is702

多数のゼロデイ攻撃がWebブラウザを襲う

アプリケーションの製造元が、セキュリティ修正プログラムを公開する前に、サイバー犯罪者が製品に存在するセキュリティホールを利用して攻撃を行うことがあります。利用者が対処できる期間が0日であることから「ゼロデイ攻撃」と呼ばれます。最近、Webブラウザ関連のアプリケーションに対するゼロデイ攻撃が多発しました。

最新「Webからの脅威」事例

ActiveXコントロールのゼロデイ攻撃が確認

“Microsoft Video”ActiveXコントロールに存在するセキュリティホールを利用したゼロデイ攻撃が確認されました。
Webサイトに組み込まれた不正スクリプトにより、複数のWebサイトにリダイレクトされたのち、JPGファイルがダウンロードされます。
ダウンロードされたファイルは、セキュリティホールを利用した不正なスクリプトが含まれており、「WORM_KILLAV.AI」というウイルスをダウンロードします。
このウイルスは、ウイルス対策ソフトのプロセスを強制終了します。

再びActiveXコントロールのセキュリティホールが利用される

上記の攻撃の約1週間後、“Microsoft Office Web Components”SpreadsheetのActiveXコントロールに存在する同様のセキュリティホールを利用した攻撃が確認されました。
セキュリティホールのあるWebブラウザを用いて不正Webサイトにアクセスすると、不正スクリプトが自動的に実行される恐れがあります。
感染すると、多数のウイルスがダウンロードされます。

ActiveXコントロールだけでなく、Mozilla Firefoxも標的に!

さらに、Mozilla Firefoxのセキュリティホールも利用されました。
これも、リモートでコードが実行され、先の2つの攻撃と同様の不正活動が行われました。

ソーシャル・ネットワーキング・サイト「Twitter」を連続攻撃

ソーシャル・ネットワーキング・サイト(SNS)を利用した攻撃も引き続き確認されました。
「KOOBFACE」というウイルスが、人気のTwitterを利用することはすでに知られていますが、7月には、不正な「つぶやき(Tweet)」の数が急増しました。
最新の報告によると、「KOOBFACE」は、URLを短くするためのWebサイト「Doiop.com」を利用して投稿内のリンクを隠し、複数のリダイレクトに誘導したり、Twitterボットネットを形成したりして、手口をエスカレートさせています。

日食が偽セキュリティソフト攻撃に利用される

2009年7月、アジア地域で観察された日食が、偽セキュリティソフトに利用されました。
「2009年のアメリカにおける日食」などのキーワードでGoogle検索を行うと、検索結果に不正リンクが表示されました。
これらの不正リンクをクリックすると、偽セキュリティソフトに誘導されます。
このような世界的に関心の高いイベントを利用して偽セキュリティソフトをダウンロードさせる攻撃は、これまでも頻繁に確認されています。

大規模なWebサイト改ざん攻撃がまた発生!

大規模なWebサイト改ざん攻撃が、また確認されました。
今回は、SQLインジェクションという手口が用いられ、インドの政府、観光、人気メディアなど多様なWebサイトが複数改ざんされました。
これらの改ざんされた正規Webサイトにアクセスすると、一連の不正Webサイトにリダイレクトされた後、複数のウイルスがダウンロードされます。

スパムメール(迷惑メール)の事例

誰がマイケル・ジャクソンを殺したか?

マイケル・ジャクソンさんの死去のニュースの直後から、「Who killed Michael Jackson?(誰がマイケル・ジャクソンを殺したか?)」という件名のスパムメールが出回りました。
このメールには、不正なリンクが書かれており、ここをクリックすれば、マイケルさんを殺害した「殺人者」についての情報が入手できると説明されていました。送信者の名前は、「X-ファイル」となっています。
リンクをクリックすると、「TROJ_ZBOT.AXY」がダウンロードされるWebサイトにリダイレクトされます。
このウイルスは、ユーザ情報および個人情報を収集するものです。

「マイケル・ジャクソンの葬儀写真」で関心を引く

もう1つのマイケルさん関連のスパムメールは、ポルトガル語で、マイケルさんの葬儀の写真をダウンロードできると書かれています。
「seu grandes album de fotos(素晴らしいフォトアルバムのために)」や「fotos do astro(スターの写真)」などの言葉、あるいはメールに貼られたマイケルさんの写真をクリックすると、不正Webサイトに誘導され、葬儀写真を見るために実行ファイルをダウンロードするように指示されます。
このファイルは、「TROJ_DLOADER.ZRC」というウイルスです。このウイルスにより、感染したコンピュータには、別のウイルスがダウンロードされることになります。

米国独立記念日の花火動画の正体はワーム!

「WALEDAC」というウイルスは、注目のニュースや季節行事に便乗したスパムメールで広まることが知られています。
アメリカの独立記念日である7月4日、WALEDACの活動が再開しました。
今回のメールは、URLをクリックして、独立記念日を祝う花火の動画を見るよう促します。
しかし、リンクをクリックすると、「WALEDAC」の最新亜種である「WORM_WALEDAC.DU」に誘導されます。
このウイルスは、感染したコンピュータ内でメールアドレスを収集し、自身のコピーがダウンロードされるリンクを含むスパムメールを、収集したアドレスに送信します。また、複数のWebサイトに接続し、情報を送受信することが明らかになっています。

Hotmail利用者は要注意!添付ファイルのはずが…

MSNの無料メールサービスであるHotmailを狙った攻撃が確認されました。
メール内に表示されたファイル名の前には、正規のアイコンが表示され、本物の添付ファイルのように見えます。
しかし、ファイル名をクリックすると、複数のWebサイトにリダイレクトされ、最終的に「TROJ_DLOADR.AQJ」がダウンロードされます。
このウイルスは、ダウンローダーと呼ばれるもので、感染したコンピュータに複数の情報収集型ウイルスをダウンロードします。

最新ウイルス事例

「MYDOOM」が韓国および米国のWebサイトにDDoS攻撃

「MYDOOM」は2004年1月に流行したウイルスですが、この亜種である「WORM_MYDOOM.EA」が2009年7月、韓国および米国のWebサイトに対して分散型サービス拒否(DDoS)攻撃を行いました。
DDoS攻撃からウイルス感染につながる事例はこれまでにも確認されていますが、今回は、メールを介して感染活動を行い、自身の存在を確認し警告するツールを強制終了させるなど、新たな動作が追加されています。
さらに別の亜種「WORM_MYDOOM.EB」を作成します。
これは、感染したコンピュータのマスターブートレコード(MBR)を特定の文字列で上書きします。

携帯電話も危ない!情報漏えいに加えてスパム活動も

携帯電話に感染する「SYMBOS_YXES.B」は、電話機ID、加入者IDおよびネットワーク情報を密かに収集します。
また、ショートメッセージサービス(SMS)を介して連絡先にスパムメッセージを送信します。
このウイルスは、安全であることを保証するはずの署名がなされたアプリケーションであったことから、話題になりました。

アドビ製品のセキュリティホールを利用した攻撃が個人情報を狙う

アドビ製品のセキュリティホールを利用する攻撃がまた確認されました。
この攻撃では、Adobe Readerバージョン9.1.2と、Adobe Flash Playerバージョン9および10のセキュリティホールが利用され、「heap spraying」という手法が用いられます。
特別に細工されたPDFファイルを開くと、実行ファイルが作成され実行されます。
最終的に、オンラインID、個人情報および金融資産等を失うという結果につながります。

偽セキュリティソフト攻撃に新たな手口

頻発している偽セキュリティソフトの攻撃に、新しい手口が確認されました。
まず、拡張子EXEを持つすべての実行ファイルを終了させます。その後、ポップアップメッセージで「実行ファイルが感染しているため実行できない」と告げます。どのアプリケーションも実行できないため、利用者はこの偽セキュリティソフトを実行する以外の選択肢がない状態に陥ってしまいます。

情報提供 トレンドラボ

トレンドマイクロのウイルス解析・サポートセンター。フィリピン・マニラを本拠点とし、24時間365日体制で世界中のインターネット上の脅威を監視。ウイルス解析、製品開発、カスタマーサポートを行っています。