7月の脅威動向まとめ

 ここで7月の脅威動向のまとめを。幸い日本においては特に大きな被害を引き起こした新しい攻撃は見られず、トレンドマイクロサポートセンターへの感染報告数も3ヶ月連続で減少しています。しかし、このような傾向が見られる場合、常にその裏では新しい攻撃方法が模索されているものです。

  • Webからの脅威:
     7月に入って日本では2件の正規サイト改ざんケースが明らかになりました。1件は無料ホームページサービスの「魔法のiらんど」、もう1件は投資信託情報のモーニングスター社のホームページです。この2つのケースでは双方とも改ざんサイトに「TSPY_LINEAGE.ACZ」が埋め込まれていたという共通点があります。「TSPY_LINEAGE.ACZ」はトレンドマイクロの7月の感染報告数でも9位に入っており、これらのホームページ改ざんケースがある程度影響しているものと考えられます。
     6月にはヨーロッパで一般に「Italian Job」と呼ばれる大規模な正規サイト改ざんケースがありました。日本のコンピュータセキュリティ団体である JPCERT/CC でもこの攻撃で利用されたと考えられる「MPACK」という攻撃ツールの存在を警告しています。同様の攻撃が日本にも徐々に入り込んでいる実例と言え、今後もこのような正規サイト改ざんには十分に注意していく必要があります。
     
  • ウイルスケース:
         あまり日本に大きな影響はありませんでしたが、この7月もさまざまな話題に便乗するウイルスや新しいテクノロジーに挑戦したウイルスケースがありました:

    • 各種便乗型:
      • TROJ_AYFONE.A: 米国では6月末に発売された iPhone の話題に便乗
      • WORM_HAIRY.A: 海外では7月中旬から公開されたハリーポッターシリーズの映画最新作の話題に便乗
      • WORM_NUWAR.FU」、「WORM_NUWAR.GT:米国の独立記念日である7月4日の話題に便乗
      • TROJ_BANLOAD.CGL.」:ブラジルでの航空機事故のニュースに便乗。「事故映像へのリンク」でユーザを騙して不正サイトへ誘導
    • DNSを利用するボット:
             BKDR_FONAMEBOT.AはDNSプロトコルの悪用を試みた新種ボットです。通常ボットネットワークの通信手段としてはIRCプロトコルが悪用されることが多いものですが、それをDNSプロトコルで代替することを狙っています。
    • カーネルモードウイルス:
       7月頭に Windows のカーネルモードで不正活動を行う不正プログラムの存在が確認されました。この不正プログラムは Windows のAPIを利用することなしにカーネルモードでメール送信を行う活動を行います。一般的にウイルス対策ソフトや監視ツールでは Windows API の利用を監視している場合が多く、カーネルモードで活動することによって活動を監視から隠すことを狙ったものです。
       トレンドマイクロではこの不正プログラムのモジュールを「TROJ_AGENT.QBN」、「TROJ_AGENT.SYY」など複数の名称で対応しています。
       
  • セキュリティホール関連:

    • iPhone のセキュリティホール:
             iPhone便乗ウイルスに次いで iPhone に関してのセキュリティホールも7月24日前後に確認されました。このセキュリティホールへの攻撃を実証するための攻撃コードの存在もすでに発表されています。攻撃が成功するとリモートで任意のコードが実行されてしまいます。8月1日に修正が公開されています(http://docs.info.apple.com/article.html?artnum=306173)。
       このセキュリティホールは iPhone に搭載されている Web ブラウザ Safari が原因であり、Mac OS X 用でも同様の修正が公開されているようです。スマートフォンなどのモバイルデバイスは汎用化多機能化し、セキュリティ的にもPCと同等の注意が必要になっていくでしょう。
    • IE と Firefox の連携セキュリティホール:
       また、Internet Explorer と Firefox の2つのブラウザが関連するちょっと複雑なセキュリティホールも確認されています(http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-3670)。これは IE と Firefox がインストールされている環境で IE から Firefox を呼び出す際にローカルドライブ内の任意のファイルを実行できると言うものです。その後、同じ mozilla の電子メールクライアントである Thunderbird にも影響があることが判明しています。すでに7月17日に mozilla 側のセキュリティアップデートが公開されています(Mozilla Foundation セキュリティアドバイザリ 2007-23
       セキュリティリスクを低めるために代替のブラウザを使用するという心がけはある程度浸透しているようですが、それによってまた新たなセキュリティリスクが生まれてしまうというのは非常に複雑です。
  • その他:
    • 見間違い攻撃?:
       実際の攻撃には発展していませんが、「VVINDOWSUPDATE.COM」というドメイン名が取得されたという報道も7月にありました。これは「VV」と「W」を見間違うことを期待したもの、つまり、「VVINDOWSUPDATE.COM」を「WINDOWSUPDATE.COM」と見間違ってくれることを期待したものと考えられます。もちろん、なんらかの攻撃を意図した悪意のユーザがこのドメイン名を取得したものでしょう。その後、「VVINDOVVS.COM」などのドメインが取得されたとの報道もあり、攻撃者がこのような人間の勘違いを逆手に取るような攻撃方法を常に狙っていることがわかります。
    • 危険なスパム/フィッシングメール:
       7月には新生銀行を騙るフィッシングメールが多く確認されました。日本の銀行を騙るフィッシングメールとしては非常に大規模にメールが確認され、話題になりました。日本の銀行を狙うフィッシングにもかかわらず内容は英語のメールでしたが、これは新生銀行には外国人ユーザが多いことを狙ったもののようです。

Related posts:

  1. 6月の脅威動向まとめ
  2. 2007年 マイクロソフト セキュリティ更新プログラムの振り返り(後編)
  3. スパムマップ配信国ランキング(2008年4月)
  4. スパムマップ配信国ランキング(2008年5月)