「New SMB Zero-Day Exploit?」より
Nov 12, 2009　Jonathan Leopando

　セキュリティ専門家は、Windows 7および Windows Server 2008 Release 2に存在する脆弱性が確認されたことを報告しています。この脆弱性は、LANを通じてファイル共有やプリンタ共有を可能にするプロトコル「Server Message Block (SMB)」のパケットを処理する際に発生します。コンピュータが不正な形式のパケットを受信することで脆弱性が利用され、不正リモートユーザは、リモートでコンピュータをクラッシュさせることが可能になります。クラッシュの結果、ブルースクリーン（OSに深刻なダメージがある場合の画面）が表示されることはありませんが、コンピュータは操作不能の状態になります。Vista およびそれ以前の Windows のバージョンは、この脆弱性により影響を受けることはありません。

　マイクロソフトは、11月14日、この脆弱性に関するマイクロソフトセキュリティアドバイサリ（977544）を公開しました。詳細に関しては、現在調査中ですが、この脆弱性の利用により、コンピュータが制御されたり、不正ファイルがインストールされたりすることはないことを明らかにしています。この脆弱性に対する悪用コードはすでに公開されていますが、このコードを使用した実際の攻撃は確認されていないと同社は述べています。また、この脆弱性に対応する更新プログラムが公表されるまで、ファイアウォールでTCPポート139番および445番をブロックすることを同社は推奨しています。

　トレンドマイクロの法人ユーザは、、「Deep Security」や「Trend Micro侵入防御ファイアウォール（Intrusion Defense Firewall）」等の製品によりこの脆弱性関連の攻撃から守られています。Third Brigadeは、この脆弱性についてのより詳細なセキュリティアドバイサリを公表しました。

　翻訳： 澄田　明子（Technical Communications Specialist, TrendLabs）

「Koobface Abuses Google Reader Pages」より
Nov 09, 2009　Jonell Baltazar

　「KOOBFACE」は、「Facebook」や「MySpace」、「Twitter」などのソーシャル・ネットワーキング・サイト（SNS）を悪用して不正活動するボットネットとしてよく知られています。今回、トレンドマイクロは、このボットネットが新たな手口を利用したことを確認しました。SNS上で不正URLをばら撒くために、Googleのフィードリーダー「Google リーダー」を悪用したのです。

　「KOOBFACE」の首謀者は、フラッシュムービーに似せた画像が掲載されたWebページを、乗っ取ったGoogle リーダーのアカウントに組み込みました。そして、このWebページのURLは上記SNS上で大量送信されました。ユーザが画像または共有されたコンテンツのタイトルをクリックすると、「KOOBFACE」攻撃ではおなじみですが、偽「YouTube」のページにリダイレクトされます。リダイレクトされたページには、「KOOBFACE」のダウンローダが組み込まれているのです。

図１．「KOOBFACE」関連ファイルが組み込まれた「Google リーダー」のWebページ

図２．リダイレクトされた偽「YouTube」のページ

　Google リーダーは、興味あるWebサイトやブログの更新状況をチェックできる無料のサービスで、Webサイト上のコンテンツを共有することも可能です。オンライン上のユーザなら共有されたページは誰でも閲覧することができます。ユーザは、自身が定期購読したページ下部の「Share」ボタン（図３参照）をクリックするだけで、簡単にお気に入りのページを一般公開することができ、自身の「公開ページ」にコンテンツが表示されます。

図３．Google リーダーの「Share」ボタン

　サイバー犯罪者は、一般公開しコンテンツを共有するこの機能を悪用。Google リーダーのドメインを用いて不正なリンクをばら撒きました。

　トレンドマイクロでは、既にGoogleに不正コンテンツを削除するよう依頼しています。現時点で、1300のGoogleアカウントが今回の攻撃に利用されています。なお、これらのアカウントに組み込まれスパム活動に用いられた不正URLは、トレンドマイクロの製品で既にブロックされています。

　翻訳： カストロ　麻衣子（Technical Communications Specialist, TrendLabs）

TrendLabs | ラボレポート

　今年初め、「BREDOLAB」が登場した時は、小規模な感染が確認された、目立たないダウンローダ（他の不正プログラムをダウンロードするために作成された不正プログラム）に過ぎませんでしたが、8月を境に急激に感染を拡大しました。日本でも依然として感染報告が相次いでいます。今回は、最近トレンドマイクロが行った調査を踏まえ、急速に感染が拡大した「BREDOLAB」攻撃の全体像や背景をご紹介します。

影響を受ける OS：Windows 98, ME, NT, 2000, XP, Server 2003

侵入経路　|　被害の全容　|　感染拡大の背景　|　ユーザがさらされるリスクは

侵入経路：

　「BREDOLAB」は、複数の経路を用い、ユーザのコンピュータに侵入します。偽の請求書などを装ったスパムメールからの侵入が多く確認されています。その他にも、正規のフォーラムサイトなどに不正リンクを投稿したり、特定のキーワードでの検索結果を悪質に操作して（SEOポイズニング手法）不正リンクが上位に表示されるようにしたりして、ユーザにクリックを促し、コンピュータに侵入します。

▲TOP

被害の全容：

　「BREDOLAB」は、基本的に、他の不正プログラムをダウンロードすることを目的としています。このファミリには多くの亜種が確認されていますが、それらの亜種が共通して及ぼす被害は、以下の2つです。

1. 「Antivirus Pro 2010」という名称で表示される偽セキュリティソフト

   この偽セキュリティソフトのGraphical User Interface（GUI）は精巧なため、正規のプログラムのように見えます。感染したコンピュータにインストールされると、偽の感染を警告し、架空のウイルスを削除するためにこのソフトを購入するようユーザに促します。偽セキュリティソフトの名称は、一定の期間ごとに変更される可能性があります。これは、検出を避けるための常套手段です。

図．偽セキュリティソフトのＧＵＩ

2. ボットネット「Zeus」

   　ボットネット「Zeus」は、複数のコンポーネントで構成されています。これらのコンポーネントは、トレンドマイクロでは「ZBOT」として検出されます。「Zeus」は、主に、監視活動および情報収集を目的としています。このボットネットは、通常、専属のIT担当者やセキュリティ専門家を持たない中小企業を標的とし、オンラインバンキング関連の個人情報やログイン情報を収集し、悪用します。このボットネットの活発な活動が継続しているため、「ZBOT」ファミリの不正プログラムは、現在最も危険な情報収集型の不正プログラムと認識されています。

▲TOP

感染拡大の背景：

　トレンドマイクロが行った「BREDOLAB」に関する詳細な調査によると、関連の攻撃に共通して用いられるサーバがロシアに置かれていること、および、ロシアのサイバー犯罪者が作成したダウンローダ「PUSHDO」に動作が非常に似ていることなどが明らかになっています。また、「BREDOLAB」がアクセスするコマンド＆コントロール（C&C）サーバのソースコード内コメントがロシア語であることから、「BREDOLAB」を利用した一連の攻撃は、ロシアで行われていると考えられます。

　ロシアの地下経済は、成功報酬型のビジネスが広まっていることで知られています。つまり、不正プログラムの作成者／保有者やそれを配布するボットネットの首謀者が不正活動から利益を上げるたびに（ユーザが被害に遭うたびに）、その活動に加担したグループが利益を分配するしくみです。「BREDOLAB」が偽セキュリティソフト型「FAKEAV」を配布することにより、偽ソフト販売ビジネスが成功して、加担グループに十分な利益をもたらし、それが感染拡大の要因になっているとトレンドマイクロは考えています。また、「BREDOLAB」は「ZBOT」も配布するため、「BREDOLAB」の作成者と「ZBOT/Zeus」の首謀者は、同一のサイバー犯罪組織に属することが推測できます。

▲TOP

「BREDOLAB」によりユーザがさらされるリスクは：

　偽セキュリティソフトが感染コンピュータに侵入することにより、ユーザは、偽ソフトの購入金ばかりか、クレジットカード情報を含む個人情報を失う恐れがあります。これらの個人情報は、地下マーケットに売り出され、他の不正活動に悪用される可能性があります。また、ボットネット「Zeus」関連の不正プログラム「ZBOT」への感染により、ユーザのコンピュータが監視され、オンラインバンキング関連の個人情報およびログイン情報が収集される恐れもあります。これらの情報も他の不正活動で悪用され、ユーザにさらに被害をもたらすことが懸念されます。

• トレンドマイクロの「BREDOLAB」に関する白書はこちらから（英語）

• 「BREDOLAB」の攻撃事例に関するレポートはこちらから

　Trend Micro Smart Protection Network（SPN）は、「Web レピュテーション」技術、「ファイルレピュテーション」技術、および「E-mail レピュテー ション」技術を相互に関連させて、トータルな防御を可能にします。これにより、SPNのユーザは、常に最新の攻撃から守られています。特に「BREDOLAB」のようなWebからの脅威には非常に効果的です。トレンドマイクロ製品をご利用でない場合、無料サービス「オンラインスキャン」でコンピュータをスキャンすることをお勧めします。

▲TOP

▲TOP

「FAKEAV Uses Conficker Worm as Bait」より
Oct 21, 2009　Robby Dapiosen

　サイバー犯罪者は、ごく最近、マイクロソフトをかたりユーザを罠におびき寄せようとする新たな手段を見つけました。

図１：スパムメールのサンプル

図２：不正な添付ファイル「install.zip」

　このスパム活動に利用されるメールの一例が図１の通りです。このメールを受け取ると、ユーザは、スパムメールに添付されているZIPファイル（図２参照）をインストールするように促されます。メールの本文中に、コンピュータがワーム「Conficker（トレンドマイクロでは DOWNAD）」に感染しているか確認できる無料のウイルス対策ソフトである、と書かれていますが、しかし実のところ、この添付ファイルは不正なファイルです。

　一連のスパムメールの注目すべき点は、ヘッダーが偽造されていることです。受信者のアドレスを送信者情報（From:）にも利用するのです（図３参照）。

図３：スパムメールの発信元の詳細

図４：偽セキュリティソフトのスプラッシュスクリーン

　添付されているZIPファイルには、実行ファイルが含まれており、トレンドマイクロの製品では「TROJ_FAKEAV.BL」として検出されます。この不正プログラムは、実行されると、偽セキュリティソフト「Power-Antivirus-2009」が起動処理中であるように見せかける「スプラッシュスクリーン」を表示します（図４）。次に、偽のスキャン中のウィンドウ（図５上）を表示し、この実行ファイルが正規のセキュリティソフトであるように装います。スキャンが終了すると、複数の不正プログラムに感染しているように見せかける偽の感染警告（図５下）を表示します。

図５：偽セキュリティソフトのGraphical User Interface（GUI）

　トレンドマイクロ製品をご利用のユーザは、スパムメールおよび不正ファイルを利用したこの攻撃から守られています。トレンドマイクロ製品をご利用でないユーザは、無料ウイルスチェック「オンラインスキャン」でウイルス検索されることをお勧めします。オンラインスキャンでは、ウイルスや不正プログラム、ワーム、不正なプラグインや他のマルウェアを特定し、削除する機能を備えています。

　翻訳： カストロ　麻衣子（Technical Communications Specialist, TrendLabs）

「9/11 Pentagon Conspiracy Theory Spam Leads to Malware」より
Oct 17, 2009　JM Hipolito

　世界的なニュースは、悲劇的であればなおさら、「どうしてそんなことが？」という疑問を抱く人々の関心の的になります。そして、そのような出来事は、いろいろな意味で多くの人々に影響を与え、これといった明らかな理由もなしにそのような悲劇が起こったとは思えなくなるのです。

　911アメリカ同時多発テロ事件は、その好例といえます。事件の発生から8年以上経った今日でさえ、人々は、明確で納得のいく説明を探し続けています。サイバー犯罪者は、このような人々の心理を把握し、911テロ事件の真相を知りたい気持ちを巧妙に利用する攻撃を仕掛けました。シニアウイルス解析者Paul Fergusonは、911テロ事件における米国防総省の陰謀を暴くように見せかけたスパムメールを確認しました。

　スパムメールは、米国大手メディア「CNN」から送信されたようにみえます。

図：CNNを装い、911テロ事件の真相がわかると告げるスパムメールのサンプル

　ユーザが「真相」の詳細を知ろうとしてリンクをクリックすると、トレンドマイクロの製品では「VBS_PSYME.DMB」として検出されるファイル “hunt_the_boeing.hta” に誘導されます。「VBS_PSYME.DMB」は、特定のURLにアクセスし、複数の不正プログラムをダウンロードします。

　2009年10月17日時点で、この攻撃がユーザに与える被害の詳細は、まだ明らかになっていませんが、上図のようなメールを受信した場合、好奇心からリンクをクリックしないように強くお勧めします。Trend Micro Smart Protection Network（SPN）をご利用のお客様は、この攻撃から守られています。SPNは、全ての関連不正プログラムをブロックおよび検出します。

　翻訳： 澄田　明子（Technical Communications Specialist, TrendLabs）

「New Adobe Zero-Day Exploit」より
Oct 09, 2009　JJ Reyes

　トレンドマイクロのウイルス解析チームは、「Adobe Reader」および「Adobe Acrobat」の9.1.3およびそれ以前のバージョンに存在する脆弱性（CVE-2009-3459）を利用したゼロデイ攻撃を確認し、注意を促しています。このPDFファイルは、トレンドマイクロの製品では「TROJ_PIDIEF.UO」として検出され、不正なJavaScript（「JS_AGENTT.DT」として検出）が埋め込まれています。この不正なJavaScriptは、「Heap Spray」と呼ばれる手法を用いて任意のコードを実行します。さらに、この脆弱性が悪用される際に、JavaScriptを利用せずとも攻撃できる新型の亜種が作成される可能性もあります。

　トレンドマイクロの分析によると、「Heap Spray」で利用されるシェルコードは、PDFファイル内の別のシェルコードを指定します。このシェルコードは、トレンドマイクロの製品では「BKDR_PROTUX.BD」として検出される不正なファイルを復号し、実行します。このバックドア型不正プログラムは、PDFファイル内に埋め込まれており、Webサイトからダウンロードされるわけではありません。「Protux」ファミリは、不正リモートユーザが感染コンピュータに無制限に接続できるようにする機能を備えています。バックドア型「Protux」の初期の亜種は、マイクロソフトのOfficeファイル内に存在する脆弱性を狙った過去の攻撃で利用されました。

図１：「Heap Spray」で利用されるシェルコードは、PDFファイル内のまた別のシェルコードを指定する

図２指定されたシェルコードは、不正なファイル（「BKDR_PROTUX.BD」）の復号も実行

図３：復号後、PDFファイルに埋め込まれた「BKDR_PROTUX.BD」が実行される

　2009年10月9日現在、アドビは、この脆弱性の修正パッチを次回のセキュリティアップデートで公開すると表明。それまでの間、ユーザは今回の攻撃をできるだけ回避するために、「Adobe Reader」および「Adobe Acrobat」のJavaScriptを無効にすることをお勧めします。手順については、下記の通りです。

手順： 「Adobe Reader」および「Adobe Acrobat」のウィンドウを開き、「編集」をクリックして「環境設定」を選択してください。 左パネル内の「JavaScript」をクリックしてください。 右パネル内の「Acrobat JavaScriptを使用」のチェックを外してください。 「OK」をクリックしてください。

　アドビによる次回のセキュリティアップデートが公開され次第パッチすることを強くお勧めします。なお、Trend Micro Smart Protection Network（SPN）をご利用のお客様は、既にこの攻撃から守られています。

　今回の攻撃で利用された脆弱性に関する詳細は、以下のWebサイトをご参照ください。

　翻訳： カストロ　麻衣子（Technical Communications Specialist, TrendLabs）

TrendLabs | ラボレポート

　先日、「TROJ_ASPROX」ファミリによるSQLインジェクションを用いたWebサイト改ざん攻撃が確認され、今後国内への波及が懸念されています。一方、グローバルでは、9月末、タイ政府関連の複数のWebサイトを狙った不正活動が確認されました。今回の攻撃では、Webサイト改ざんから偽セキュリティソフト詐欺へと導く手口が特徴といえるでしょう。ここ数ヶ月、かつてないほど偽セキュリティソフト攻撃が活発化しています。サイバー犯罪者は、「FAKEAV」をばら撒く手段としてWebサイト改ざんの利用を考え始めたようです。

　ここでは、タイ警察のWebサイト改ざん事例をご紹介します。

影響を受ける OS：Windows 98, ME, NT, 2000, XP, Server 2003

感染フロー　|　この攻撃によりユーザがさらされるリスクは　|　改ざんされたWebサイトの復元状況

感染フロー：

1. ユーザが、改ざんされたタイ警察のWebサイトにアクセスすると、複数の不正Webサイトにリダイレクトされます。

   図1．改ざんされたWebサイトのサンプル

2. 　最終的にたどり着く不正サイトから、トレンドマイクロの製品では「TROJ_DLOADER.DNG」として検出されるダウンローダがダウンロードされます。
3. 　「TROJ_DLOADER.DNG」は、自身のコピーを作成し、作成されたコピーがWindows起動時に自動実行されるようレジストリ値を追加します。またWindowsの正規アイコンを用い、正規のアプリケーションを装います。
4. 　また、「TROJ_DLOADER.DNG」は、「TROJ_FAKEREAN.BW」をダウンロードし、さらに、「TROJ_CUTWAIL.GQ」および「TSPY_ZBOT.ACH」をダウンロードする可能性があります。
5. 　ダウンロードされた「TROJ_FAKEREAN.BW」は、偽セキュリティソフト「Antivirus Pro 2010」です。この不正プログラムは、まず、自身がWindows起動時に自動実行されるようレジストリ値を追加します。また、レジストリ値を変更して、Windowsのセキュリティ機能を無効にします。

   図2．偽セキュリティソフト「Antivirus Pro 2010」のスクリーンショット

6. 　「TROJ_FAKEREAN.BW」は、その後、複数のファイルをランダムなファイル名で作成します。偽のスキャン結果では、これらのファイルが不正プログラムとして表示されます。
7. 　「TROJ_FAKEREAN.BW」は、「ユーザのコンピュータが感染している」というポップアップの警告、および偽のスキャン結果を表示します。
8. 　「TROJ_FAKEREAN.BW」は、「Antivirus Pro 2010」の完全版を購入して不正プログラムを削除するように促します。購入しようとするユーザは、偽の登録ページに誘導され、金銭ばかりでなく、個人情報も失うことになります。
9. 　他方、ダウンロードされる不正プログラム「TROJ_CUTWAIL.GQ」は、ルートキット機能に利用され、「TSPY_ZBOT.ACH」は、サイバー犯罪者がキー入力操作情報を収集するために利用されます。これにより、ユーザの個人情報が漏えいし悪用される恐れがあります。

▲TOP

この攻撃によりユーザがさらされるリスクは：

　ダウンローダ「TROJ_DLOADER.DNG」がダウンロードする不正プログラムは、常時同じではありません。他の不正プログラムがダウンロードされ、さらにユーザを危険にさらす可能性があります。偽セキュリティソフト型「TROJ_FAKEREAN.BW」により、この偽ソフトの購入金だけでなく、クレジットカード情報を含む個人情報も失う恐れがあります。また、「TSPY_ZBOT.ACH」もキー入力操作情報を収集するため、この不正活動によっても個人情報が漏えいし悪用される可能性があります。

▲TOP

改ざんされたWebサイトの復元状況：

　2009年9月26日現在、トレンドマイクロは改ざんされたWebサイトに対して通知を行い、この攻撃によるユーザへのリスクも説明しています。また、Thai Computer Emergency Response Team（ThaiCERT）も改ざんされたWebサイトについての情報を把握しています。

　Trend Micro Smart Protection Network（SPN）をご利用のお客様は、既にこの攻撃から守られています。

　このサービスをご利用でないお客様、および、一般のインターネットユーザは、上記Webサイトについては現在、修復作業中のため、現時点での上記Webサイト閲覧をお控えください。

▲TOP

　TROJ_ASPROXファミリは、Microsoft Active Server Pages（ASP技術）で作成されたフォーム（例：ログインページなどの入力要求を受け付けているもの、または動的にページを生成しているもの）を使用している正規サイトを探し、脆弱性（使用しているASP技術のセキュリティ対策の不備）を抱えている場合には、不正なサイトへリダイレクトするIFRAMEタグを埋め込むウイルスです。

　同種の被害は過去にも報じられています。

図2 「TROJ_ASPROX」を悪用したSQLインジェクション

　2008年7月17日には、日本国内のASP技術を採用しているウェブサイトにおける、改ざん被害の広まりについて注意喚起を行い（※下記参照）、全世界で最大21万、日本国内においても約1万のウェブページで、改ざん被害の発生を確認したことをお伝えしました。当時改ざんされたのは不動産、食品、自動車部品会社などのほか、大学や個人のサイトまで広範囲にわたっています。

※過去公開情報

• Trend Micro Security Blog：「ASP技術を採用しているウェブサイトにて改ざん被害が広がる」
• Trend Micro Security Blog：「改ざん被害拡大の一因は、不当な営業活動を広げる偽セキュリティソフトウェア」
• ウイルスニュース – 2008/7/17：「SQLインジェクションによる正規Webサイト改ざんとWebサイト経由の不正プログラム感染を警告」

　今回問題となるTROJ_ASPROXファミリは、昨年日本国内において大きな被害を及ぼしたウイルスファミリであり、
10月2日 現在で、日本語サイトが被害を受けた兆候は見られませんが、今後被害が国内へ波及するおそれが考えられます。

■脅威への対策

改ざんサイトに埋め込まれるURLおよび改ざんサイトから転送されるサイトは全て、トレンドマイクロの「Webレピュテーション」によりすでにブロックされています。

従来よりトレンドマイクロが啓蒙している「Webからの脅威」に加え、以下の基本対策を再確認してください。

また、ウェブ管理者には、被害可能性を考慮し、自身の管理するウェブサーバにおいて、アクセスログ調査の実施を推奨します。ログ調査により、被害発生は無くとも事前予防策を施すことが重要です。

　10月2日 現在、SQLインジェクション攻撃の痕跡を示すサイトは英語サイトのみで確認しており、現時点で被害報告はありません。しかし、仕掛けられた不正コードは頻繁にアップデートが行われているため、今後国内の被害が確認される可能性もあります。トレンドマイクロでは、引き続き動向を監視し、状況に応じて注意喚起を行っていきます。

「The Internet Infestation, How Bad Is It Really?」より
Sep 16, 2009　Trend Micro Threat Research

　セキュリティ業界では、感染コンピュータ上のマルウェア感染期間は、平均して6週間程度と試算していました。しかし、トレンドマイクロにおける最新の調査によると、この試算は実際の数値と大きくかけ離れていることを示唆していました。およそ1億にも及ぶ改ざんされたIPアドレスを分析したところ、その半数が、少なくとも300日間は感染状態であったということが判明。また、「最低でも1カ月は感染状態であったケース」にまでに範囲を広げると、改ざんされたIPアドレス数は、全体の80％にまで昇ります。

　詳細なデータについては、下図をご参照ください。

図1：国別感染データ

　残念ながら、この状況から得られる情報は、暗澹たるものです。分析対象のIPアドレスの4分の3がコンシューマ（一般ユーザ）からで、残り4分の1がエンタープライズ（企業）から収集されたものでした。特に企業のIPアドレス収集の際、ゲートウェイのIPアドレスを1つとしてカウントしています。したがって、企業から収集された1つのIPアドレスには、社内ネットワークを介して多数のコンピュータが接続されているため、実際の感染コンピュータの数は、IPアドレスで示されている数値よりもずっと多いと考えられるでしょう。

　コンピュータがいったん感染すると、「実際は、その感染コンピュータがより大きなボットネット一部になってしまっている」というのは、よくあることです。こうして形成されていくボットネットは、多くの場合、マルウェアによる攻撃、詐欺行為、情報漏えい、その他のサイバー犯罪に利用され、ユーザに被害を及ぼします。

　実際、2009年、トレンドマイクロのウイルス解析チームが追跡したボットネットについても、そのほとんどすべてが、サイバー犯罪者による情報収集に利用されています。

　現在、下記がいわゆる「3大危険ボットネット」といわれており、いずれも、銀行口座、各種ログイン・個人情報、その他の様々な情報収集に利用されているようです。

　　・Koobface
　　・ZeuS／Zbot
　　・Ilomo／Clampi

　こうしたボットネット全体に関していえることは、かつて考えられていたよりも、実際はずっと多くの感染コンピュータがコントロールされているという点です。ほんの一握りのサイバー犯罪者（その数はせいぜい数百人程度）により、1億台以上ものコンピュータが制御されています。これは別の言い方をすれば、彼らが駆使できるコンピュータのパワーは、世界中のスーパーコンピュータを組み合わせた規模より勝っているということでもあります。このような状況を考えると、世界中のメールの90%以上がスパムメールであるという事実もうなずけます。

　なお、そうした感染コンピュータの被害件数が多い国のトップ10と、そうした感染をもたらすスパム配信国のトップ10とは、必ずしも1対1の相関関係にはありませんが、相関関係は明らかに存在します。

国別感染コンピュータの割合

　典型的なボットネットとして「Koobface」を例にあげると、トレンドマイクロのウイルス解析チームは、約5万1000台の感染コンピュータがこのボットネットに加担していることを確認しています。「Koobface」は、これら膨大な数のゾンビPC化した感染コンピュータを5、6カ所のコマンド＆コントロールセンター（C&C）を利用して、いつでも操れることも確認しています。このような仕組みのため、たとえば、利用中C&Cのドメインが仮にプロバイダーにより削除されてしまっても、別のプロバイダーによる同じドメインのC&Cを直ちに再登録することができます。「Koobface」を利用する犯罪者集団は、こうして犯罪活動のためのC&Cを保持することができるわけです。事実、09年の3月中旬から8月中旬にかけて、46個もの「Koobface」専用C&Cドメインが、弊社ウイルス解析チームにより記録されています。

　他方、ボットネット「Ilomo」では、69個ものC&Cドメインが確認されたようです。ただし、このボットネットでは、日々、C&Cドメインの削除と新規追加が繰り返されており、それに伴うドメイン数の変動も激しく、必ずしも69個と特定できない難しさもあります。さらに、このボットネット自体の構造上の理由から、ゾンビPC化した感染コンピュータの数を特定することも困難です。

　ウイルス解析チームは、引き続き、これらの調査・分析しています。上述のボットネット「Koobface」および「Ilomo」に関連するテクニカル・レポートは公開されており、「TrendWatch（Trend Micro USA）＞research and analysis」でご覧頂けます。

　幸いなことに、次々増大するこれらの脅威に対する新技術も発展しており、トレンドマイクロ製品のユーザは、「Trend Micro Smart Protection Network（SPN）」により10億以上の脅威から日々防御されています。

　トレンドマイクロは、SPNの技術を用いて、マルウェアの検出および感染からユーザを保護します。SPNは、

　・「E-mailレピュテーション」技術
　・「Web レピュテーション」技術
　・「ファイルレピュテーション」技術

の3技術と、従来のスパム対策およびウイルス対策技術を組み合わせた対策を提供しています。

　SPNとは、次世代のクラウド－クライアント型コンテンツセキュリティ技術基盤で、1日50億以上のカスタマーからの問合せを通じて、様々な脅威がネットワークに到達する前にブロックするよう設計されています。軽量小型のクライアントと「In-the-Cloud」技術を組み合わせることによって、ユーザはいつも最新の保護技術で守られています。

　SPNに関する詳細情報は、下記Webサイトをご参照ください。

　【Trend Micro Smart Protection Network】
　　http://www.trendmicro.co.jp/spn/

　翻訳： カストロ　麻衣子（Technical Communications Specialist, TrendLabs）

■この通信は何をしている？

　「このマルウェアが動作していると多数の宛先に対して多数の通信を行っている。この通信が何を行っているのか明らかにして欲しい。」
このマルウェア「TROJ_PUVBED.AA」の解析を始めたのは、そんなお客様からの要望がきっかけでした。キャプチャしたパケットの通信状況を見ると、確かに多数のIPアドレスに対してコネクションを張ろうとしている様子がわかります（図1 多数のIPアドレスのポート3128への通信）。しかし、接続先がダウンしているのかコネクションが張られないため通信内容は確認できません。そこで、このマルウェアが行う通信内容を明らかにすることを目的として解析を開始しました。

図1 多数のIPアドレスのポート3128への通信

■送信している内容「POST /+7441.html」、この数字は・・・？

　実環境では接続に失敗する状態でも、検証環境では通信が成功したように見せかけ、成功した後の動作を調べることができます。クローズドな環境でダミーのサーバを相手に通信させたり、OllyDbgなどのデバッガを利用して成功したあとの動作を強制的に実行させるのです。すると、ポート3128という固定値のポートに対して、POST /+7441.html というHTTPのPOSTリクエストを送信していることが分かりました。しかし、POSTというデータを送信するためのメソッドが使われているものの、送信されているデータはありません。これは何をやっているのだろう・・・？ この「7441」という数字は何だろう・・・？ 逆アセンブラであるIDAProを使ってこの「7441」という数字がどのように決められているのか調べてみると、その前段でrand関数を使ってランダムな数字が作られていることがわかります（図2 ランダムなポート番号の生成）。さらに、生成した値を使ってポートを開けていることも分かりました。つまり、このマルウェアはランダムにポートを開け、自分が開いたそのポートの番号を外部のホストへ通知しているのでした。

図2 ランダムなポート番号の生成

■マルウェア同士で通信している？

　このマルウェアは二つのポートを開いています。一つは「3128」という固定値。もう一つはランダムな番号です。あれ？「3128」は先ほどの通信先のポート番号と同じです。そこでこのマルウェアが開いたポートにデータを受信した後の処理を見てみると、いくつもの処理がある中の一つに、受信データの先頭1バイトが「P」である場合に受信データ中に「+」が存在しているか調べ、存在する場合はその後に続く文字を数値として取得しようとしている処理が見えます。さらに取得した後には、取得した数値をポート番号として接続元のIPアドレスに接続しようとしているのです。これはひょっとして、このマルウェア同士が通信しているのではないか？ そう思ったら早速検証です。IDAProとにらめっこしているよりも早くて正確。検証環境上で2台のホストを用意してそれぞれにマルウェアを動作させます。もちろん、一台ではOllyDbgを使って接続先を自分が立てたダミーのホストになるよう強制的に変更します（図3 接続先を検証環境用に変更）。その結果、確かにマルウェア同士が通信していることが確認できました。一方のマルウェアがPOSTリクエストでポート番号を通知すると、もう一方のマルウェアがそのポート宛てにGETリクエストを送るのです(図4 通信シーケンス)。

図3 接続先を検証環境用に変更

図4 通信シーケンス

■受け渡している内容はIPアドレス、総合すると・・・!?

　さらに解析を進めていくと「面白い」ことが分かります。ポート番号通知を受け取った側では、接続元のIPアドレスを保存しておき、ポート番号通知のPOSTリクエストを受けた際にその応答として保存しているIPアドレスの情報を送信しているのです（図5 受信したIPアドレス情報）。つまり総合すると、マルウェア同士で自身のホストが通信できたホストのIPアドレスの情報を送信しあっているということになります。そしてこれらの通信の結果として、このマルウェアによるネットワークが構築されることになります。このようにプログラム同士が対等な立場で通信しあうことによって構築されるネットワークは、ピア・ツー・ピア（P2P)ネットワークであると言うことができるでしょう。

図5 受信したIPアドレス情報

■攻撃者の目的は？

　では攻撃者はどのような目的でこのマルウェアによるP2Pネットワークを利用するのでしょう？さらに解析を進めていくと、このマルウェアがオープンしたランダムなポートを利用すると、送信したデータを指定した転送先へ転送できることがわかりました。感染ホスト上に別の任意番号のポートを開けさせ、そのポートに受信したデータを指定の転送先へ転送させる機能もあります。このような通信を中継するホストは一般に「踏み台」と呼ばれています。つまり、攻撃者はマルウェアによる「踏み台」ネットワークを構築しているのです。また、攻撃者が攻撃を仕掛ける際には自身の身元が明らかになることを警戒しますが、感染ホストが自身のIPアドレスを直接攻撃者のサーバへ知らせると、そこから攻撃者の身元を追える可能性がでてきます。しかし、このネットワークを利用すると、攻撃者はこのネットワーク上で流れているIPアドレス情報を見ることで、自身の存在を隠したまま感染ホストの存在を容易に知ることが可能なのです。なお、その後行なったネットワーク活動状態の調査では、この「踏み台」がスパムメール送信などで実際に利用されていることがわかっています（図6 送信データ）。

図6 送信データ

　さて、ここまでお付き合いいただきましてありがとうございました。マルウェア解析者がどのようなことを考えながら解析しているのか、その一端を感じていただけたでしょうか？　え？このマルウェアにはどう対策したら良いかって？　様々な対策が考えられると思いますが、それはここでは述べません。ここで公開すると、攻撃者にこちらの手の内を見せることにもなってしまいますので。一つ言えるのは、トレンドマイクロの最新テクノロジーを利用した製品を使用していれば、過剰に恐れる必要はないということです。それでは、またの機会まで。