トレンドマイクロ、インターネット脅威マンスリーレポート - 2012年3月度

~暗号化された文書ファイルで検出から逃れる標的型攻撃を確認~
 トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証一部:4704 以下 トレンドマイクロ)は、2012年3月度のインターネット脅威状況をお知らせします。

 標的型攻撃の多くは、脆弱性を悪用する文書ファイルをメールに添付し、ユーザにこれを実行させることで企業のネットワークに侵入します。3月は、パスワードで暗号化した文書ファイル(doc)をメールに添付し、そのパスワードを別のメールで送付する事例を確認しました(図1)。
攻撃者は、セキュリティソフトの検出を逃れるためや、パスワードが記載された別メールを送ることで、ユーザに正規のメールであるかのように信憑性を高めようとした狙いがうかがえます。

 また、3月に確認された標的型攻撃では、不正プログラムを2つのコンポーネント(部品)に分けてzip形式で圧縮した上で送付する攻撃が複数の企業で確認されました。zipファイルを解凍すると、文書ファイル(doc)とdllファイルが表示され、文書ファイル(doc)を実行することで2つのファイルが連携し、外部から感染端末を操作できる不正なコードを実行します(図2)。攻撃者は、対策側での解析の混乱や検出の回避を狙い、個々のファイルは不正な動作がないように見せかけたと考えられます。 

 企業のセキュリティ対策においては、標的型攻撃に対して、不正プログラムや脆弱性を検出する入口対策に加えて、ネットワーク内の不正なふるまいを可視化し、セキュリティ状況を常に把握することで、万が一、攻撃を受けた際にも被害を最小化する取り組みが求められます。



■日本国内の不正プログラム検出状況:
  不正にPCゲームを起動する不正プログラムが1位に
日本では、DVDなどの媒体をPCに挿入することなくソフトウェアを起動できるようにするツール(CRCK_PATCHER ※1)が1位にランクインしています。これら不正にソフトウェアを起動するクラッキングツールやハッキングツールが国内のランキングでは4種ランクインしています。

■全世界の不正プログラム検出状況:アドウェアが2種ランクイン
  3位と4位にはユーザの意図とは異なる動作を引き起こすアドウェア「ADW_YONTOO(ヤントゥー)」「ADW_KRADARE(クラデル)」がランクインしています。先月から引き続き上位にランクインしている「ADW_KRADARE」はユーザが特定のWebサイトにアクセスできないように、感染コンピュータのHOSTSファイルを改変します。

■日本国内のお問い合わせ状況:Web改ざん関連の不正プログラムが3種ランクイン
 3月の不正プログラム感染被害の総報告数は646件で、2月の665件から減少しています。1位の「JS_IFRAME(アイフレーム)」は、改ざんされた正規のWebサイトにアクセスしたユーザを不正なWebサイトに誘導する不正プログラムです。改ざんされたWebサイトにアクセスしたユーザは、3位の「TROJ_FAKEAV(フェイクエイブイ)」や5位の「TROJ_ZACCESS(ジーアクセス)」に感染します。


※1 CRCK_PATCHERとは
 これはコンピュータのデータやプログラムを解読したり、改ざんや破壊などを行なったりする「クラッキング」行為をするためのプログラムです。一般にクラッキングツールに分類されます。
 「不正プログラム」とは断定できないグレーゾーンのプログラムのため、本来はウイルス検出の対応は行いません。しかし、ご要望が多いため、弊社ウイルス対策製品のスパイウェア検出機能にて検出に対応しています。このソフトウェアを意識的に使用しているなどで検出させたくない場合には製品のスパイウェア検出機能をオフにするなどしてご使用ください。

※1 JS_IFRAMEとは
マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。
これは、トレンドマイクロの製品では、不正な iframe タグを含むファイルの検出名です。 これは、トレンドマイクロの製品では、特定の iframe タグを含むWebサイトの検出名です。 マルウェアは、 iframe タグを挿入し、特定のWebサイトにリダイレクトします。 ただし、情報公開日現在、このWebサイトにはアクセスできません。


トレンドマイクロ
http://jp.trendmicro.com/jp/threat/security_news/monthlyreport/article/20120404012107.html