込み感染させるダウンローダ機能に加え、インターネットへの接続を妨害する動作や、システム属性および読み取り専用属性を非表示になるようにレジストリを変更するなどして、発見・駆除を困難とさせています。

　これらのUSBワームは、短期間に非常に多くの被害を発生させたため、「Autorun.inf」による感染経路を一般に広く認知させるきっかけとなりました。 言い換えれば、感染経路の有効性を明示させた代表的なUSBワームの一種であるともいえるでしょう。

目次に戻る

1/4

Index
USBワームが作成する「Autorun.inf」の分析とその傾向
	Page 1 数から見るUSBワーム
	Page 2 さらに巧妙になる「Autorun.inf」の難読化
	Page 3 自動実行ファイルの拡張子から見る「Autorun.inf」
	Page 4 URLを直接開くことが可能な「Autorun.inf」 利用方法により拡がる「Autorun.inf」の危険性 まとめ

* 脅威をリアルタイムレポートする「Pollution Tracker」を公開いたしました。URLは「http://jp.trendmicro.com/jp/threat/trend_watch/pollution_tracker/」になります。併せてご活用ください。

■集計対象期間：2009年2月1日～2009年2月28日

　上記の5カ国に、6位に中国（先月8【位】）、7位にインド（先月圏外【位】）、8位にアルゼンチン（先月圏外【位】）、9位にコロンビア（先月圏外【位】）、10位にポーランド（先月10【位】）が続いています。

　ワーストTOP5を見ると、ランキングの大きな変動が見られます。2位に位置していたブラジルのランクダウン、代わりに韓国の大幅なランクアップが見られます。ただし、この結果からブラジルからのスパムメール配信収束を判断するには早計といえます。

　各国のプロバイダにおけるボットネットの活動を監視している「Spam & Botnet Watch」（2009年03月01日時点）からは、スパムを配信するISP（インターネットサービスプロバイダ）の上位10社中2社がアメリカのISP、4社がブラジルのISPで占められていることが確認できます。加えて中国のISPのうち2社がランクインしている点も注目です。

　この結果からは依然ブラジル国内のISPにおけるボットネットの状況は活性状態であること、すなわち、スパムメール配信原因の一つであるボットネットの状況から考えると、今後もブラジルからのスパムメール配信に注視すべき状況であることを意味しています。

* アメリカのISP：2位「VZGNI-TRANSIT – Verizon Internet Services Inc.」、3位「TTNET TTnet Autonomous System」

* ブラジルのISP：1位「Telecomunicacoes da Bahia S.A.」、4位「TELECOMUNICACOES DE SAO PAULO S/A – TELESP」、8位「TELECOMUNICACOES DE SAO PAULO S/A – TELESP」、9位「TELESC – Telecomunicacoes de Santa Catarina SA」）

* 中国のISP：5位「BACKBONE-GUANGDONG-AP China Telecom(Group)」、6位「CHINA169-BACKBONE CNCGROUP China169 Backbone」）

図1 スパム・ボットネットの監視統計（2009年03月01日時点）

　スパムメールを介した攻撃手法としては、社会学的に効果の高い手法が採られています。

　先月に引き続き、WORM_WALEDAC（ワレダック）ファミリがスパムメールによる拡散を広げています。予てから懸念されていたバレンタインデーのグリーティングカードを装ってウイルスを配布する手口が採られています（関連記事1（英文））。

　WORM_WALEDACファミリの詳細については「TrendLabs」の解析メンバーによる記事も別途用意しています。併せてご確認ください（参考情報：セキュリティ最前線 （2009年2月13日掲載）「「Waledac」は、新たな「Storm」となるか？」）。

　このほかにもバレンタインデーに便乗した手口が報告されています。バレンタインデーのようにギフトが絡むイベントではオンラインショッピング詐欺と連動したスパムメール拡散傾向が高まります。2月6日に報告の事例では、バレンタインデーの特別セールを宣伝するメールが確認されています。その本文では、宝石などを通常よりも低価格で販売するとしていますが、これは受信者をだますためのわな。メール中の画像やリンクをクリックすると、医薬品の販売サイトに誘導が行われます（関連記事2（英文））。

　国内の事例に目を向けると、携帯電話に向けた架空請求メールの被害事例が報告されています（関連記事3）。料金請求や個人情報を要求するようなメールに対しては、たとえ信頼できる内容であっても、本文のリンクや電話番号をクリックするのではなく、ユーザから正規サイトへアクセスし、メールで連絡された内容で事実があるか必ず確認することが重要といえます。

スパムメールハイライト：日本語ブログ、インターネット・セキュリティ・ナレッジより

• 2009/02/18 ゲームソフト会社を騙った架空請求メールが出回る

スパムメールハイライト：英語ブログより

• 2009/02/25 Gmail Downtime Exposes Ad-Rigged Site
  Gmail障害に便乗の悪質サイト、SEOポイズニングの手法で不正サイトへ誘導
• 2009/02/13 RapidShare Users Get Phished
  高速ファイル転送サービスの有料会員を狙った迷惑メールに注意
• 2009/02/13 WALEDAC Spreads More Malware Love
  子犬の画像やバレンタインデーに便乗した迷惑メールに注意
• 2009/02/06 iTunes Invoices and Valentine’s Ads Conceal Pharma Spam
  件名や送信者名などを偽装した医薬品販売の迷惑メールに注意
• 2009/02/04 (Not so) Tiny Phishing
  URL短縮サービスの悪用でURLを隠すフィッシング詐欺に注意

　スパムメールはウイルス感染のリスクやフィッシング被害に遭うリスクを高めるだけでなく、正当なメールとの仕分け作業によりユーザへ負担を与えたり、組織のネットワーク資源の圧迫、さらには不要なメールによりディスク容量が占有されるなど、大きな問題となっているのはご承知の通りです。

　トレンドマイクロでは、クライアント環境での「スパム対策エンジン」（コンテンツフィルタリング）によるスパム対策のみならず、ゲートウェイでの4階層によるスパム対策を推奨しています。

1. IP Profiler：メールアドレス収集攻撃（DHA：Directory Harvesting Attack）が確認されると、送信元サーバからの通信をブロックし、メールアドレスの流出を阻止する。
2. IPレピュテーション：メールサーバの入口で送信元IPアドレスの信頼性を判断、スパムメールと認識したものは自動的にブロックする。
3. IP Profiler：特定の企業や組織を狙う標的型攻撃が確認されると、送信元サーバからの接続を自動的にブロックする。
4. スパム検索エンジン：ヒューリスティックとパターンマッチングの技術を組み合わせて検出・隔離する

　トレンドマイクロでは、引き続きスパムメール対策のソリューションを提供してまいります。

スパムメール対策

●メッセージングソリューション
企業のメールやグループウェアを保護します。

■関連情報

* 脅威をリアルタイムレポートする「Pollution Tracker」を公開いたしました。URLは「http://jp.trendmicro.com/jp/threat/trend_watch/pollution_tracker/」になります。併せてご活用ください。

■集計対象期間：2009年1月1日～2009年1月31日

　上記の5カ国に、6位にオランダ（先月6【位】）、7位にドイツ（先月7【位】）、8位に中国（先月2【位】）、9位にイギリス（先月9【位】）、10位にポーランド（先月10【位】）が続いています。

　ワーストTOP5を見ると、昨年から引き続いている脅威傾向が見られます。依然、アメリカは20%以上のスパムメール発信元となっており目立った存在です。また、ブラジルの活性化傾向も継続しています。

　今回は、この傾向を他の視点からも確認してみます。

　各国のプロバイダにおけるボットネットの活動を監視している「Spam & Botnet Watch」（2009年01月31日時点）からは、スパムを配信するISP（インターネットサービスプロバイダ）の上位10社中2社がアメリカのISP、4社がブラジルのISPで占められていることが確認できます。

* アメリカのISP：1位「TTNET TTnet Autonomous System」、8位「VZGNI-TRANSIT – Verizon Internet Services Inc.」

* ブラジルのISP：2位「Telecomunicacoes da Bahia S.A.」、6位「TELECOMUNICACOES DE SAO PAULO S/A – TELESP」、9位「NET Servicos de Comunicao S.A. 」、10位「TELESC – Telecomunicacoes de Santa Catarina SA」）

　また、イギリスのスパム対策団体「Spamhaus Project」が管理する悪質なスパム送信者のデータベース「ROKSO（Register Of Known Spam Operations）」によれば、2月2日現在、全登録110名中、62名がアメリカ系スパム送信者、3名がブラジル系スパム送信者の名前が掲載されています。

図1 スパム・ボットネットの監視統計（2009年01月31日時点）

　「Spam & Botnet Watch」は、スパムマップとは異なる観点から警戒すべき動向を知らせています。スパムマップ ワースト10にランクインしていないものの、インド / ウクライナ / ペルー / スペイン / フィリピン / 韓国 に位置するプロバイダよりボットネット経由でのスパムメール拡散が多数見られます。

　スパムメールを介した攻撃手法としては、先月に引き続き、社会学的に効果の高い手法が採られています。

　WORM_WALEDACファミリがスパムメールによる拡散を広げています。ニューイヤーカード（年賀状）に米バラク・オバマ大統領の関連サイト、バレンタインデーカードなどに便乗した内容で受信者の警戒心を解こうとしています。

　このような傾向はWORM_WALEDACファミリに限られたものではありません。

　イスラエルのガザ地区への攻撃報道を装い、偽のCNNニュース動画サイトへ誘導。動画再生に必要なソフトウェアとして、ダウンロード型のウイルス「TROJ_DLOADR.QK」を侵入させようとする事例を確認しました。

　個人情報を狙う攻撃者も感心の高い話題にいち早く便乗します。英文で「2010年FIFAワールドカップのオンライン宝くじで85万ドルが当たりました」というメールを確認しました。攻撃者は当選金を受け取るためと称して氏名、電話番号、職業といった個人情報を提供するよう促しています。

　攻撃者が採用するコンテンツは関心の高い話題だけではありません。

　折からの金融不況で財布の紐が固くなり個人消費が冷え込んでいます。そこで消費喚起を促そうとクーポン券の発行を新たなビジネス戦略として採る企業が増えています。攻撃者はこうした動向も見逃しません。「イケア（IKEA）」、「ジャックダニエル（Jack Daniel’s）」、「ブリティッシュ・エアウェイズ（British Airways）」など著名企業がクーポン券発行を知らせるメールを装い、ウイルス配布サイトへの誘導を試みています。こうした手口では、ウイルス侵入のみならず、個人情報の搾取にも応用できるため、今後も注意が必要といえます。

　今回紹介の事例はいずれも英語圏での出来事です。しかしながら、いずれも模倣容易なものであり、今後国内にて同様の事例が発生する危険性も考えられます。

　このように、国外の事例を知ることは、正しい自衛策を講じる上で、有効な情報源の一つになり得ます。

スパムメールハイライト：日本語ブログ、インターネット・セキュリティ・ナレッジより

• Yahoo! JAPANのフィッシングサイトが現る　＝すでに閉鎖済み

スパムメールハイライト：英語ブログより

• Just Got Unlucky: Part 3
• WALEDAC Loves (to Spam) You!
• “Dating Spam” Gone Wrong
• Fake Obama News Sites Abound
• Don’t be Fooled by Obama Inauguration Scams
• Scammers Attempt to Score Through the FIFA World Cup
• Microsoft and Trend Micro Logos Used in Spam
• Israel-Gaza Conflict Spam Leads to Malware
• What is Old is New Again: Malicious New Year e-Card Spam
• Once Again, Bogus Promos Used to Seed Malware
• ‘Classmates Reunion’ Used as Malware Ploy

　スパムメールはウイルス感染のリスクやフィッシング被害に遭うリスクを高めるだけでなく、正当なメールとの仕分け作業によりユーザへ負担を与えたり、組織のネットワーク資源の圧迫、さらには不要なメールによりディスク容量が占有されるなど、大きな問題となっているのはご承知の通りです。

　トレンドマイクロでは、クライアント環境での「スパム対策エンジン」（コンテンツフィルタリング）によるスパム対策のみならず、ゲートウェイでの4階層によるスパム対策を推奨しています。

1. IP Profiler：メールアドレス収集攻撃（DHA：Directory Harvesting Attack）が確認されると、送信元サーバからの通信をブロックし、メールアドレスの流出を阻止する。
2. IPレピュテーション：メールサーバの入口で送信元IPアドレスの信頼性を判断、スパムメールと認識したものは自動的にブロックする。
3. IP Profiler：特定の企業や組織を狙うスピア型攻撃が確認されると、送信元サーバからの接続を自動的にブロックする。
4. スパム検索エンジン：ヒューリスティックとパターンマッチングの技術を組み合わせて検出・隔離する

　トレンドマイクロでは、引き続きスパムメール対策のソリューションを提供してまいります。

スパムメール対策

●メッセージングソリューション
企業のメールやグループウェアを保護します。

■関連情報

　図1は、主要なWORM_DOWNADファミリを系譜図としてまとめたものです。

図1 「WORM_DOWNAD」ファミリの系譜図

　過去の傾向によれば、フェーズ移行は1ヶ月ペースで推移しています。この傾向が続く場合、第2フェーズにある現在の状況は過渡期に向かっているのではと推測されます。我々防衛側は攻撃者側の思惑に振り回されることなく、第3フェーズへの推移を阻止する必要があります。

図2 「WORM_DOWNAD.A」、「WOMR_DOWNAD.AD」感染状況（2009年1月20日時点） 注意：グラフ縦軸のレンジは異なっています。

系譜から探る深刻度が増した「WORM_DOWNAD」　目次

　今回、系譜から「WORM_DOWNAD」ファミリを探るにあたり、以下の項目を用意しました。

第1フェーズにて、脆弱性を衝く拡散戦略を確認

　第1フェーズにおける象徴的なウイルスは「WORM_DOWNAD.A」です。

　同ウイルスではそれ以降の亜種と同様に、「Windows Server Service RPC」の脆弱性［MS08-067］を衝いた能動的な攻撃手法による侵入が大きな特徴として挙げられます。感染対象コンピュータのTCP 445ポートへ細工された不正なRPC（Remote Procedure Call）リクエストを送信することで、ペイロード（発病機能）を発症させ、シェルコード（悪意ある行為を行うコード）を動作させます。

図3 「WORM_DOWNAD.A」による「Windows Server Service RPC」の脆弱性を衝いた侵入

　シェルコード起動以降はより効率的な拡散手法が採られています。感染コンピュータはHTTPサーバへと変換されます。これにより、二次感染者からはHTTPサーバ化が行われた感染コンピュータから取得された「WORM_DOWNAD.A」のコピー（「x」と名付けられたDLLファイル）の検出、または「x」ファイルダウンロードの際に作成されたキャッシュファイルを「Temporary Internet Files」フォルダから検出されるといった報告が数多く寄せられています。

図4 「WORM_DOWNAD」感染コンピュータから採取されたウイルスログの抜粋 1

　時間の経過により、セキュリティ更新プログラムの適用率は上がっていきます。これを受け、攻撃者は新たなる拡散戦略を採ってきました。第2フェーズへの推移です。

目次に戻る

第2フェーズのポイントは、ワーム活動の強化

　第2フェーズにおけるウイルスとして「WORM_DOWNAD.AD」を見てみます。

　第2フェーズのポイントは、ワーム活動の強化が挙げられます。オリジナルバージョンが脆弱性を衝いて侵入する戦略のみを採っていたのに対し、第2フェーズでは新たに次の2つの戦略が加えられています。

• 共有ネットワークを介した拡散
• リムーバブルドライブを介した拡散

図5 ワーム活動の概要

　新たな戦略により、脆弱性対策が完了していた一部の組織においても、感染被害が発生しているとの報告を受けています。ここではその戦略を見ていきたいと思います。

目次に戻る

不正侵入の手口を自動化し共有ネットワークへ侵入

　共有ネットワークを介した拡散は、不正侵入の手口を自動化したものでした。

　Windows OSの機能である、Win32 API NetUserEnum機能を利用し、現在設定されているアカウントの一覧取得が試みられます。一覧取得は初期設定において特別な権限を必要としません。このため、侵入の第一段階は多くの環境で成立します。次に、ウイルスは取得したアカウント情報に対し、辞書攻撃を仕掛けます。ウイルスはパスワードリストを持ち、このリストに合致するような脆弱（類推容易）なパスワードが設定されたアカウントを探しだし、ローカルネットワークの共有パスワードを破ります。攻撃者の狙いは管理者共有である「ADMIN$」への侵入です。侵入が成功した場合、「ADMIN$\SYSTEM32」ディレクトリ内に自身のコピーを作成します。

　攻撃者はコピーが成立した場合の自動起動についても十分に戦略を練っています。Win32 API NetScheduledJobAdd機能を呼び出し、コピーしたファイルを実行しています。NetScheduledJobAdd機能は、一般に「タスク スケジューラ」として知られている機能です。Windowsタスクフォルダ（通常 “＜Windowsフォルダ＞※\Tasks” ）内にスケジュール化されたタスク（タスクオブジェクトファイル：「.JOB」ファイル）を作成します。これにより、ウイルスは決められた時間に実行されることが可能になります。

図6 「WORM_DOWNAD」によりスケジュール化されたタスク

　なお、トレンドマイクロではウイルスによって作成されるタスクオブジェクトファイルを「TROJ_DOWNADJOB.A」の検出名にて警告を出力する対応を実施しています。

目次に戻る

ネットワーク無くとも「AUTORUN.INF」で拡散

　ネットワーク環境が無くとも、リムーバブルドライブを介したUSBワームの脅威にさらされています。

　USBワームとは、「AUTORUN.INF」による自動実行を悪用したウイルスです。これまでも本セキュリティ ブログにおいてその脅威を言及してきました（参考情報：「依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を」）。自身のコピーを利用可能な全てのドライブおよび共有ネットワーク内に作成します。感染症状が発生している場合、次のように各ドライブの「\recycler\s-xxxxxxxxxxx…」ファイルパスからの検出報告が見られます。また、これらのドライブへのアクセス時に自動実行されるよう「AUTORUN.INF」というファイルも作成します。

図7 「WORM_DOWNAD」感染コンピュータから採取されたウイルスログの抜粋 2

　攻撃者はこの「AUTORUN.INF」にも新たな戦略を採ってきています。図6は、「WORM_DOWNAD」ファミリによって作成された「AUTORUN.INF」です。大量のバイナリデータにより判別困難な状態ですが、この「AUTORUN.INF」は破損ファイルではありません。攻撃者は「AUTORUN.INF」に無効なデータをコメントとして挿入することで、難読化を狙っていると推測されます。

図8 「WORM_DOWNAD」により作成された「AUTORUN.INF」

　コメントを取り除くと次のコマンドが見えてきます。攻撃者の狙いは「RUNDLL32.EXE」プログラムにウイルスである「jwgvsq.vmx」を呼び出させることです。

　トレンドマイクロではウイルスによって作成される「AUTORUN.INF」を「TROJ_DOWNAD.AD」の検出名にて警告を出力する対応を実施しています。

目次に戻る

復旧を困難にさせる戦略

　第2フェーズにおける「WORM_DOWNAD」ファミリでは、Windows Update機能の無効化が確認されています。この戦略により、管理者の行うセキュリティ更新プログラムの適用を遅延させ、ウイルスの有効性を延命させる効果を狙っていると推測されます。

目次に戻る

予測される第3フェーズの脅威とは

　現段階において、「WORM_DOWNAD」ファミリによる被害は発症コンピュータのシステム改変とウイルス拡散に留まっています。これは、昨今みられる攻撃者の攻撃動機に当てはまるものではありません。攻撃者は第3フェーズにおいて、本来意図している金銭につながる攻撃計画を企てていると推測されます。

　過去の事例から推測される計画として、ボットネットの形成を挙げます。攻撃者はボットネットを形成することで、感染コンピュータを束ね、リモートコントロールによって新たな大規模攻撃をしかけることが可能となります。

　第3フェーズ推移へのカギとなるのが、ウイルスが持つダウンローダー機能です。攻撃者の用意したサーバからウイルスのアップデートモジュールを配信することで、現在実装されていない攻撃機能を新たに追加することや、アドウェアや偽セキュリティソフトの配信さえ可能と言えます。この推移を阻止するには、特に被害報告の多い組織における感染を復旧し、予測される脅威に対する耐性を高めていくことが重要と言えます。

目次に戻る

予測される脅威に対する予防策

　最後に、予防策について検討したいと思います。ウイルス耐性強化に最も有効なものは、ウイルスバスターの利用です。ここでは、トレンドマイクロのソリューションを含め、実施すべき項目を紹介します。

まずは、セキュリティ更新プログラムの適用

　「WORM_DOWNAD」ファミリ拡散の最たる原因は、「MS08-067」の脆弱性を衝いた攻撃です。このため、脆弱性を塞ぐことが急務といえます。セキュリティ更新プログラムのリリースから日が経過しているため、多くの場合、適用は既に完了しているかもしれません。しかしながら、油断すべきではありません。管理の行き届いていないコンピュータに対する適用作業が終わっていない場合があります。トレンドマイクロでは、Trend Micro Control Managerにて、「脆弱性診断サービス」を提供しています。同サービスではネットワークに接続されているコンピュータを個別または一括でネットワークセキュリティの脆弱性やその危険因子の変移を診断することが可能です。また、Network VirusWallとの連携を行うことで、管理者が許可しない脆弱性のリスクを持つコンピュータへのブロック（検疫ネットワーク）を実現することができます。

図9 Trend Micro Control Managerによる脆弱性診断

脆弱（類推容易）なアカウントの排除

　第2フェーズで確認されている亜種では、脆弱（類推容易）なパスワードが設定されたアカウントを探しだし、侵入を試みる振る舞いも確認されています。このため、そのようなアカウントを排除する必要があります。Microsoft社が提供する「Microsoft Baseline Security Analyzer（MBSA）」では、脆弱なパスワード設定されたアカウントの検出を始め、一般的なセキュリティの誤った構成を検出することが可能です。こうしたプログラムを活用し、現在のリスクについて監査することも有効です。

自動実行を禁止する

　こちらも第2フェーズ以降で確認された攻撃手法に対する対策です。自動実行を禁止するためには、以下のレジストリ設定を変更する必要があります。なお、本設定は予てより紹介しています、USBワーム対策においても重要です。

警告 レジストリはWindowsの構成情報が格納されているデータベースです。レジストリの編集内容に問題があると、システムが正常に動作しなくなる場合があります。弊社ではレジストリの編集による如何なる問題に対しても補償いたしかねます。レジストリの編集はお客様の責任で行っていただくようお願いいたします。なお、レジストリの編集前に必ずバックアップを作成することを推奨いたします。

　※Windows OSにおける自動実行機能関連の詳細情報は以下のページに記載されています。

　また、ウイルスバスター コーポレートエディションをご利用いただいている場合、[大規模感染予防サービス]を活用いただくことにより、より強固なポリシーを施すことも可能です。同機能における、[ポリシー]>[ファイルおよびフォルダへの書き込みを禁止]設定を有効にします。その際、すべてのドライブにおいて「AUTORUN.INF」の書き込みアクセスを禁止にします。これにより、すべてのプログラムにおいて、「AUTORUN.INF」ファイルの作成を禁止することが可能です。

A. 大規模感染予防サービスメニュー

管理コンソールから、大規模感染予防サービスメニューを表示させます。

1. ウイルスバスター Corp. の管理コンソールを開き、左側メニューの[ネットワーク上のコンピュータ]を選択します。 2. プルダウンされたメニューから[大規模感染予防サービス]を選択します。 3. クライアントツリー画面上部の[大規模感染予防の開始]を選択します。 Bへ

B. 大規模感染予防の設定

大規模感染予防ポリシーを指定して大規模感染予防を有効にします。

1. 大規模感染予防ポリシーのタイプを選択します。ここでは[ファイルおよびフォルダへの書き込みを禁止]チェックボックスをオンにし、同リンクを選択します。 Cへ 2. 大規模感染予防を有効にする時間数を選択します。 初期設定値は48時間です。大規模感染予防期間が終了する前に、ネットワーク設定を手動で復元することができます。 3. 初期設定のクライアント通知メッセージをそのまま使用するか、修正します。 4. [大規模感染通知の開始] をクリックします。

C. ファイルおよびフォルダへの書き込みを禁止

ウイルスがクライアントコンピュータにあるファイルやフォルダを変更や削除できないように、ウイルスバスター Corp.を設定することができます。

1. [ファイルの指定]項目で、ファイル名（今回の場合、「AUTORUN.INF」）を入力します。 2. [追加]を選択します。 3. [保存]をクリックします。[大規模感染予防設定] 画面が再び表示されます。 B2へ

Webレピュテーション機能を活用する

　ダウンローダー機能による連続（シーケンシャル）攻撃へと発展した場合、攻撃者は安定性の低いWebサーバへウイルスプログラムまたは、アップデートモジュールを設置すると推測されます。このため、サーバの登録年月日などの情報によりWebサイトの安定性、危険度を評価するWebレピュテーション機能が攻撃予防に有効といえます。

脅威を感じたら駆除ツール

　既に感染したと思われるような疑わしい症状を感じた際には、まず駆除ツールを試してください。

　トレンドマイクロでは、2つの駆除ツールを用意しています。

• WORM_DOWNAD駆除ツール
• INF_AUTORUN.A 駆除ツール

　「WORM_DOWNAD駆除ツール」はDCE (Damage Cleanup Engine) と DCT (Damage Cleanup Template) により駆除機能を提供しています。DCEではファイル毎に一定規則に基づき値を算出し、比較処理が行われています。DCEにより算出された値とDCTに収録されたシグネイチャ情報が一致した場合、駆除処理が行われ、WORM_DOWNADファミリによるシステム改変を修復することが可能です。2008年11月26日にファーストバージョンが公開され、2009年1月20現在、4回の改訂が行われています。過去のバージョンを取得されている方は、今一度ダウンロードサイトをご確認ください。最新の亜種に対応した最新バージョンをご利用ください。

　「INF_AUTORUN.A 駆除ツール」（以下、「INF_AUTORUN.A」）はUSBワームに対する汎用的な駆除ツールです。汎用ツールはメリット、デメリットがあります。「INF_AUTORUN.A」の振る舞いを十分ご理解いただき、環境に適した運用を検討してください。管理者にとって大きな味方になるはずです。

　「INF_AUTORUN.A」の検出では、まず「AUTORUN.INF」ファイルの有無が全ドライブのルートフォルダに対して検索が行われます。次に「AUTORUN.INF」が検出された場合、同ファイルより起動が設定されているファイルおよびそのプロセスの削除を試みます。

　再感染を予防するため、自動実行に関する次のサブキーの値を「0xFF」に編集します。

　このほか、次のレジストリキーの削除を行います。このキーには過去にコンピュータへ接続されたリムーバブルメディアの自動実行情報がキャッシュされています。このため、キャッシュ情報は自動実行を無効にした場合においても有効です。このため、キャッシュ情報に基づいて自動実行が行われる可能性があります。このため、「INF_AUTORUN.A」では次のレジストリキーの削除が行われます。

目次に戻る

関連情報

* 参考情報1. マイクロソフト セキュリティ情報「MS08-067 – 緊急 : Server サービスの脆弱性により、リモートでコードが実行される (958644)」

* 参考情報2. ウイルス駆除ツール「WORM_DOWNAD駆除ツール　使用方法」
* 参考情報3. ウイルス駆除ツール「INF_AUTORUN.A 駆除ツール（英文）」

* 参考情報4. Trend Micro Security Blog「そのとき何が、「WORM_DOWNAD」ファミリの振り返り」
* 参考情報5. Trend Micro Security Blog「脆弱性 （MS08-067：CVE-2008-4250）を悪用したワームの流通を確認」
* 参考情報6. Trend Micro Security Blog「脆弱性 （MS08-067：CVE-2008-4250）を悪用したハッキングツールを確認」
* 参考情報7. Trend Micro Security Blog「Microsoft Server サービスの脆弱性 （MS08-067）を悪用した脅威」

* 参考情報8. Trend Micro Security Blog「依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を」（リムーバブルドライブの実行ファイルである「autorun.inf」ファイルを利用したウイルスについて）

* 参考情報9. インターネット・セキュリティ・ナレッジ「あなたのパスワード管理、それでホントに大丈夫？」（パスワードの「辞書攻撃」についてやパスワード作りの例など）

　Hot Threat Report：「MS08-067のセキュリティホールを衝くWORM_DOWNADファミリによる被害が広まっています（PDF）」
　ウイルスニュース 2008/12/24：「MS08-067のセキュリティホールを衝くWORM_DOWNADファミリによる被害が広まっています」

【訂正と追記】