The Trend MicroCustom Defense SolutionDetect. Analyze. Adapat, and respondto the attacks that matter to you.

2013年第1四半期セキュリティラウンドアップ

サイバー攻撃の矛先は、「ソーシャル」、 「クラウド」、「非Windows」へ

2013年第1四半期、 日本と海外におけるサイバー攻撃動向

ソーシャル＆クラウドの脅威： 攻撃の隠ぺいと拡散を目的としたソーシャル＆クラウドサービスの悪用

サイバー犯罪： オンライン銀行詐欺ツールが日本に本格上陸、海外ではモバイルに拡大

モバイルの脅威： 金融機関を装ったフィッシング攻撃の標的がモバイルに拡大

サイバー攻撃： Linux／UNIXサーバを狙う深刻な攻撃が表面化、攻撃を隠ぺいする新たなWeb改ざんの手口を確認

脆弱性とエクスプロイト： 著名プログラムを狙った影響度の高いゼロデイ攻撃が年初から続発

2013年第1四半期は、「ソーシャル」、「クラウド」、「非Windows」へ脅威が拡大している傾向が、世界的にも日本国内でもはっきりと表れてきています。特に、これまで表面化していなかったLinux／UNIXサーバに対する攻撃が、海外だけでなく国内の被害事例として明らかになりました。「ソーシャル＆クラウド」カテゴリでは、攻撃の拡散隠ぺいを狙ったサービスの悪用が進んでいます。加えて、攻撃対象はマルチプラットフォーム化し、モバイルデバイスでもOSを問わない脅威が拡大しています。モバイルへの攻撃は、海外、国内ともに「偽 マーケット」、「偽アプリ」が定番となっています。一方、これまで海外で既に大きな被害が確認されていた脅威が、日本に本格的に流入し始めている傾向も明らかになってきています。今四半期に流入が顕在化した脅威には、「Darkleech Apache Module」、「Blackhole Exploit Kit」などがありますが、特に「Banking Trojan（以下、オンライン銀行詐欺ツール）」の例が顕著です。「オンライン銀行詐欺ツール」は、海外では2004年頃に登場した一方、これまで一時的な流入に留まっていた日本でも本格的な上陸が確認され、今後は国内でも定番化が予想されます。しかし、海外のオンライン銀行詐欺ツールは、既にモバイルフィッシングへ進化しており、日本への流入も時間の問題でしょう。このように、世界的な脅威動向のうち、いくつかは極めて近い将来に日本国内でも顕在化することが予想されます。今後のセキュリティ対策を考える上で、日本国内だけでなくグローバルでの脅威動向を把握することは、大きな意味があるものと言えます。

総 括

年明け早々から猛威をふるうゼロデイ攻撃脆弱性とエクスプロイト： Java、AdobeTMといった著名アプリケーションを狙ったゼロデイ攻撃が続発 ....13サイバー犯罪： 「過去の脅威」が手法を巧妙化させて再来 ............................15モバイルの脅威： 金融機関を装ったフィッシング攻撃の標的がモバイルに拡大 ..............22サイバー攻撃： 破壊活動を行う韓国へのサイバー攻撃と、巧妙な隠ぺい工作を図る脅威 ..26

サイバー攻撃の矛先は 「ソーシャル」、「クラウド」、「非Windows」へ

ソーシャル＆クラウドの脅威： 攻撃の隠ぺいと拡散を目的としたソーシャル＆クラウドサービスの悪用 ....... 2モバイルの脅威： 止まらない正規・偽マーケット上の不正アプリ、iPhoneにも被害を与える不正Webサイト ......................................................... 3サイバー攻撃： Linux／UNIXなど「非Windows」への攻撃拡大が表面化 .............. 6 サイバー犯罪： 海外発の新しい攻撃手法が国内にも流入 ............................. 8 脆弱性とエクスプロイト： 海外からのゼロデイ攻撃に加え、日本固有のゼロデイ攻撃も確認 .........11

日本セキュリティラウンドアップ

グローバルセキュリティラウンドアップ

PAGE 1 | 2013年第1四半期セキュリティラウンドアップ

サイバー攻撃の矛先は「ソーシャル」、 「クラウド」、「非Windows」へはじめに

「日本セキュリティラウンドアップ」では、四半期ごとの日本国内での脅威動向を事例ベースにまとめています。トレンドマイクロでは、2012年の「年間セキュリティラウンドアップ1の中で、2012年の世界的な脅威動向を「ポストPC時代に突入した年」と定義しました。

この2013年第1四半期、日本国内では、サイバー攻撃の矛先は「非Windows」に拡大しています。もとよりマルチプラットフォームである「ソーシャルメディア」、「クラウド」や「モバイル」の領域への脅威の拡大、そしてまた、これまでは表面化してこなかった深刻なLinux/UNIX環境への攻撃と被害が表面化しています。

「サイバー犯罪」、「脆弱性」のカテゴリでは、海外発の脅威の流入の傾向が はっきりと表れると同時に、一太郎のゼロデイ脆弱性のように、日本国内の ユーザのみを標的とした攻撃の存在も確認されています。

なお、本レポートに記載されている図表のデータの出典は、特に明記されていない場合、トレンドマイクロになります。

1 http://jp.trendmicro.com/imperia/md/content/jp/threat/report/qsr/2012asr.pdf

日本セキュリティラウンドアップ

PAGE 2 | 2013年第1四半期セキュリティラウンドアップ

ソーシャル&クラウドの脅威 攻撃者によるソーシャルメディア、クラウドサービスの悪用が進行ソーシャルメディアとクラウドサービスの普及に従って、攻撃者により悪用されるケースも増加しています。攻撃者にとっては普及しているサービスほど、脅威のインフラとして利用価値が高いものです。

国内でもクラウドサービスを悪用する検体を確認• 3月にはクラウドサービスの悪用事例が、日本国内の検体解析

依頼をきっかけに確認されました。「BKDR_VERNOT.A」2 は外部との通信方法としてクラウド上のEvernoteサービスを悪用していました。またAndroid向け不正アプリ「ANDROIDOS_EXPRESPAM」においても、窃取した情報の送信先としてクラウド型サーバサービスが悪用されていた事例も、この2月に確認3されています。

2 http://blog.trendmicro.co.jp/archives/69563 http://blog.trendmicro.co.jp/archives/7062

Twitterでのブラクラ拡散事例： 悪意なき被害拡散の危険性• Twitter上では「ブラウザクラッシャー（ブラクラ）」URLを

拡散する投稿が3月に確認されました4。拡散したブラクラは、Windows、Mac OS、iOS、AndroidTMなど、マルチプラットフォームに被害を与えるものでした。悪意あるユーザのものと思われる3月6日の投稿から始まり、調査時点の19日までに350件近い投稿が確認できました。投稿の中には被害に遭ったユーザによる投稿を思わせるものも多くありました5が、ブラクラのURLがそのまま含まれており、結果的には不正URLの拡散に加担する状態になっていました。今後同様の拡散方法で、より深刻な被害が起こり得ることに注意すべきです。

4 http://blog.trendmicro.co.jp/archives/69165 ブラクラURLの拡散につながったツイート例（下図）。投稿に対して注意を促すものや被害を

うかがわせるツイートにもブラクラのURLが載っているため、結果的に脅威の拡散に加担した状態となっている

急速に普及する「LINE」にサクラサイト業者も注目• 攻撃者は現在急速な普及を遂げているソーシャルメディア、

「LINE」に注目しています。トレンドマイクロでは、他のサービス同様、LINEにおいても「サクラサイト」への誘導を目的とするスパムメッセージの存在を確認しました。6 7 「サクラサイト」に関しては国民生活センターからも注意喚起8が行われています。利用者は「あらゆるコミュニケーションツールにおいて、このような攻撃が広まる可能性がある」ということを注意すべきでしょう。

6 http://blog.trendmicro.co.jp/archives/67307 芸能人のマネージャを装い、サクラサイトへ誘導するLineメッセージの例（下図）：8 http://www.kokusen.go.jp/soudan_now/data/sakurasite.html

PAGE 3 | 2013年第1四半期セキュリティラウンドアップ

アカウント情報にアクセス

アクセスしない

両方にアクセス

連絡帳にアクセス

33%

5%

12%

50%

モバイルの脅威 止まらない正規・偽マーケット上の不正アプリ、iPhoneにも被害を与える不正Webサイト

偽「Google Play」のみならず、正規「Google Play」にも不正アプリ• 残念ながら正規マーケットである「Google Play」であっても、ア

プリ入手時には相応の注意を払う必要があります。ユーザはこの事実を認識し、Android端末使用時にはセキュリティ対策製品の導入などを行うべきでしょう。

日本を狙う不正アプリと不正マーケットの手口• この第1四半期にも日本を標的とする脅威として、不正アプリは

継続して確認されています。• 頒布手口：不正アプリマーケット上で便利ツールや人気

ゲームアプリを偽装• 不正活動：ほとんどの不正アプリは個人情報の窃取と外

部送信を行います。9

9 トレンドマイクロフォワードルッキングスレットリサーチが2011年~2013年Q1の間に確認した、日本を標的とする不正アプリにおける個人情報漏洩活動の割合グラフ（下図）。これまでに確認された不正アプリの95%が、連絡帳もしくはアカウント情報にアクセス、外部への情報漏えいを行う。

PAGE 4 | 2013年第1四半期セキュリティラウンドアップ

• トレンドマイクロでは不正アプリマーケットに対し継続調査10を行い、正規「Google Play」のサイトデザインを偽装11し、ユーザに誤解させる手法を確認12しています。また同時に、他の不正サイト同様、サーバやサイト名を転々と変える攻撃継続手口も確認しています。

10 http://blog.trendmicro.co.jp/archives/651711 正規マーケット「Google Play」を偽装したデザインの不正サイト表示例（下図）：

12 http://blog.trendmicro.co.jp/archives/6606

正規マーケット「Google Play」で不正判定を免れる「ワンクリウェア」• 正規マーケットである「Google Play」上でも不正アプリの頒布

が継続して確認されています。3月には「ワンクリウェア」に分類される不正アプリ（トレンドマイクロ製品では「ANDROIDOS_ONECLICKFRAUD.A」として検出）がアダルト系の動画アプリとして配布13されていた事例を確認14しました。

• このワンクリウェアは詐欺サイトへの誘導のみを行い、個人情報送信などは行わないため、単体の動作のみから判定した場合にアプリの不正性が特定できませんでした。このような不正アプリに対しては、アプリ単体の動作の分析と同時に誘導されるサイトの調査を行った上で判定する取り組みが必要となります。

13 正規マーケット「Google Play」上でのワンクリウェア配布例（下図）：

14 http://blog.trendmicro.co.jp/archives/6984

PAGE 5 | 2013年第1四半期セキュリティラウンドアップ

不正アプリの影響がないiPhone使用者にも 被害を与える不正Webサイト• iPhoneではセキュリティ対策は必要ないもの、と認識されている

場合が多いのではないでしょうか。不正アプリの脅威は皆無に近い状況であることは確かですが、そこに落とし穴が潜んでいます。「ソーシャル＆モバイル」の脅威はマルチプラットフォームにシフトしており、実例として前述のブラクラ事例15は、特にiPhoneでも影響がありました。また、フィッシング詐欺（情報詐取）、ワンクリック詐欺（不正請求）などの、ユーザを騙すタイプのWebサイトもプラットフォームに依存しません。16 iPhone使用者も、このような不正サイトの脅威は他のデバイス同様に被害が発生している17ことを認識すべきでしょう。

15 http://blog.trendmicro.co.jp/archives/691616 スマートフォンなどのモバイル環境からのアクセスに特化したワンクリック詐欺サイトの表示例

（右図）：17 過去1年間、トレンドマイクロサポートセンターに入ったワンクリック詐欺被害報告数と、日本

国内の複数の質問サイト上でのiPhone使用者によるワンクリック詐欺被害質問件数。ワンクリック詐欺の被害に悩まされているiPhone使用者が実際に存在していることがわかる（下図）：

PAGE 6 | 2013年第1四半期セキュリティラウンドアップ

サイバー攻撃 Linux／UNIXなど「非Windows」への攻撃拡大が表面化攻撃者は、特にWindows OS のみを攻撃対象にしているわけではなく、自身の目的を達成するためであれば攻撃対象は問いません。3月に韓国で発生した大規模サイバー攻撃事例でも、LinuxやUNIXといった非Windows環境が破壊対象となっています。

日本国内でもLinux／UNIXへの脅威被害が表面化• Linux、UNIXなどの非Windows系OSは、不正プログラ

ムの脅威のリスクが低いと認識されており、実際に被害事例が大きく報道されることも稀でした。しかし、この四半期には、Linux／UNIXへの深刻な攻撃事例が連続して国内で確認されています。これらは脅威が非Windows環境へ拡大していること、またその脅威が日本国内にも流入していることを示しています。今後は非Windows環境であっても、攻撃対象になる危険性を十分に理解し、対策を実施していく必要があります。

Apacheサーバを狙う新しいWebサイト改ざん： 「Darkleech Apache Module」• 「Darkleech Apache Module（以下、Darkleech）」

（トレンドマイクロ製品では「ELF_CHAPRO」として検出）と呼ばれる不正モジュールを使用し、Apacheサーバを狙った正規Webサイトの改ざん攻撃が日本国内でも確認18されています。ApacheはLinux／UNIXシステム上のWebサーバであり、全世界のWebサイトで最も利用されているWebサーバ19です。このような攻撃の登場は、アンダーグラウンドの攻撃者がシェアの大きなApacheサーバを、本格的に標的としていることを窺わせます。

• Darkleechは、世界的には2012年の後半から表面化してきた攻撃手法です。Webサイト上の静的コンテンツを改変することなく、機械的、自動的にWebサイト改ざんを達成20できるため、Webサイト改ざん被害に気付くためには、Webサーバ全体のシステム変更監視が必要となります。

• トレンドマイクロでは、2013年3月の最初の18日間で、4,000以上の誘導サイトの存在と、約42,000件のアクセスを確認しています。

18 http://blog.trendmicro.co.jp/archives/688819 http://news.netcraft.com/archives/2013/02/01/february-2013-web-

server-survey.html20 DarkleechによるWebサイト改ざんによりユーザのWebアクセス時に付加される不正コードの

例。このコードにより、ユーザは脆弱性攻撃サイトにアクセスさせられる。転送先サイトのURLに含まれるランダムな英数字には規則性が確認されている（下図）：

国内でも確認されたLinuxのバックドア脅威事例：「SSHD Rootkit」• 一般に「SSHD ROOTKIT」と呼ばれている不正プログラム（ト

レンドマイクロ製品では「ELF_SSHDOOR.B」として検出）が日本国内でも拡散していることが2月に確認21されました。攻撃対象はRPM系Linux（RedHat Enterprise LinuxやCent OSなど）であり、侵入した環境を外部からSSH（セキュアシェル）で遠隔から操作を可能にするバックドア活動を行います。拡散原因のひとつとして、サーバ管理ソフトのベンダーがセキュリティ侵害を受けたことが公表22 23されています。

21 http://blog.trendmicro.co.jp/archives/675922 http://cpanel.net/cpanel-inc-announces-additional-internal-security-

enhancements/23 http://go.cpanel.net/checkyourserver

過去最大規模のDDoS攻撃を起こしたDNS Amp攻撃：国内でもオープンリゾルバの見直しを• 3月にヨーロッパで過去最大規模とされるネットワーク攻撃24

が発生し、「DNS Amp（ディーエヌエスアンプ）」と呼ばれるDDoS（分散型サービス拒否）攻撃手法が再注目されると同時に、日本が攻撃の発生源となる危険性が指摘されています。DNS Ampとは、インターネットからの再帰検索を許可する設定のDNSキャッシュサーバ（オープンリゾルバ）を悪用する攻撃手法です。このオープンリゾルバについて、世界でも特に日本国内に多数存在していることが指摘25されており、大規模な攻撃の発生源となり得る状況です。今後の攻撃に加担してしまうことの無いよう、DNSキャッシュサーバの設定確認と対策を行うことを推奨26します。

24 http://blog.trendmicro.co.jp/archives/701225 http://www.apricot2013.net/__data/assets/pdf_file/0009/58878/tom-

paseka_1361839564.pdf26 http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html　（日本レジ

ストリサービス（JPRS）社によるDNS Amp対策方法まとめ）

PAGE 7 | 2013年第1四半期セキュリティラウンドアップ

持続的標的型攻撃：国内の主な報道から得られる教訓と知見• 今四半期における持続的標的型攻撃の主な事例として以下の報道を確認しています。

• これらの報道から、今後の対策について考察できることがいくつかあります：• 攻撃手法や被害範囲などの詳細がわかるのは、3番の航空宇宙産業の調査結果報告のみであり、サイバー攻撃における全貌把

握の困難さが表れています。

• この航空宇宙産業の調査結果では、1年半以上の期間外部サーバへの通信が継続していたことが判明しており、「持続的標的型攻撃」がいかに長期間にわたって攻撃を持続させるかを表す事例であるとともに、従来型のウイルス検出のみの対策では、被害の存在自体に長期間気付くことができない可能性があることを示しています。

• 不審な通信の指摘やCPU高負荷の調査など、内部や出口における挙動への調査が発覚の発端となっているケースがあり、これらの内部監視の有効性を示しています。

このような事例からの学びを、今後の対策に生かしていくことが重要です。

PAGE 8 | 2013年第1四半期セキュリティラウンドアップ

サイバー犯罪 海外発の新しい攻撃手法が国内にも流入サイバー犯罪とは、主に金銭的利益の収奪を最終目的とした脅威を指します。現実世界でも横行している「振り込め詐欺」や「架空請求」のような金銭目的犯罪のサイバー版であり、最も広い範囲のユーザが被害にあう可能性がある脅威と言えます。

攻撃成功率の高い「オンライン銀行詐欺ツール」による攻撃の継続を警戒• 「オンライン銀行詐欺ツール」とは、オンライン銀行口座の不正

操作を最終的な目的とする不正プログラムの総称です。中心となる攻撃手法は、正規オンライン銀行のWebサイトにブラウザ上で認証情報の入力を促す偽のポップアップを表示し情報を詐取する「Webインジェクション」です。Webインジェクションは成功確率の高い攻撃手法であり、オンライン銀行詐欺ツールが侵入した場合の情報詐取成功率は80%以上（警察発表の報道27から試算）です。

27 http://www.asahi.com/digital/internet/TKY201211090884.html

• 2012年10月末に日本の金融機関を標的にした攻撃が確認28されていましたが、その後の追跡調査と解析29により、去年からの攻撃が継続30されていることが確認されました。今後は攻撃の定番化が予想されるため、オンライン銀行の利用者はこのような攻撃手法があることに注意すべきです。ログオン以外の目的で認証情報の入力を促す画面があった場合には金融機関への確認を行ってください。

28 http://blog.trendmicro.co.jp/archives/618729 http://blog.trendmicro.co.jp/archives/670230 TrendMicro Smart Protection Networkにフィードバックされた、認証情報送信先不

正サーバへのアクセス記録（下図）。12月下旬から詐取した認証情報の送信が始まり、調査実施時点まで継続していたことが確認された。

PAGE 9 | 2013年第1四半期セキュリティラウンドアップ

正規サイト改ざん→脆弱性攻撃→金銭詐取、の新しい脅威連鎖を国内で確認• サイバー攻撃で言及したDarkleechによる正規サイト改ざん

は、最終的に金銭詐取に繋がっていたことを、トレンドマイクロでは確認しています。改ざんされた正規サイトにアクセスした一般ユーザは、「Blackhole Exploit Kit（BHEK）」によるエクスプロイト（脆弱性攻撃コード）を複数含む攻撃サイトへ誘導され、最終的に偽セキュリティソフトやオンライン銀行詐欺ツールなどが侵入します。

• BHEKは、2011年の後半から攻撃が表面化してきている31脆弱性攻撃ツールの呼称です。日本ではこれまで、スパムメールを発端とした攻撃事例が報告されていましたが、2013年に入りDarkleechによる正規サイト改ざんからの誘導が登場しました。日本からのBHEK攻撃サイトURLへのアクセス数の統計結果32では、2月終わりから3月中旬にかけて大きな増加が見られており、これは正規サイト改ざんの発覚事例33とも符合しています。

31 http://blog.trendmicro.com/trendlabs-security-intelligence/steve-jobs-proclaimed-alive-by-spam

32 2013年1月～3月におけるBHEKエクスプロイトサイトに対する日本からのアクセス数グラフ。特に2月後半から3月中旬に向けて増加し、3月13日前後が１つのピークとなっている。これはトレンドマイクロプレミアムサポートに問い合わせが多く入った時期であり、またDarkleechによる正規Webサイト改ざんが騒がれ始めた時期と合致している（下図）。

33 http://www.env.go.jp/info/mieeeru.pdf

PAGE 10 | 2013年第1四半期セキュリティラウンドアップ

1600

1400

1200

1000

800

600

400

200

0

ウイルス関連総数

ワンクリック詐欺

偽セキュリティソフト

全体に対する割合

MAR-12 APR-12 MAY-12 JUN-12 JUL-12 AUG-12 SEP-12 OCT-12 NOV-12 DEC-12 JAN-13 FEB-13 MAR-13

61.9% 60.5%

54.3%

48.3%

44.8%

59.1%

41.4%36.2%

36.8%44.5%

43.9%50.6% 52.9%

No. 公表日 業種 内容

1月7日1

2

3

食品業・商社 担当者がデータの異常を発見したことから発覚。サーバに不正アクセスの痕跡。サーバ内のデータベースに改ざん被害

2月19日 サービス業 Webサーバのアクセス障害調査から発覚。Webサーバに不正アクセスの痕跡。2月7日から2月11日までの期間に6回の不正アクセスが行われ、サーバ上のデータベースが侵害された疑い

3月3日 クラウドサービス事業者 不正アクセスの試行と思われる不審なネットワーク挙動の確認から発覚。保存情報の侵害の痕跡は確認されなかった

4 3月15日 小売業 Webサイト上の異常から発覚。2月6日から3月14日までの期間、Webサイト上で入力したクレジットカードデータが不正サイトへ転送される改ざんが行われていたことを確認

5 3月22日 インターネット関連 不正ログオン試行の確認から発覚。保存情報の侵害の痕跡は確認されなかった

覆されたセキュリティ常識：データを保持しないWebサイトからのクレジットカード情報漏えい• 今四半期における国内不正アクセスの主な事例として、右表の

報道を確認しています。• トレンドマイクロではこれらの報道の中から、3月15日に公表さ

れた小売業の事例34に注目しました。この事例ではサイト上ではクレジットカード情報などの顧客データは保持せず、別の決済代行会社で処理される方式になっていました。にもかかわらず、サイトの改ざんによりユーザが入力した顧客のクレジットカード情報が直接に別の不正サイトへ送信される状態になっていました。

• この事例は、これまでのセキュリティ常識を覆すものであり、「PCI DSS」35のようなセキュリティ基準でも想定されていません。 Darkleechへの対策同様、今後はWebサイトのシステムに対する異変を早期に気づけるような監視が必要となります。

34 http://www.jins-jp.com/news.html35 https://www.pcisecuritystandards.org

データから見る「偽セキュリティソフト」と「ワンクリ ウェア」の現状• 偽セキュリティソフトとワンクリック詐欺はどちらもユーザをだまして

金銭を要求するサイバー犯罪です。攻撃手法としては既に定番化していますが、継続して相当の被害が出ていることがデータから確認36できます。特に、2月以降ウイルス関連問い合わせの

36 過去1年間にトレンドマイクロコンシューマサポートセンターに入ったワンクリック詐欺および偽セキュリティソフト関連の問い合わせ数（下図）：

　　　半数以上が、偽セキュリティソフト、ワンクリック詐欺の被害報 　　　告となっています。IPAでも2013年4月の呼びかけ37として同 　　　時期に偽セキュリティソフトの問い合わせが多くなった傾向を注 　　　意喚起しています。

37 https://www.ipa.go.jp/security/txt/2013/04outline.html

12年3月 12年4月 12年5月 12年6月 12年7月 12年8月 12年9月 12年10月 12年11月 12年12月 13年1月 13年2月 13年3月

PAGE 11 | 2013年第1四半期セキュリティラウンドアップ

100

10

02013年2月13日（水） 2013年2月17日（日） 2013年2月21日（木） 2013年2月25日（月）

脆弱性とエクスプロイト 海外からのゼロデイ攻撃に加え、日本固有のゼロデイ攻撃も確認

新しい脆弱性攻撃の流入： 「Blackhole Exploit Kit」とJavaの脆弱性• 前出の通り、トレンドマイクロでは正規サイト改ざんからの連鎖

による「Blackhole Exploit Kit（BHEK）」脆弱性攻撃サイトの被害報告を3月に多数受けています。このトレンドマイクロへの被害報告では、そのすべてがJavaのエクスプロイト（トレンドマイクロ製品では「JS_BLACOLE」などで検出）の事例でした。2012年の海外版年間セキュリティラウンドアップ38でも、BHEKによる攻撃はJavaのゼロデイ攻撃が中心だったことがレポートされています。2013年に入ってもゼロデイ攻撃などの事態が発生39 40 41 42 43していることから、今後も特にJavaの脆弱性が狙われる傾向は続くものと予想されます。

38 http://jp.trendmicro.com/imperia/md/content/jp/threat/report/qsr/2012asr.pdf

39 http://blog.trendmicro.co.jp/archives/652140 http://blog.trendmicro.co.jp/archives/652641 http://blog.trendmicro.co.jp/archives/655142 http://blog.trendmicro.co.jp/archives/665243 http://blog.trendmicro.co.jp/archives/6840

「一太郎」を狙う日本固有のゼロデイ攻撃• 脆弱性に関する日本固有のトピックとして、2月には「一太郎」

へのゼロデイ攻撃が発生しています44。標的型攻撃においては、標的となるユーザが使用しているアプリケーションこそが、もっとも攻撃価値のあるアプリケーションです。一太郎を狙う脆弱性攻撃は、日本のみを対象とする継続的な標的型攻撃の存在を示す１つの例と言えます。また、このゼロデイ攻撃について、ト レンドマイクロ製品では一太郎のベンダーであるジャストシステム社が脆弱性の存在とセキュリティアップデートを公開45した2月26日以前の時点で、攻撃に使用された不正プログラムの検出に対応していたことを確認しています46。

44 http://blog.trendmicro.co.jp/archives/676845 http://www.justsystems.com/jp/info/js12001.html46 Trend Micro Smart Protection Networkで確認できた一太郎ゼロデイ攻撃関連不正

プログラム「PTCH_ETUMBOT.AV」と「BKDR_ANONY.AC」の検出状況（下図）。2月26日以前の段階で検出があったことが分かる。

PAGE 12 | 2013年第1四半期セキュリティラウンドアップ

年明け早々から猛威を振るうゼロデイ攻撃はじめに

脆弱性の利用は、ユーザの間でもよく知られた問題ですが、一般に広く利用されるアプリケーションのゼロデイ脆弱性が利用されるような事例は、比較的珍しいことでした。しかし2013年の第1四半期は、そうした状況を一変させました。JavaやAdobe Flash Player、Acrobat、Adobe Readerなどの有名なアプリケーションにおいて、ゼロデイ脆弱性を利用した攻撃が複数確認されたからです。

さらに、スパムメールを駆使するボットネット、オンライン銀行詐欺ツール、オンライン上で入手可能なエクスプロイトキット47など、すでによく知られた脅威にさらなる改良が施されている状況も、トレンドマイクロで予想していたとおり、この第1四半期に確認されました。

その他の事例としては、3月に発生した韓国への大規模サイバー攻撃を特筆すべきでしょう。この事例からも、標的型攻撃の脅威を再認識することができます。モバイル関連では、モバイル端末のブラウザを新たな標的にしたフィッシング攻撃が確認され、人気アプリの偽バージョンについても引き続き問題視されています。

なお、本レポートに記載されている図表のデータの出典は、特に明記されていない場合、トレンドマイクロになります。

47 http://blog.trendmicro.co.jp/archives/6457

グローバルセキュリティラウンドアップ

PAGE 13 | 2013年第1四半期セキュリティラウンドアップ

修正済み脆弱性（CVSS）のスコア別分布出典： CVE Database「http://cve.mitre.org/」

第1四半期に修正された脆弱性の大部分は、4.0から6.9範囲で「レベルII（警告）：スコア： 4.0 - 6.9」と評価される範囲に分布しています。

(スコア：7.0 - 10.0)レベルIII（危険）

36%

52%

12%

レベルII（警告）

(スコア：4.0 - 6.9)

レベルI（注意）(スコア：0.0 - 3.9)

脆弱性とエクスプロイト： Java、Adobeといった著名アプリケーションを狙ったゼロデイ攻撃が続発

注目されたJavaの脆弱性• この第1四半期には2件の話題性の高いゼロデイ脆弱性関連

の事例がもとで、Javaが再び大きな注目を浴びました。• ランサムウェア「REVETON」やその他のランサムウェアの亜種を

拡散させたJavaのゼロデイ脆弱性を悪用した攻撃は、パッチ適用が正しく行われているシステムであっても、脆弱性を突いた攻撃を確実に防げるわけではないという現実を証明したといえるでしょう。48

• Javaは、数日でセキュリティアップデートをリリースし、この問題は収束したかに見えましたが、実際は、収束に向かう代わりに、各所にさらなる疑問を提起し、専門機関の一つである「アメリカ合衆国国土安全保障省（U.S. Department of Homeland Security、略称：DHS）」からは、コンピュータからJavaのアンインストールを推奨する告知まで出される結果となりました。49

48 http://blog.trendmicro.co.jp/archives/652149 http://blog.trendmicro.co.jp/archives/6551

試されたAdobeのセキュリティ対策• Adobeも、ゼロデイ攻撃を免れてはおらず、この2月には、

Adobe Flash PlayerおよびAdobe Readerの2つがゼロデイ脆弱性をつく攻撃の被害にあいました。

• Adobe Flash Playerへの攻撃では、2つの致命的な脆弱性が利用され、これらの脆弱性が利用されたコンピュータは、さらなる不正プログラムの感染被害に見舞われることになります。

• Adobe Readerの、バージョン 9、10および11がゼロデイ攻撃の被害に見舞われました。この攻撃では、Adobe側のセキュリティ強化機能であるサンドボックス技術をも回避しています。50

50 http://blog.trendmicro.co.jp/archives/6711

PAGE 14 | 2013年第1四半期セキュリティラウンドアップ

脆弱性利用やエクスプロイトに関連する事例を時系列に配置

Adobeは、保護モード機能を備えたAdobe Reader Xをリリース

2010年11月22日

Adobe Reader Xに存在する未修正の脆弱性は、ゼロデイ攻撃の可能性が懸念される

2011年12月14日

Adobeは、保護モード機能を強化したAdobe Reader XIおよびAdobe Acrobat XIをリリース

2012年10月17日

Javaのゼロデイ脆弱性を悪用するエクスプロイトの攻撃事例が多数報告される。特に「REVETON」やその他のランサムウェアの亜種を拡散する「Cool Exploit Kit」や「Blackhole Exploit Kit」などの使用事例が確認される

2013年1月10日

Oracleは、ゼロデイ脆弱性悪用の事例を受けてJavaの新バージョンをリリース。この際、Javaのセキュリティ関連のデフォルト設定も強化される

2013年1月13日

!

Oracleが50に及ぶ脆弱性を修正するためのセキュリティアップデートをリリース。その中には、2013年1月に発生したJavaゼロデイ脆弱性利用に関するものも含まれる

2013年2月5日

Adobe Flash Playerを狙ったゼロデイ脆弱性をつく攻撃が確認される

2013年2月8日

Adobe Readerの特定のバージョンを狙ったゼロデイ脆弱性をつく攻撃が確認される

2013年2月13日

Javaバージョン7がゼロデイ脆弱性をつく攻撃を受ける。バージョン6は攻撃から免れたが、これを受けてOracleでは、定例外セキュリティパッチのリリースを余儀なくされる

2012年8月28日

Adobe側のセキュリティ対策は、2013年第1四半期、サイバー犯罪者に初めて突破されるという事態を招きましたが、2012年から2013年にかけて、サイ バー犯罪者たちを追い詰めていたことも事実です。

他方、Javaは、脆弱性の悪用が続発し、もっとも頻繁に脆弱性が悪用されたソフトウェアの上位にランクインする事態に陥りました。

なお、Adobeは、セキュリティアップデートが月次でリリースされることもあり（Oracleの四半期ごとに比べると短いサイクル）、それだけ個人ユーザから報告された脆弱性に対して迅速に対応できていたようです。ただ、こうしたベンダ側の努力に関わらず、この第1四半期に複数のゼロデイ攻撃が発生したことは事実であり、ブラウザを使用する際の注意や、主体的なセキュリティ対策の展開などの重要性が再認識された時期であったといえます。

PAGE 15 | 2013年第1四半期セキュリティラウンドアップ

2013年第1四半期月別のボットネット用C&Cサーバの検出数

1月

2月

3月 1,078

854

881

2013年3月の検出数が最大ですが、この数値は、2012年6月以降もっとも大きい値となっています。

註：この数値は、2013年4月の時点で確認されたボットネット用C＆Cサーバの検出数です。

サイバー犯罪： 「過去の脅威」が手法を巧妙化させて再来

議論を巻き起こすエクスプロイトキット• 「Blackhole Exploit Kit」は、Javaの脆弱性を利用するエク

スプロイトキット51 としても定着しています。• 「Whitehole Exploit Kit」は、「Blackhole Exploit Kit」の

コードを利用することに異名をとるもので、大きな異なる特徴を持つこの脅威は、この第1四半期にその存在を確認しました。52

• それから間をおかずに登場した「Cool Exploit Kit」は、「Blackhole Exploit Kit」の最上級バージョンと見なされています。

51 http://blog.trendmicro.co.jp/archives/684052 http://blog.trendmicro.co.jp/archives/6662

さまざまなOSで動作するブラウザクラッシャー• さまざまなOS上で、使用中のブラウザをハングさせたりクラッシュ

させたりする、通称「ブラウザクラッシャー」の被害にユーザは直面しました。53

• この脅威は、Twitterを使って、JavaScriptの不正コードが埋め込まれたサイトへのリンクでユーザを誘導します。リンクをクリックしたユーザは、繰り返し表示されるポップアップメッセージに悩まされることになります。

53 http://blog.trendmicro.co.jp/archives/6916

ボットネットが証明したスパムメールの有効性• 2007年以降に現れ、大量のスパムメールを送信することで知ら

れるボットネット「Asprox」は、2008年には閉鎖されたと思われていました。しかしこのボットネットが、モジュール化された各種機能を備えて再来しました。54

• 再登場したボットネット「Asprox」は、以前と異なり、乗っ取った正規のメールアカウントを利用することでスパムメールのフィルタリング機能をすり抜け、ドロッパーの不正プログラム「KULUOZ」を侵入させます。結果として、ボットネットが拡大されます。55

• 2011年にその存在が確認されたボットネット「Andromeda」も、この2013年の第1四半期、改ざんされたWebサイトへ誘導するリンクを含んだスパムメールによってその再来が確認されました。しかも、誘導先のWebサイトには、「Blackhole Exploit Kit」が組み込まれています。56 新たに確認された「Andromeda」の亜種の中には、リムーバブルドライブを介して感染拡大を図るものや、検知を逃れるコンポーネントファイルを作成するものなども確認されています。

54 http://blog.trendmicro.com/trendlabs-security-intelligence/asprox-reborn/

55 http://blog.trendmicro.co.jp/archives/664856 http://blog.trendmicro.com/trendlabs-security-intelligence/andromeda-

botnet-resurfaces/

新たな企みを抱いて再来した「CARBERP」• オンライン銀行詐欺ツールとして知られる「CARBERP」

は、2010年にその存在が初めて確認されました。• 「CARBERP」が利用するコマンド＆コントロール（C&C）サー

バは、2010年に閉鎖されたはずですが、その後、情報を窃取する新しいプラグイン機能を取り込む亜種の存在が確認されました。57

• また、増加するスマートフォンやタブレット端末でオンライン銀行取引を行うユーザを標的にした、モバイル端末向けの亜種も確認されました。58

57 http://blog.trendmicro.com/trendlabs-security-intelligence/carberp-sinkhole-findings/

58 http://blog.trendmicro.co.jp/archives/6632

PAGE 16 | 2013年第1四半期セキュリティラウンドアップ

2013年第1四半期月別のボットネットへの接続数

1月

2月

3月 250万

140万

120万

C&Cサーバへの接続数も、3月が最大値となっています。 なお、これらの接続数自体は、 3月以前に発生したものです。ボットネット活動の月ごとの変動は、ボットネットマスターの目的次第で変化します。

ボットネットのC&Cサーバが存在する国：トップ10

オーストラリア, 10.88%ブラジル, 2.35%

チリ, 1.71%

米国, 35.66%

イギリス, 2.60%

イタリア, 2.28%

ドイツ, 3.41%

中国, 5.72%韓国, 6.51%

台湾, 2.17%

2012年同様、2013年第1四半期も、米国が、ボットネット用C&Cサーバが最も多く配置されている国となっています。

註：ただし、配置されている国に攻撃者も存在しているという意味ではない点、ご注意ください。

PAGE 17 | 2013年第1四半期セキュリティラウンドアップ

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」により防御している数値

1B

2B

3B

4B

5B

6B

1月

ブロックされた スパム数

7B

8B

9B

2月 3月

ブロックされた不正なWebサイト数

ブロックされた不正なファイル数

56億

2,075

ブロックされた脅威の合計数

検出数 （ブロックされた脅威数／秒）

47億

4億4300万3億9000万

51億

4億1400万3億6700万

59億

2,211

73億

4億3700万4億3000万

82億

3,055

2013年第1四半期、トレンドマイクロは、平均して一秒間に2400の脅威からユーザを保護していました。

2013年第1四半期月別のボットネットに接続されたコンピュータ数：国別トップ10

第1四半期の1月および2月は米国がトップですが、3月は韓国がトップとなっています。これは、この時期に発生した政治的緊張等が要因と考えられます。

オーストリア：2.52%

米国：28.12%

イタリア：10.46%

ロシア：2.59%

韓国：21.27%

日本：2.82%

台湾：2.49%マカオ：6.40%インド：1.75%

マレーシア：8.88%

PAGE 18 | 2013年第1四半期セキュリティラウンドアップ

WORM_DOWNAD TROJ_ZACCESS/SIREFEF ADW_PRICEGONG

WORM_DOWNAD - 74万1000TROJ_ZACCESS/SIREFEF - 27万4000ADW_PRICEGONG - 23万4000

2013年第1四半期も、昨年同様「WORM_DOWNAD」がトップを占め、「TROJ_ZACCESS」（別名「TROJ_SIREFEF」）が第2位を占めています。ただし、第3位には、2012年第3位だった「PE_SALITY」に替わり、アド ウェアの「ADW_PRICEGONG」が登場しています。

1,000100100

1,000100100

1,000100100

不正プログラム：トップ3

大企業 中小・中堅企業 個人ユーザ

検出名 数 検出名 数 検出名 数

WORM_DOWNAD 36万4000 WORM_DOWNAD 8万1000 TROJ_ZACCESS/SIREFEF 16万3000

PE_SALITY 8万1000 PE_SALITY 1万7000 CRCK_KEYGEN 16万2000

PE_VIRUX 3万4000 TROJ_ZACCESS/SIREFEF 1万4000 ADW_PRICEGONG 15万7000

ブロックされた不正なドメイン：トップ10

不正ドメイン 詳 細

trafficconverter . biz ワームを拡散するサイトとして記録されている

pu . plugrush . com 芳しくない評価と履歴を持つサイト

ads . alpha00001 . com C&Cサーバとして報告されており、さらに別の不正サイトであるenterfactory.comへのリダイレクトも行う

am10 . ru ポップアップメッセージやアドウェアに関連するサイトとして記録・報告されている

www . trafficholder . com 児童労働搾取に関連したサイト

www . funad . co . kr 「ADW_SEARCHSCOPE」に関連したサイト

www . ody . cc 不審なスクリプトによるリンクおよび「BKDR_HPGN.B-CN」を拡散するサイトに関連している

cdn . bispd . com 不正なサイトへのリダイレクト、不正プログラムを拡散する不正なファイルにも関連している

h4r3k . com 不正プログラムを拡散するサイト

www . dblpmp . com スパムメールおよび不正プログラムを含む

2013年第1四半期にブロックされたドメインのほとんどすべてが、不正活動に関連するもので、特に不正プログラムの拡散を行うものでした。児童労働搾取に関連する不正コンテンツを含んでいたことでブロックの対象となった不正サイトが、トップ10の中で1つだけありました。

PAGE 19 | 2013年第1四半期セキュリティラウンドアップ

不正なWebサイトのソース：トップ10

米国ドイツオランダ中国韓国ロシア日本フランスイギリスカナダその他

24.63%4.32%3.57%3.33%2.99%2.38%1.97%1.58%1.28%0.63%53.32%

トレンドマイクロがブロックした不正なドメインの20%以上が米国でホストされているもので、この割合は2012年から一貫しています。この調査の結果では、米国およびドイツがトップにあがっています。

この数値は、どの国でドメイン登録されている不正なWebサイトに何回アクセスが行なわれたかに基づくものです。したがってこのデータは、必ずしも不正なWebサイトの所有者の国籍を表すものではなく、むしろ、所有者がドメイン登録をどの国で行なっているかを表しています。

スパムメールの言語：トップ10

英語中国語日本語ドイツ語ロシア語イタリア語ポルトガル語スペイン語スロバキア語フランス語その他

89.32%1.59%1.44%1.36%1.29%0.48%0.37%0.32%0.30%0.15%3.38%

大多数のスパムメールは、英語で書かれていますが、これは、英語がビジネスや商取引、エンターテイメント等で最も広く使用されている言語であることが理由としてあげられます。スパムメール送信者たちも、自分たちの不正なメッセージを英語で拡散させることが、最も収益につながると考えていると言えます。

PAGE 20 | 2013年第1四半期セキュリティラウンドアップ

スパムメールを送信する国：トップ10

米国インド中国スペイン台湾ペルーロシアベトナムベラルーシコロンビアその他

11.64%7.70%4.28%3.97%3.93%3.62%3.42%3.29%3.18%2.68%52.29%

2012年にスパムメール送信国として勢いのあったインドが、米国にその座を譲り、第2位に転落しています。また2012年にトップ10入りしていた国のいくつかも、当四半期には完全に姿を消しています。これは、スパムメール送信は、特定の国のものではなく世界的な問題であることを如実に示しているといえます。

「デジタルライフ」とは、オンライン活動に関する社会生活全般のことを意味する言葉で、ユーザの行動パターン、個人情報やプライバシーに関するやりとり、ソーシャルエンジニアリングの手口、ソーシャルメディアの各種プラットフォームなど、オンライン上での展開されるさまざまな事柄や事象が、この言葉で総称されます。

デジタルライフ時代のセキュリティ問題休暇やレジャー、歴史的イベントのニュースに便乗する手口• 新ローマ教皇を選出するコンクラーベや就任式典といった歴

史的イベントのニュースが、スパムメールの送信や「Blackhole Exploit Kit」の利用を企てるサイバー犯罪者たちに悪用されました。59

• 「Google Glass」プロトタイプの購入権を賞品とするコンテストが2月に実施されましたが、不正なリンクからアンケート詐欺のサイトに誘導されるなど、このイベントに便乗した脅威も確認されています。60

• バレンタインデー前には、このイベントに便乗したスパムメールや不正なドメイン数が急増し、こうした手口も相変わらずサイバー犯罪者たちに利用されている現状が明らかになりました。61

59 http://blog.trendmicro.co.jp/archives/693160 http://blog.trendmicro.co.jp/archives/682261 http://blog.trendmicro.com/trendlabs-security-intelligence/love-bugs-

how-are-valentine-threats-looking-up/

オンライン詐欺のビジネスモデル• オンライン上の詐欺師たちによって盗まれた様々な個人情報は

集約され、サイバー犯罪者たちが利用しやすい形式に加工された上で、アンダーグラウンドのフォーラム等で「Fullz」という呼称で提供されていることが確認されました。62

• 「Fullz」をはじめとして、サイバー犯罪者たちは、自分たちの「顧客」を保持するため、さまざまな工夫を凝らした活動を行なっています。63

• その意味では、オンライン詐欺でも、一般的なビジネスと同様、一定のビジネスモデルの中で新規顧客の獲得や既存顧客の維持等、利益を得るための活動を行なっているのです。64

62 http://blog.trendmicro.co.jp/archives/685663 http://blog.trendmicro.co.jp/archives/686064 http://blog.trendmicro.co.jp/archives/6868

「ゾンビ襲来」を伝えるハッキング事件• 2013年2月12日、モンタナ州の緊急警報放送がハッキングさ

れ、「墓場から死体が起き上がり、市民を襲っています」という警告放送が流されました。65

• こういった攻撃は、インターネットに接続されたものであれば、公共のインフラであっても簡単にハッキングすることができ、甚大な被害をもたらすことも可能であることを証明したともいえます。

65 http://blog.trendmicro.com/trendlabs-security-intelligence/zombies-are-funny-until-someone-loses-an-eye/

PAGE 21 | 2013年第1四半期セキュリティラウンドアップ

ソーシャルエンジニアリングで多用されたトピック

Pope FrancisGoogle Glass

Windows 8Candy Crush

Valentine’s Day

2013年第1四半期は、新たなトピックがソーシャルエンジニアリングで多用されました。時事関連では、新ローマ教皇の選出に関する話題が多用され、またテクノロジー 関連では、「Google Glass」や「Windows 8」などが多用されました。

アンダーグラウンド上で売買されるサイバー犯罪関連の製品・サービスの価格一覧（2013年1月16日時点の情報）

個人情報 価格

銀行のログイン情報

Bank of America U.S.預金残高US$7,000 US$300

預金残高US$14,000 US$500

預金残高US$18,000 US$800

HSBC U.S.預金残高US$12,000 US$400

預金残高US$28,000 US$1,000

HSBC U.K.預金残高US$8,000 US$300

預金残高US$17,000 US$700

端末の出荷サービス

ノート型パソコンApple US$240

HP/Dell/Toshiba/Samsung US$120

VAIO US$200

モバイル・タブレット端末iPhone 3GS US$120

iPhone 4G US$150

iPhone 4GS/iPad 2 US$180

BlackBerry US$130

有効なPAYPALアカウント（メールアドレス・パスワード）

預金残高US$1,500 US$150

預金残高US$2,500 US$200

預金残高US$4,000 US$300

預金残高US$4,000 US$500

銀行や商取引に関連するログイン情報は、アンダーグラウンドでは高値で売買され、ソーシャルメディアのログイン情報よりも高価格となっています。こういっ た窃取した情報の売買と共に、各種端末の出荷サービスまでサイバー犯罪者たちが担っている点は、興味深いといえます。

PAGE 22 | 2013年第1四半期セキュリティラウンドアップ

ビジネスコンピュータ／ インターネットサービス金融サービス不動産ショッピングソーシャルネットワーキングWebメールサービスその他

0.13%0.39%

26.90%1.05%3.41%0.79%0.39%66.94%

検出されたモバイル端末向けフィッシングサイトを種類別に分類

金融関係のサイトがフィッシング攻撃の格好の餌食になる点は、当四半期、モバイルの世界でも同様のようです。モバイルを標的にしたフィッシングサイトのURLは、2012年第1四半期の約500から2013年第1四半期の約800まで54.25%増加しています。

註：この数値は、不正なURLの中で、特にモバイル関連のキー ワードを含むサイトの数を算出しています。

モバイルの脅威： 金融機関を装ったフィッシング攻撃の標的がモバイルに拡大

フィッシング攻撃はモバイルユーザも標的に• フィッシング攻撃が、モバイルにおける新たな脅威に進化してい

ます。66

• 2012年、なりすましの被害に見舞われたモバイルサイトの大多数は、銀行関連のサイトでした。67

• 当四半期は、なりすましの被害が金融機関全般のモバイルサイトにまで拡がりました。フィッシング攻撃を駆使するサイバー犯罪者たちは、コンピュータであろうがモバイル端末であろうが、金銭を得られるところであれば、どこであろうと狙いを定めるということを意味しています。

66 http://about-threats.trendmicro.com/us/mobilehub/mobilereview/rpt-monthly-mobile-review-201302-mobile-phishing-a-problem-on-the-horizon.pdf

67 http://blog.trendmicro.com/trendlabs-security-intelligence/when-phishing-goes-mobile/

モバイル向けのバックドア型不正プログラムが、 100万台のスマートフォンに感染• 外部からのコマンドの送受信が可能なバックドア機能を備えた

Android向け不正プログラムの亜種が100万台のスマート フォンに感染したことが確認されました。68

• この種の不正プログラムは、自身のコードを更新してセキュリティ対策製品からの検出を逃れることが可能であり、またバックドア機能を駆使し、外部から感染端末を遠隔操作することも可能です。

• トレンドマイクロでは、2012年7月よりこの種の不正プログラムを検出しているので、トレンドマイクロ製品のユーザは、この被害から守られています。

68 http://blog.trendmicro.com/trendlabs-security-intelligence/android-malware-found-to-send-remote-commands/

偽ゲームアプリが、モバイルの脅威における定番に• 2013年第1四半期も、モバイル向け不正プログラムは、引き続き

人気のあるゲームアプリに便乗しています。• トレンドマイクロでは、「Temple Run 2」の偽バージョンの存在を

確認し、さらに「Candy Crush Saga」で不正にプレイするためのチートツールを提供する不正アプリになりすました偽アプリも確認しました。69 これらのアプリは、インストールされると、執拗に広告活動を行い、感染したモバイル端末から個人情報を窃取します。

69 http://blog.trendmicro.co.jp/archives/6572; http://blog.trendmicro.co.jp/archives/6895

PAGE 23 | 2013年第1四半期セキュリティラウンドアップ

Android端末を狙う不正プログラムの増加

42万500046万2000

50万9000

40万

50万

60万

2月1月

3月

Android端末を狙う不正プログラムの量も、当第1四半期の時点で、トレンドマイクロが「2013年脅威予想」述べた100万の半分に達しています。Android端末を狙う不正プログラムが月ごとに増加じているのは、米国モバイルOS市場の半分以上がGoogleで占められていることに起因しているといえます。

Android端末向けの脅威タイプ別に分類

高額料金が発生するサービス悪用

アドウェア 情報窃取 不正プログラムの ダウンロード

ハッキングツール バックドア／ リモートコントロール

その他

47.72% 31.99% 11.34% 6.41% 2.09% 2.58% 1.08%

2012年と同様、2013年第1四半期も、「高額料金が発生するサービスを悪用」および「アドウェア」が上位を占めています。「高額料金が発生するサービスを悪用」とは、特定サービスを登録したユーザに対して不当に高額な料金を請求するという手口です。「アドウェア」とは、ユーザ に対して必要に広告宣伝のメッセー ジやポップアップを送り続け、場合によっては、ユーザが気づかない間に個人情報の窃取まで行う手口のことです。

この数値は、「Trend Micro Mobile App Reputation (MAR)」技術により2013年3月の時点で検出されたトップ20のモバイル端末向け不正プログラムおよびアドウェアに基づいており、このトップ20だけでモバイル関連脅威全体の88%を占めています。なお、不正プログラムによっては、1つの不正プログラムで複数の脅威タイプの動作をするものもあります。

PAGE 24 | 2013年第1四半期セキュリティラウンドアップ

FAKEINSTOPFAKEGINMASTERBOXERSNDAPPSJIFAKEKUNGFUFAKEDOCKMINKSAPPその他

31.50%27.04%5.65%2.73%2.70%2.38%2.38%2.27%1.53%1.49%20.33%

Android端末向け不正プログラムファミリ：トップ10

偽アプリ関連の不正プログラムフファミリは、2013年第1四半期も、モバイル関連の脅威の中で目立っています。「FAKEINST」や「OPFAKE」などのファミリは、人気のアプリを装ってユーザにダウンロードを促す不正アプリとして知られています。

アプリ使用によるプライバシー侵害のリスクが最も高い国

10.78%7.58%

7.26%6.05%

5.53%

5.11%

4.92%4.61%4.48%

サウジアラビアインドミャンマーフィリピンマレーシアブラジル香港中国フランストルコ

5.74%

サウジアラビアのAndroid端末ユーザが、最もプライバシー侵害の危険にさらされているようです。これは、この国のAndroid端末ユーザの多くがモバイル関連の広告によく反応していること、その状況を悪用しようとする開発者により、執拗な広告機能を備えたアプリが作成されていることを示唆しているかもしれません。 註：ランキングは、スキャンしたすべてのアプリに対して「プライバシー侵害の可能性が高い」と評価されたアプリのパーセンテージを国別に比較して割り出しています。また、このランキング対象は、アプリへのスキャンが少なくとも1万回以上確認された国に限定しています。アプリの評価については、「ウイルスバスターTM モバイルfor AndroidTM」によるリアルタイム検出の四半期ごとの分析に基づきます。

PAGE 25 | 2013年第1四半期セキュリティラウンドアップ

バッテリーを浪費するアプリを最も多くダウンロードしている国

アルジェリアイギリス中国カナダインド米国アイルランドドイツフィリピン日本

42.39%

36.11%

35.76%35.45%

34.94%

34.58%

33.13%

31.94%

31.90%

31.90%

アルジェリアが、バッテリー消費レベルが高いアプリを最も多くダウンロードしている国で、その後にイギリスと中国が続きます。アルジェリアは、インターネット普及率でもアフリカ諸国の中で第9位を占めており、Webからの脅威のターゲットにもなってきたようです。

註：ランキングは、スキャンしたすべてのアプリに対して「バッテリー消費レベルが高い」と評価されたアプリのパーセンテージを国別に比較して割り出しています。また、このランキング対象は、アプリへのスキャンが少なくとも1万回以上確認された国に限定しています。アプリの評価については、「ウイルスバスターTM モバイルfor AndroidTM」によるリアルタイム検出の四半期ごとの分析に基づきます。

不正アプリをダウンロードするリスクが最も高い国

ミャンマーインドサウジアラビアロシアウクライナマレーシアフィリピントルコインドネシアイタリア

9.50%

7.25%7.19%

6.06%5.98%

5.26%

4.10%3.50%

3.11%

3.03%

不正アプリをダウンロードするリスクの高い国のほとんどが、ミャンマーを筆頭にアジア諸国に集中しています。

註：ランキングは、スキャンしたすべてのアプリに対して「不正」と評価されたアプリのパーセンテージを国別に比較して割り出しています。また、このランキング対象は、アプリへのスキャンが少なくとも1万回以上確認された国に限定しています。アプリの評価については、「ウイルスバスター モバイルTM for AndroidTM」によるリアルタイム検出の四半期ごとの分析に基づきます。

PAGE 26 | 2013年第1四半期セキュリティラウンドアップ

サイバー攻撃： 破壊活動を行う韓国へのサイバー攻撃と、巧妙な隠蔽工作を図る脅威

マスターブートレコード（MBR）を破壊する韓国企業へのサイバー攻撃• 2013年3月中旬、韓国企業が、「マスター・ブート・レコード

（MBR）」を上書きしてコンピュータを起動不可能にする不正プログラム「TROJ_KILLMBR.SM」による攻撃されました。70

• この攻撃により、標的となった企業のビジネスに影響が及びました。

• トレンドマイクロで入手した検体は、特定の文字列を使用してMBRを上書きし、特定のファイルやフォルダを削除することを確認しています。MBRが上書きされたコンピュータは、アクセスが制限されるか、完全に起動不可能となってしまいます。

70 http://blog.trendmicro.com/trendlabs-security-intelligence/summary-of-march-20-korea-mbr-wiper/; http://blog.trendmicro.co.jp/archives/6923

通常のトラフィックに紛れ込むRATの「FAKEM」• ほとんどの「リモート・アクセス・ツール（RAT）」と同様、

「FAKEM」も、通常のネットワーク・トラフィックに紛れ込むことで検出を逃れています。71

• ただし他のRATと異なる点は、「FAKEM」の場合、「Windows Messenger」や「Yahoo! Messenger」、もしくはHTMLのトラフィックを模倣することで検出を逃れようしている点です。72

71 http://blog.trendmicro.com/trendlabs-security-intelligence/hiding-in-plain-sight-the-fakem-remote-access-trojan/

72 http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-fakem-rat.pdf

PlugXを模倣するバックドア型不正プログラム「RARSTONE」• バックドア型不正プログラム「RARSTONE」は、自身特有の巧

妙な手口に加えて、PlugXと同様に感染したコンピュータのメモリ上に実行ファイルを読み込むという特性を持ちます。73

• 「RARSTONE」も、感染したコンピュータ内に実行ファイルを作成する代わりに、直接メモリ上に読み込み込ませることで、その実行ファイル自体を隠ぺいさせるのです。PlugXと異なる点は、「RARSTONE」が「Secure Sockets Layer (SSL) 」を介して通信を行うことです。この通信上では、トラフィックは暗号化されるため、通常のトラフィックに紛れ込ませることも可能となります。

73 http://blog.trendmicro.co.jp/archives/6815

PAGE 27 | 2013年第1四半期セキュリティラウンドアップ

RATにおける手口の差異

いくつかの差異はあるものの、「FAKEM」と「PARSTONE」は、双方とも、ほとんどのセキュリティ対策ソフトの検知を回避するために新たな手口を駆使するという点では共通しています。

FAKEM RARSTONE

スピアフィッシング・メールを介して侵入する

スピアフィッシング・メールを介して侵入する

通常、DOCファイルや、XLSファイル、PDFファイルなど、ビジネスで広く利用されるファイルを装う

通常、DOCファイルや、XLSファイル、PDFファイルなど、ビジネスで広く利用されるファイルを装う

C&Cサーバとの暗号化された交信を行う実行ファイルを作成する

まずEXEファイルが作成され、IEの隠しプロセスを立ち上げ コンピュータのメモリに不正なコードを挿入するコピーを作成。このコードが自身を復号化し、C&CサーバからDLLファイルをダウン ロード。このDLLファイルがメモリに読み込まれる

EXEDLL

「Windows Messenger」や「Yahoo! Messenger」もしくはHTMLのトラ フィックを模倣したネット ワーク通信を生成する

SSLを用いてC&C サーバと交信する

HTML SSL

TREND MICRO™本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。

トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず本書またはその一部を複製することは禁じられています。本書の作成にあたっては細心の注意を払っていますが、本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本書およびその記述内容は予告なしに変更される場合があります。

本書に記載されている各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。 Windows は米国 Microsoft Corporation の米国およびその他の国における登録商標です。AndroidはGoogle Inc.の商標です。 TRENDMICRO、ウイルスバスター、Smart Protection Network、 SPNは、トレンドマイクロ株式会社の登録商標です。

〒151-0053　東京都渋谷区代々木2-1-1　新宿マインズタワー 大代表 TEL：03-5334-3600 FAX：03-5334-4008 www.trendmicro.co.jp

TRENDLABSSM

フィリピン・米国に本部を置き、日本・台湾・ドイツ・アイルランド・中国・フランス・イギリス・ブラジルの10カ国12ヵ所の各国拠点と連携してソリューションを提供しています。

数カ月におよぶ厳しいトレーニングを経て最終合格率約1%の難関を突破した、選びぬかれた1,000名以上の専門スタッフが、脅威の解析やソリューションへの反映など、24時間365日体制でインターネットの脅威動向を常時監視・分析しています。

世界中から収集した脅威情報を、各種レピュテーションデータベースや不正プログラム、迷惑メールなどの各種パターンファイルなど、グローバル共通のソリューションに随時反映しています。

サポートセンターの役割も兼ねる研究所として、お客様に満足いただけるサポート体制を整備し、より多くの脅威に迅速に対応しています。

©2013 by Trend Micro, Incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company names may be trademarks or registered trademarks of their owners.