ここで4月の脅威動向をまとめます。
- セキュリティホール:
この4月にはセキュリティホールへの攻撃が多く登場しました。特に日本においては「一太郎」に対するゼロデイ攻撃が確認されました。特に広範囲な被害には繋がっていませんが、このような文書ファイルの脆弱性による攻撃は、特定の企業や団体などへのターゲット攻撃に利用されています。トレンドマイクロではこの攻撃コードを含む一太郎文書ファイルを「TROJ_TARODROP.K」として検出します。この脆弱性に関しては4月6日にジャストシステムからアナウンスされ、4月10日にアップデートモジュールが公開され対応されました。アジアでは3月末に登場した「アニメーションカーソル処理の脆弱性」へのゼロデイ攻撃は4月に入っても続き、正規Webページ改竄により攻撃コードを含む不正Webサイトへ誘導する攻撃が中国や台湾などを中心に多く確認されました。この攻撃方法に関連しては、侵入したコンピュータ内のHTML文書に攻撃コードを含む不正Webサイトへのリダイレクトするスクリプトタグを追加するファイル感染型ウイルス「PE_FUBALCA.A」も登場しました。このような不正Webサイトを設置しそこへ誘導するスクリプトタグを様々な場所に埋め込むタイプの攻撃方法は内容に関わらず今後も行われる可能性が高いです。また、攻撃ファイルの自動作成ツールの配布も確認され、このような攻撃をシステマチックに行っている悪意のユーザの存在もクローズアップされました。この脆弱性に関しては4月4日に「MS07-017: GDI の脆弱性により、リモートでコードが実行される (925902)」としてアップデートが公開されています。その他マイクロソフトアップデート公開後には、Windows DNS のセキュリティホール(4/15確認)と Windows のヘルプ(.hlp)ファイルのセキュリティホール(4/9確認)の2種の実証コード(PoC)が確認されました。特にWindows DNS のセキュリティホールの方が危険度が高く、確認直後にゼロデイ攻撃を行うネットワークワーム「WORM_VANBOT.GC」が確認されました。この脆弱性は5月のマイクロソフトアップデートで「MS07-029: Windows DNS の RPC インターフェイスの脆弱性により、リモートでコードが実行される (935966)」として修正されています。
- 不正プログラムケース:
「WORM_NUWAR」ファミリーが連続して登場し、地域によって中小規模のアウトブレークに繋がりました。
まず、4月9日から12日にかけて「WORM_NUWAR.AOK」、「WORM_NUWAR.AOO」、「WORM_NUWAR.AOP」と連続して登場し、日本でも小規模のアウトブレークとなりました。「WORM_NUWAR.AOK」は戦争関連のショッキングな件名、「WORM_NUWAR.AOO」はロマンチックな言葉の恋愛系、「WORM_NUWAR.AOP」はウイルス警報と様々なタイプの件名でユーザの興味を惹くことを狙っていました。また、4月25日前後に登場した「WORM_NUWAR.AOS」は添付ファイルにパスワード付きRAR形式圧縮ファイルを用いました。 - その他のトピック:
4月6日前後にはiPodLinux上での不正プログラム活動を実証する「ELF_PODLOSO.A」が確認されています。iPodにLinuxをインストールする方法自体が非公式なものであり一般にはほとんど知られていません。そのiPodLinux上での活動を狙った不正プログラムということで、新OSのウイルス一番乗りなど目指していた以前のウイルス作者を思い起こさせます。事件関連では4月16日にヴァージニア工科大学での銃乱射事件が発生し、全米で大きな話題になりました。すぐに便乗した内容のメールにより「TROJ_BANLOAD.CFU」が頒布されるケースが確認されました。また、この事件を想起させるドメイン名が事件発生後に大量に取得されており、フィッシングや募金詐欺などに使われる可能性が指摘されています。