人気の写真共有アプリ "Instagram" が、「Facebook」や「Twitter」上で確認された典型的なアンケート詐欺の対象となる最新のソーシャル・ネットワーキング・サービス（SNS）となっています。「TrendLabs（トレンドラボ）」では、2013年5月16日、Android OS を搭載した端末（以下、Android端末）を狙う不正プログラムのダウンロードに誘導するこうしたアンケート詐欺を確認しました。

2013年5月上旬、「OpUSA」と呼ばれる攻撃が仕掛けられました。知名度の高いサイトは、ひとつもオフラインになることはなく、比較的知名度の低いサイトが改ざんおよび書き換えられるといった被害に留まりました。それでも、今回の事例は攻撃者たちがどのように攻撃を仕掛け、OpUSA のような周知された「ハッキング作戦」の結果を主張したかを如実に表しました。トレンドマイクロは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」と攻撃者が利用する「Pastebin」から得た情報を用いて、どのようにこの攻撃が発生したのか、部分的に確認することができました。それは恐らく攻撃者は、前もって改ざんされたサイトを「備蓄」することで、何の前触れもなしに大掛かりな攻撃を実行することを可能にした、ということです。

「TrendLabs（トレンドラボ）」は、「WINNTI」ファミリと同様の技術によって作成され、さらに類似点も備えるバックドア型不正プログラムを確認しました。「WINNTI」ファミリは、主にオンラインゲーム開発会社などの民間企業に対する、標的攻撃で使用された不正プログラムファミリです。トレンドラボでは、今回確認された不正プログラムも、同様の標的型攻撃を目的としているものと考えています。

アプリ開発者は、通常、自身のアプリに広告を含ませることで収入を増やします。このような広告は、ユーザの閲覧数を増加させるために魅力的に映るタイトルや宣伝文句を使うことが特徴です。そしてこういった広告をクリックすると、ユーザはアプリのダウンロードを促されたり、特定のWebページへ誘導されたりするのが、典型と言えます。しかしサイバー犯罪者は、不正活動を広げるために、新たな攻撃手口を途切れさせることはありません。彼らは、ユーザの個人情報を収集するため、この広告を攻撃の場として利用します。

新たな攻撃が、ソーシャル・ネットワーキング・サービス（SNS）「Facebook」や複数のインスタントメッセンジャ（IM）のアプリケーションを介して拡散しています。この攻撃の主な不正活動は、バックドア型不正プログラム「BKDR_LIFTOH.DLF」により実行されます。この不正プログラムにより、攻撃者は感染コンピュータを遠隔操作することが可能になり、さらに2種類のワームもこの攻撃の拡散に利用されます。その1つは、悪名高い「DORKBOT」ファミリの新しい亜種です。

2013年5月第1週、米国労働省の Webサイトが改ざんされていたことが確認されました。また、このサイト改ざんから、Internet Explorer（IE）に存在するゼロデイ脆弱性を利用して、不正プログラムを自動的にインストールする、「ドライブバイダウンロード」攻撃への連鎖が行われることも確認しています。 今回確認されたゼロデイ脆弱性は、影響を受けるアプリケーションの範囲がやや限定されており、Microsoft のセキュリティアドバイザリ（英語情報）によると、IE8 のみが対象となります。Windows Vista および Windows 7 の場合、IE9 以上より新しいバージョンに更新することで脆弱性が回避可能です。しかし　Windows XP　の場合、IE8 が利用可能な最新バージョンとなるため、ゼロデイ脆弱性の影響を受けてしまいます。

米映画「Iron Man 3（邦題：アイアンマン3）」が、一部の国々で公開されました。多くの人々が、映画館へと赴く一方で、なかには映画の海賊版コピーや無料ストリーミングを求めてインターネット上を探し回る人々もいるかもしれません。このようなユーザの振る舞いが、サイバー犯罪者たちに策略をめぐらせるきっかけをあたえることになります。

フィッシング詐欺を企てるサイバー犯罪者たちは、これまでとは異なる「獲物」に狙いを定め、攻撃を実行していたようです。その対象となったのは、「Apple ID」。「TrendLabs（トレンドラボ）」は、2013年4月下旬、Apple ID を収集しようとするフィッシングサイトの急増を確認しています。

標的型攻撃に利用される「Remote Access Tool（RAT）」の1つである「PlugX」。この RAT は、自身の活動を隠ぺいすることで知られています。今回、この PlugX が、検出を回避するために複数の正規アプリケーションを利用することを確認しました。その中でも、特に、Microsoft、Lenovo、および McAfee に関連するファイルが利用されていました。

サイバー犯罪者は、セキュリティ対策の検出回避を、常に目標としています。そのため不正な活動を隠ぺいするために、正規のサイトやサービスを悪用することをためらいません。その一例が2013年3月28日のブログ記事で取り上げた「BKDR_VERNOT.A」でしょう。この不正プログラムは、クラウド上の "Evernote" サービスを利用し、自身の不正活動を隠ぺいしようとしました。そして2013年4月中旬、このバックドア型不正プログラムの亜種が確認されました。この不正プログラムは、自身のコマンド＆コントロール（C&C）サーバとして日本のブログプラットフォームを利用し、このブログサイトへのログインに成功していました。