2010年のセキュリティを振り返る――注目すべき不正プログラム「Top10」

2011年も多種多様なセキュリティの脅威の出現が予想されるが、今後の対策を講じる上で2010年を振り返ってみたい。Trend Microの研究者がピックアップした世界の動向をお届けしよう。

[TrendLabs]

（このコンテンツはトレンドマイクロ「TrendLabs Security Blog」からの転載です。一部を変更しています。原文はこちら）

　今回から4回にわたって、2010年のグローバルにおける脅威トピックを紹介していきます。2010年は、どのような不正プログラムが登場、暗躍し、ユーザーに脅威を与えてきたのでしょうか。今回はTrend Microの上席研究員が選出した注目すべき不正プログラム「TOP10」を取り上げます。

2010年の不正プログラム「Top10」

順位	不正プログラム名
第1位	STUXNET
第2位	HYDRAQ（別名：Aurora）
第3位	ZBOT（別名：ZeuS）
第4位	EYEBOT（別名：SpyEye）」
第5位	KOOBFACE
第6位	BREDOLAB
第7位	TDSS（別名：Allurion）
第8位	SINOWAL（別名：MEBROOT）
第9位	FAKEAV
第10位	JNANA（別名：Boonana）

第1位：産業システムを標的とする「STUXNET」

　「STUXNET」は、複雑かつ巧妙に作られた不正プログラムであるということ、また、制御目的で利用されたという点で「異例の」不正プログラムであったと言えるでしょう。この「STUXNET」は、一部報道によると、イランの原子力施設を狙ったサイバー攻撃と言われています。しかし、産業用施設を標的にした攻撃や制御目的のサイバー攻撃は目新しいことでなく、今後もこういった用途の他の不正プログラムが登場してくる可能性があります。それよりも、今回はWindowsの複数の脆弱性を同時に悪用して攻撃をしかけたという点が重要視され、第1位にランクインしました。

第2位：Googleへのサイバー攻撃に利用された「HYDRAQ」

　2009年末から2010年初めにかけて、Googleなどソフトウェア関連の大企業に対するサイバー攻撃が発生しました。この攻撃に使われた不正プログラムが「HYDRAQ（別名：Aurora）」です。「HYDRAQ」は、狙った大企業から貴重な企業情報を収集する機能を備えていたことから、大きな注目を浴びることとなりました。

第3位：オンライン銀行を標的にした「ZBOT」

　「ZBOT（別名：ZeuS）」は、オンライン銀行関連の情報を収集する情報収集型不正プログラムの1つです。別名の「ZeuS」はこの「ZBOT」を作成するツールキット名が由来となっています。このツールキット「ZeuS」は、アンダーグラウンド市場で人気のある「商品」となっていることも特筆すべきでしょう。なぜなら、このツールキットは、「ZBOT」の不正プログラムを作成するだけでなく、その作成状況や活動を監視できる便利なコンソールまで備えています。さらに、技術的な知識に詳しくない人でも簡単に扱えるのです。そのため、サイバー犯罪者はこの「手軽な」ツールキットを用いて「ZBOT」を作成し、多くのボットネット「Zeus」を構築しています。個人や法人のユーザーに関係なくターゲット層を幅広く視野に入れ、金銭的価値のある情報を収集し売買することで、金銭的な利得を画策しているのです。

第4位：「ZBOT」の進化型「EYEBOT」

　「EYEBOT（別名：SpyEye）」は、第3位「ZBOT」の後継者として悪名をはせている情報収集型不正プログラムです。「SpyEye」という別名は、「ZeuS」と同様にこの不正プログラムを作成するツールキット「SpyEye」に由来しています。最近のセキュリティ関連記事によると、ツールキット「SpyEye」は、ツールキット「ZeuS」のコードをさらに精巧に改良を加えたものであるといいます。サイバー犯罪者は、「ZBOT」と同様にオンライン銀行の情報を収集し金銭を得るために「EYEBOT」を利用するのです。

第5位：ソーシャルメディアを狙う「KOOBFACE」

　「KOOBFACE」は、FacebookやTwitterなど人気のSNSを介して流布する不正プログラムです。このKOOBFACEは、2010年もさまざまな手法でSNSのセキュリティ対策を突破し、SNSユーザーを脅威に晒してきました。

第6位：ボットネットを構築し、他の不正プログラムをダウンロードする「BREDOLAB」

　「BREDOLAB」が初めて確認されたのは2009年初頭でした。当初は単なるダウンローダにすぎなかったのが、同年8月を境に感染が拡大し、日本でも感染報告が相次ぎました。「BREDOLAB」は、スパムメールやSEOポイズニングなどの感染経路を介して、コンピュータに侵入します。感染コンピュータをゾンビ化して、ボットネット「BREDOLAB」を構築するのです。偽セキュリティソフトや情報収集型不正プログラム「ZBOT」をダウンロードして、感染被害を拡大していました。

　2010年は「BREDOLAB」による際立った攻撃が確認されてはいません。しかし、オランダの国家犯罪対策局は2010年10月下旬に、この不正プログラム作成者としてグルジア人を逮捕しました。この容疑者は、逮捕されるまでこの不正プログラムを利用して何百万ドルも荒稼ぎしていたようでした。日本では、2009年から2010年上半期ごろ猛威をふるった「ガンブラー攻撃」に利用されました。改ざんされたWebサイトを閲覧すると、ユーザーのコンピュータに存在するWindowsやAdobe製品、Java Runtime Environmentなどの脆弱性を利用して、ダウンローダ「file.exe」がダウンロードされ、実行されました。この実行ファイルこそ「TROJ_BREDOLAB」だったのです。

第7位：自身を隠す「TDSS」

　「TDSS（別名：Allurion）」は、侵入したコンピュータ内で自身を隠すルートキット機能を備えているため、検出や駆除が非常に困難です。2010年2月、「TDSS」に感染していたコンピュータにWindowsの脆弱性「MS10-015」に対応する更新プログラムを適用して、コンピュータを再起動すると、「ブルースクリーン」が発生するという問題が確認され、話題になりました。同年8月下旬には、Twitterアプリケーションの中でも人気に高い「TweetDeck」の更新を装って、攻撃を仕掛けました。この「TDSS」は、非常に巧妙なルートキットを備えており、高度な知識を備えたサイバー犯罪者により開発されていたと考えられます。

第8位：OSを再インストールしても削除できない「SINOWAL/MEBROOT」

　「SINOWAL（別名：MEBROOT）」は、通常システムの深部に感染し、OSが起動する前に読み込まれるため、検出および削除が困難です。この不正プログラムが感染したPCで構築されるボットネットは、Windows OSを再インストールしても削除されないルートキットを利用します。そして、スパム配信を実行するのです。世界各国で配信されるスパムボットの大半は、この不正プログラムに関連するボットネットが関与していると言われます。

第9位：偽セキュリティソフト「FAKEAV」

　「FAKEAV」は厳密に言うと、いわゆる「ウイルス」ではなく、「偽セキュリティソフト」を用いた詐欺行為であると言えるでしょう。「FAKEAV」を中心とした偽セキュリティソフトは、偽の感染警告を表示してユーザーのコンピュータがウイルスに感染したように見せかけ、ユーザーに有償版製品の購入を促します。誤って購入したユーザーは、金銭を奪い取られるだけでなく、有償版購入の際に入力したカード情報を収集され、悪用される恐れがあります。サイバー犯罪者は、2010年に通称「Russian partnerkas」と呼ばれるアフィリエイトシステムを利用して、偽セキュリティソフト詐欺を活発化させてきました。

第10位：「KOOBFACE」のMac版「JNANA」

　「JNANA（別名：Boonana）」は、第5位にランクインした「KOOBFACE」のMac版です。この不正プログラムも、「KOOBFACE」同様にSNS経由で感染を拡大します。この「JNANA」は、今後さらなるシェア拡大が予想されるMacユーザーを「KOOBFACE」と同じ脅威に晒したという点で注目すべきでしょう。

　次回はサイバー犯罪者が利用するデバイスやツールを取り上げます。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック