第４四半期の脅威動向まとめ

　そろそろ今年も終わりなので10月以降の第4四半期の脅威動向をまとめてみます。

• セキュリティホール関連：
  　セキュリティホール攻撃の定番化が進行しています。10月以降には以下の定番ソフトウェアを狙った攻撃がありました：
  • RealPlayer：
    　10月19日前後にリアルネットワークス社のマルチメディア用ソフトである RealPlayer へのゼロデイ攻撃が確認されました。この攻撃は「CVE-2007-5601」で指摘されていたセキュリティホールを攻撃するものです。トレンドマイクロでは「TROJ_REAPALL.A」として検出に対応しました。リアルネットワークス社ではこの攻撃に使用されたセキュリティホールに対し、10月25日付けで修正プログラムを公開しています。
    　
  • Adobe Acrobat：
    　10月5日付けでAdobe社からPDF内のリンク記述に関する脆弱性と修正がアナウンスされました。PDF形式は配布文書フォーマットとしてデファクトスタンダードのひとつとなっている形式ファイルであり、攻撃の発生が危ぶまれていましたが、その後の10月16日前後からそのセキュリティホールを不正PDF文書ファイルを添付した電子メールによるターゲット攻撃が立て続けに確認されました。今年2007年前半にはマイクロソフトのセキュリティアップデート公開後にそこで対応したセキュリティホールが狙われると言う事例が続きましたが他社製品でもその傾向が出てきたと言えます。この一連の攻撃に使われた不正PDF文書ファイルをトレンドマイクロでは「EXPL_PIDIEFファミリー」として検出に対応しました。
    　
  • Quick Time：
    　12月6日前後、アップル社のマルチメディア用ソフトであるQuickTimeに対するゼロデイアタックが確認されました。この攻撃で狙われた脆弱性は11月23日アナウンスされていましたが攻撃確認時点で修正が行われていませんでした。攻撃はWebサイト上に不正コンテンツをホストする形で行われましたが、用意された不正サイトが小規模であったため、結果的に大きな被害には繋がりませんでした。アップル社ではこの攻撃で狙われたセキュリティホールを修正した Quick Time 7.3.1 を12月13日付けで公開しています。
    　
  • 一太郎：
    　日本製ワープロソフトである一太郎に対するゼロデイアタックが12月14日前後に確認されました。2006年に攻撃が確認されるまで一度も狙われることが無かった一太郎のセキュリティホール攻撃は今年だけで4回確認されています。一太郎、つまり日本ユーザを標的にしている攻撃者がいることがよくわかります。

  　その他にはiPhoneなどアップル製品で使用されているサファリブラウザ、圧縮解凍ソフトであるWinRARなどの定番ソフトでもセキュリティホールが警告されました。

　

• Webからの脅威：
  　今年に入ってケースが多発し注目されている正規Webサイトの改竄ですが、海外サイトに関してはすでに定番化したと言えます。大きな例としては中国のセキュリティ団体であるCISRT（Chinese Internet Security Response Team）のWebサイトや米国の大手求人サイトであるMonster.com などの改竄事件がありました。小さな事例は紹介しきれないほどですが、6月の「イタリアンジョブ」のケース同様に100以上のサイト改竄が確認されたケースも11月にありました。
  　このような正規サイト改竄攻撃は確実に日本にも入り込んできています。12月10日には長崎県平戸市が同市のWebページが10月以降12月までに21回もの改竄を受けていたことを公表しています。また、このような正規サイト改竄ケースでは不正サイトへリダイレクトさせるための「HTML_IFRAME」が埋め込まれるケースが多いものですが、この「HTML_IFRAME」の検出報告数が10月から増加していることもこのことを裏付けていると言えるでしょう。　正規サイト改竄以外の注目ケースとしてはSEOポイズニングがありました。 SEOポイズニングとはこのケースで作られた言葉で Google、Yahoo! などのサーチエンジンの検索結果上位に不正サイトが大量に入ってくることです。今回トレンドマイクロではクリスマスシーズンを控えて「christmas」 ＋「 gift」＋ 「 shopping」 や 「christmas」＋ 「 holiday」 ＋ 「 sale」 などのキーワードでの検索で大量の不正サイトが上位に入っていることが確認されました。

　

• ウイルスケース：　
  　10月以降のウイルスケースは表面上は小休止の形で日本トレンドマイクロへの感染報告数も減っています。トレンドマイクロでは「ノティフィケーション」と呼んでいるウイルス警告はこの2ヵ月半で10月に登場した「WORM_NUWAR.ARC」の1件のみでした。
  • イベント便乗ケース：
    　10月3日前後に確認された「TROJ_MDROPPER.WI」は日本人記者死亡事件でで日本でも大きなニュースになったミャンマーでの反政府デモに関する文書ファイルを装って頒布されていました。
    　また、10月から年末にかけてはハロウィーン、感謝祭、クリスマス、新年とイベントが多く、それらに便乗してユーザを騙そうとするウイルスケースもよく登場しますが、今年はハロウィーンを狙ったウイルスが登場し、トレンドマイクロでは「WORM_NUWAR.ARI」として対応しました。これは以下のようなWebページで踊る骸骨のゲームとして配布されていたものです：

  ※「WORM_NUWAR.ARI」の配布サイト例
  

  　

  • 非Windows系ウイルス：
    　Windows以外の環境も攻撃対象になっていることを示す事例が10月末にありました。「OSX_DNSCHAN.A」、「UNIX_DNSCHAN.A」は Mac OS X で活動する不正プログラムです。これらは今までWindows環境を対象に行われてきた偽コーデックサイトで配布されていました。

  　

  • USBワーム：
    　中国を筆頭にアジアではリムーバブルドライブのオートラン機能（AUTORUN.INF）を利用して広まるワームが大きな規模で蔓延しています。蔓延が確認されている地域では手軽なUSBメモリをユーザ間で共有して使用している例が多いことがわかっています。既成メディアに製造過程で混入したと見られる事件も断続的に起こっており、11月11日には台湾で生産されたUSB接続の外付けハードディスクへのウイルス混入が報道されています。
    　日本でも10月以降、「WORM_VB」ファミリー、「VBS_SASAN」ファミリー、「VBS_SOLOW」ファミリーなど主にリムーバブルメディアを利用するワームの報告数が増えています。
    　この傾向を受けてトレンドマイクロでは、ワームがリムーバブルドライブに作成する不正AUTORUN.INFファイルを幅広く検出する「POSSIBLE_OTORUN1」などの対応を行っています。
    　
  • ユーザにパスワードを解かせるウイルス：
    　10月26日に確認された「TROJ_CAPTCHAR.A」はユーザにCAPTCHAと呼ばれるワンタイムパスワードを破らせる画期的な不正プログラムです。CAPTCHAはワンタイムパスワードをゆがんだ文字や模様の上の文字の画像で表示する手法です。人間以外のソフトウェアによる過剰なアクセスを防止する手法として掲示板へのコメントスパムやオンラインチケットサイトなどで使用されています。「TROJ_CAPTCHAR.A」はアダルト画像を表示するためのパスワードとして破りたいCAPTCHA画像を表示し、ユーザに入力させます。頭のいいやり方もあるものですね。

  ※「TROJ_CAPTCHAR.A」が表示するCAPTCHA画像の例：