2009年上半期は、USBメモリを悪用する「WORM_DOWNAD」が猛威〜トレンドマイクロ調べ

　トレンドマイクロは6日、上半期の不正プログラムの状況を総括した、「2009年度上半期のインターネット脅威レポート」（2009年1月1日〜6月30日までのデータを集計、日本国内）を発表した。

　2009年上半期の日本国内における不正プログラム感染被害報告数は28628件。昨年の上半期の14878件と比較すると約92％増加した。上半期の不正プログラムの感染報告ランキングでは、USBメモリなどリムーバブルメディアを悪用する不正な設定ファイル「MAL_OTORUN（オートラン）」が2484件ともっとも多く報告された。これは、上位10種の報告数合計の約43.5％になる。なお「MAL_OTORUN」の報告数は、2008年8月以来、11か月連続で1位となっている。オートランのなかには、ウイルス対策ソフトの検知を逃れるために大量の無効なデータが書き込まれたものも確認されており、攻撃者がUSBメモリ経由の感染に着目し、感染確率を高めることに注力していることがうかがえる。

　また、2008年末からは、感染報告ランキング2位に入ったWindowsの脆弱性を狙う不正プログラム「WORM_DOWNAD（ダウンアド）」に、リムーバブルメディア経由の感染機能が追加された亜種が流行、993件が報告された。これも「MAL_OTORUN」の感染報告数増加につながったと見られている。流通当初、脆弱性の修正が完了していない企業を中心に被害が広がったが、2008年末よりUSBメモリなどのリムーバブルメディアを経由して感染する機能や同一ネットワーク内のコンピュータにパスワードクラックを行う機能などが追加された亜種の流通が確認され、脆弱性を修正していてもコンピュータが感染する事例が報告されている。その後も「WORM_DOWNAD」は、偽セキュリティソフトをダウンロードする亜種、セキュリティ関連のサイトへのアクセスをブロックしようとする亜種まで確認されており、感染経路の有効性に注目した攻撃者が「WORM_DOWNAD」に手を加えているものと考えられるとのこと。

　また上半期は、4月から5月にかけて日本国内の正規サイトの改ざんが確認された。感染報告ランキング3位の「BKDR_AGENT（エージェント）」（482件）の亜種「JS_AGENT」（別名ガンブラー、通称GENOウイルス）を正規サイトに埋め込む手口がとられており、最終的に感染コンピュータのFTPアカウントを盗む「TROJ_SEEKWEL（シークウェル）」（6位、300件）がダウンロードされるケースが確認されている。「TROJ_SEEKWEL」は5月に初めて確認され、5月・6月の2か月の間で上半期上位10種にランクインしており、短期間に多くの被害報告が寄せられたという。

　なお今回の不正プログラムが置かれた不正なWebサイトには、ラトビアや中国のサーバが悪用された。トップレベルドメイン別の取得検体数ランキングでも中国のドメイン「cn」が2位にランクインしており、中国のサーバを悪用した不正プログラムの配布が盛んに行われていることがうかがえるとのこと（1位は「com」）。