トレンドマイクロは、2011年1月6日、『インターネット脅威年間レポート 2010年度(最終版)』を公開しました。一方、「TrendLabs(トレンドラボ)」が提供する英語ブログ「TrendLabs MALWARE BLOG」にて、グローバルにおける脅威状況の年間レポート(英語情報)が公開されています。
- 2010 in Review: 10 Most Remarkable Malware in 2010
注目すべき不正プログラム「Top10」 - 2010 in Review: 2010’s Most Dangerous List
使用には要注意! サイバー犯罪者が利用するデバイス/ツールとは? - 2010 in Review: No Recession for Cybercrime
「サイバー犯罪」業界に不況なし - 2010 in Review: The Vulnerability Landscape
次々に狙われた脆弱性。全体像に迫る - 2010 in Review: New and Better Ways of Stealing Information
あの手この手で「情報収集」を企むサイバー犯罪者たち - 2010 in Review: The Hype and Reality of STUXNET
「STUXNET」の実像に迫る
今回から4回にわたって、上記記事をもとに 2010年のグローバルにおける脅威トピックをご紹介していきます。
| 2010年、どのような不正プログラムが登場そして暗躍し、ユーザに脅威を与えてきたのでしょうか? 第1回である今回は、2010年を振り返り、Trend Micro の上席研究員 David Sancho が選出した注目すべき不正プログラム「TOP10」をご紹介します。 |
| 第1位 | STUXNET |
| 第2位 | HYDRAQ(別名:Aurora) |
| 第3位 | ZBOT(別名:ZeuS) |
| 第4位 | EYEBOT(別名:SpyEye)」 |
| 第5位 | KOOBFACE |
| 第6位 | BREDOLAB |
| 第7位 | TDSS(別名:Allurion) |
| 第8位 | SINOWAL(別名:MEBROOT) |
| 第9位 | FAKEAV |
| 第10位 | JNANA(別名:Boonana) |
■第1位-産業システムを標的とする「STUXNET」
「STUXNET」は、複雑かつ巧妙に作られた不正プログラムであるということ、また、制御目的で利用されたという点で「異例の」不正プログラムであったと言えるでしょう。この「STUXNET」は、一部報道によると、イランの原子力施設を狙ったサイバー攻撃と言われています。しかし、産業用施設を標的にした攻撃や制御目的のサイバー攻撃は目新しいことでなく、もちろん、今後も、こういった用途の他の不正プログラムが登場してくる可能性はあります。それよりも、今回、Windows の複数の脆弱性を同時に悪用して攻撃をしかけたという点が重要視され、第1位にランクインしました。
- サイバー攻撃に利用!? USB悪用の新たな脅威「スタクスネット」
/archives/3711 - Threat Encyclopedia:STUXNET Malware Targets SCADA Systems(英語情報のみ)
http://about-threats.trendmicro.com/
RelatedThreats.aspx?language=us&name=STUXNET+Malware+Targets+SCADA+Systems
■第2位-Googleへのサイバー攻撃に利用された「HYDRAQ」
2009年末から 2010年初めにかけて Google などソフトウェア関連の大企業に対するサイバー攻撃が発生しました。この攻撃に使われた不正プログラムが「HYDRAQ(別名:Aurora)」です。「HYDRAQ」は、狙った大企業から貴重な企業情報を収集する機能を備えていたことから、大きな注目を浴びることとなりました。
- セキュリティ最前線:IE の脆弱性を悪用したゼロデイ攻撃
http://jp.trendmicro.com/jp/threat/securityheadlines/article/20100208100821.html - トレンドマイクロ セキュリティブログ:Googleおよび米国企業を狙ったサイバー攻撃 - どんなリスクが待ち受ける?
/archives/3323
■第3位-オンライン銀行を標的にした「ZBOT」
「ZBOT(別名:ZeuS)」は、オンライン銀行関連の情報を収集する情報収集型不正プログラムの1つで、別名「ZeuS」はこの「ZBOT」を作成するツールキット名が由来となっています。このツールキット「ZeuS」は、アンダーグラウンド市場で人気のある「商品」となっていることも特筆すべきでしょう。なぜなら、このツールキットは、「ZBOT」の不正プログラムを作成するだけでなく、その作成状況や活動を監視できる便利なコンソールまで備えています。そしてさらに、技術的な知識に詳しくない者でも簡単に扱えるのです。そのため、サイバー犯罪者は、この「手軽な」ツールキットを用いて「ZBOT」を作成し多くのボットネット「Zeus」を構築。そして、個人・法人ユーザ関係なくターゲット層を幅広く視野に入れて金銭的価値のある情報を収集し売買することで、金銭的な利得を画策しているのです。
- セキュリティ最前線:「ZBOT」の新亜種、「二要素認証」を突破!
http://jp.trendmicro.com/jp/threat/securityheadlines/article/20101108063647.html - セキュリティ最前線:米「Military Bank」、「ZBOT」の亜種の次なるターゲットに
http://jp.trendmicro.com/jp/threat/securityheadlines/article/20101007051044.html
■第4位-「ZBOT」の進化型「EYEBOT」
「EYEBOT(別名:SpyEye)」は、第3位「ZBOT」の後継者として悪名をはせている情報収集型不正プログラム。「SpyEye」という別名は、「ZeuS」同様、この不正プログラムを作成するツールキット「SpyEye」に由来しています。最近のセキュリティ関連記事によると、ツールキット「SpyEye」は、ツールキット「ZeuS」のコードをさらに精巧に改良を加えたものであるとのこと。サイバー犯罪者は、「ZBOT」と同様に、オンライン銀行の情報を収集し金銭を得るために「EYEBOT」を利用するのです。
- TrendLabs Malware Blog:The SpyEye Interface Part 2: SYN 1(英語情報のみ)
http://blog.trendmicro.com/the-spyeye-interface-part-2-syn-1/ - TrendLabs Malware Blog:The SpyEye Interface, Part 1: CN 1(英語情報のみ)
http://blog.trendmicro.com/the-spyeye-interface-part-1-cn-1/
■第5位-「Twitter」や「facebook」などソーシャルメディアを狙う「KOOBFACE」
「KOOBFACE」は、「facebook」や「Twitter」など人気のソーシャル・ネットワーキング・サービス(SNS)介して流布する不正プログラムです。この「KOOBFACE」は、2010年も、さまざまな手法で SNS のセキュリティ対策を突破し、SNSユーザを脅威にさらしてきました。
- The Real Face of KOOBFACE: The Largest Web 2.0 Botnet Explained(英語情報のみ)
http://us.trendmicro.com/imperia/md/content/
us/trendwatch/researchandanalysis/the_real_face_of_koobface_jul2009.pdf - TrendLabs Malware Blog:Customized Malware Attacks Become Widespread(英語情報のみ)
http://blog.trendmicro.com/customized-malware-attacks-becoming-widespread/ - TrendLabs Malware Blog:EMEA Spam Growth, APAC Infections, in Global 1H 2010 Threat Report(英語情報のみ)
http://blog.trendmicro.com/emea-spam-growth-apac-infections-in-global-1h-2010-threat-report/
■第6位-ボットネットを構築し他不正プログラムをダウンロードする「BREDOLAB」
「BREDOLAB」が初めて確認されたのは、2009年初頭でした。当初は単なるダウンローダに過ぎなかったのが、同年 8月を境に感染が拡大し、日本でも感染報告が相次ぎました。「BREDOLAB」は、スパムメールや SEOポイズニングなどの感染経路を介して、コンピュータに侵入し、感染コンピュータをゾンビ化しボットネット「BREDOLAB」を構築。そして、偽セキュリティソフトや情報収集型不正プログラム「ZBOT」をダウンロードして、感染被害を拡大していました。2010年、「BREDOLAB」による際立った攻撃は確認されていませんでしたが、オランダの国家犯罪対策局は、2010年10月下旬、この不正プログラム作成者として、グルジア人を逮捕しました。同容疑者は、逮捕されるまで、この不正プログラムを利用して何百万ドルも荒稼ぎしていたようでした。
日本では、2009年から 2010年上半期ごろ猛威をふるった「ガンブラー」攻撃に利用されました。改ざんされたWebサイトを閲覧すると、ユーザのコンピュータに存在する Windows や Adobe製品、Java Runtime Environment などの脆弱性を利用して、ダウンローダ “file.exe” がダウンロードされ実行されました。この実行ファイルこそ、「TROJ_BREDOLAB」だったのです。
- トレンドマイクロ セキュリティブログ:マルウェア解析の現場から-03 Gumblar攻撃
/archives/3340 - You Scratch My Back… : BREDOLAB’s Sudden Rise in Prominence(英語情報のみ)
http://us.trendmicro.com/imperia/md/content/us/trendwatch/
researchandanalysis/bredolab_final.pdf - トレンドマイクロ セキュリティブログ:感染報告が相次ぐ「BREDOLAB」はどんな不正プログラム?
/archives/3176 - セキュリティ最前線:請求書を装ったスパムメールを利用する「BREDOLAB」ファミリが大量発生
http://jp.trendmicro.com/jp/threat/securityheadlines/article/20090915063715.html
■第7位-自身を隠蔽する「TDSS」
「TDSS(別名:Allurion)」は、侵入したコンピュータ内で自身を隠蔽するルートキット機能を備えているため、検出や駆除が非常に困難です。2010年2月、「TDSS」に感染していたコンピュータに、Windows の脆弱性「MS10-015」に対応する更新プログラムを適用して、コンピュータを再起動すると、「ブルースクリーン」が発生するという問題が確認され、話題になりました。
また、同年8月下旬、「Twitter」アプリケーションの中でも人気に高い「TweetDeck」の更新を装い、攻撃を仕掛けました。この「TDSS」は、非常に巧妙なルートキットを備えており、高度な知識を備えたサイバー犯罪者により開発されていたと考えられます。
- セキュリティ最前線:Twitterアプリ「TweetDeck」ユーザが「TDSS」の標的に!
http://jp.trendmicro.com/jp/threat/securityheadlines/article/20101022011230.html - TrendLabs Malware Blog:Windows Update Triggers BSoD Errors(英語情報のみ)
http://blog.trendmicro.com/windows-update-triggers-bsod-errors/
■第8位-OSを再インストールしても削除できない「SINOWAL/ MEBROOT」
「SINOWAL(別名:MEBROOT)」は、通常、システムの深部に感染し OS が起動する前に読み込まれるため、検出および削除が困難です。また、この不正プログラムが感染した PC で構築されるボットネットは、Windows OS を再インストールしても削除されないルートキットを利用。そして、スパム配信を実行するのです。世界各国で配信されるスパムボットの大半は、この不正プログラムに関連するボットネットが関与していると言われています。
- TrendLabs Malware Blog:Mebroot Variant Behaves Like TDSS(英語情報のみ)
http://blog.trendmicro.com/mebroot-variant-behaves-like-tdss/
■第9位-偽セキュリティソフト「FAKEAV」
「FAKEAV」は、厳密に言うと、いわゆる「ウイルス」ではなく、「偽セキュリティソフト」を用いた詐欺行為であるといえるでしょう。「FAKEAV」を中心とした偽セキュリティソフトは、偽の感染警告を表示してユーザのコンピュータが感染したように見せかけ、ユーザに有償版購入を促すのです。誤って購入したユーザは、金銭を奪い取られるだけでなく、有償版購入の際に入力したカード情報を収集され悪用される恐れがあります。サイバー犯罪者は、2010年、通称「Russian partnerkas」と呼ばれるアフィリエイトシステムを利用して、偽セキュリティソフト詐欺を活発化させてきました。
- セキュリティ最前線:有名人や話題の情報検索にはご用心!
http://jp.trendmicro.com/jp/threat/securityheadlines/article/20100225092211.html - セキュリティ最前線:不正JavaScriptによるWebサイト改ざん発生!
http://jp.trendmicro.com/jp/threat/securityheadlines/article/20100128065154.html
■第10位-「KOOBFACE」のMac版「JNANA」
「JNANA(別名:Boonana)」は、第5位にランクインした「KOOBFACE」のMac版です。この不正プログラムも、「KOOBFACE」同様、SNS 経由で感染を拡大します。この「JNANA」は、今後さらなるシェア拡大が予想される Macユーザを「KOOBFACE」と同じ脅威にさらしたという点で注目すべきでしょう。
- TrendLabs Malware Blog:Customized Malware Attacks Become Widespread
http://blog.trendmicro.com/customized-malware-attacks-becoming-widespread/
次回は、「2010年を振り返る - 2)使用には要注意! サイバー犯罪者が利用するデバイス/ツールとは?」をお届けします。
参考記事:
「2010 in Review: 10 Most Remarkable Malware in 2010」
by David Sancho (Senior Threat Researcher, Trend Micro)
翻訳・編集:船越 麻衣子(Core Technology Marketing, TrendLabs)