止まらないオンライン詐欺の猛威...2013/11/07 · TrendLabs 2013年第3四半期セキュリティラウンドアップ 2 | セキュリティラウンドアップ総括

止まらないオンライン詐欺の猛威

TrendLabs 2013 年第 3 四半期セキュリティラウンドアップ


2 | セキュリティラウンドアップ

総括2013 年第 3 四半期、日本と海外における脅威動向

2013 年上半期に確認された Web 改ざん、不正アクセスといった Web を狙う攻撃の傾向は、この第 3 四半期

にも継続されています。中でも、世界的に猛威を振るうオンライン銀行詐欺ツールをはじめ、偽セキュリティ

ソフト、ワンクリック詐欺、フィッシング詐欺など、「オンライン詐欺」に分類されるサイバー犯罪の被害が顕

著です。実社会に存在する重要情報を狙う攻撃のみならず、仮想空間上のみに存在するアイテムが攻撃目的と

なる事例が、特に国内で確認されています。攻撃手法では、「Tor」に代表される匿名ネットワークの悪用の傾

向も日本及び海外で大きく表面化しています。また、モバイルの脅威として、Android を狙う不正・高リスクア

プリの総数が、累計で今期 100 万に到達しました。

●● サイバー犯罪：オンライン銀行詐欺ツールが、世界規模で猛威を振るっています。8 月には「ZBOT」

がスパムメール経由で最も多く世界各地に拡散された不正プログラムでした。国内では、オンライン銀

行詐欺ツールの検出が、8 月に 9282 件と過去最多を記録しました。また、偽セキュリティソフト、ラン

サムウェアも過去 1 年で最多の検出数となっています。海外では、通常の検索に上がらない「Deep

Web」内に存在する闇市場におけるサイバー犯罪の実態も明らかになりました。

●● ソーシャル＆クラウドの脅威：第 2 四半期から多く確認された Apple を狙うフィッシングが、新型

iPhone の発売などに便乗して今期も継続しています。海外では、偽のモバイル向けオンライン銀行サ

イトで、パスポートや免許証といった政府発行 ID のコピーを奪おうとするフィッシングが確認されました。

日本では、仮想空間上のアイテムが実社会でも価値を持ち、攻撃者の犯罪動機となっています。今期

確認されたフィッシングサイトの 70% は、オンラインゲームを標的としていました。

●● サイバー攻撃：Web 改ざんが依然として続く中、日本の不正アクセス事例では、サーバ侵入が前期より

倍増しました。Web 改ざんや不正アクセスにおけるサーバへの侵入手口では、ミドルウェアの脆弱性と

管理アカウントを狙う傾向が続いています。また、匿名ネットワーク「Tor」を悪用するバックドアが初

めて確認され、日本では感染報告が 9 月に 120 件を越えました。海外では、2007 年から確認されてい

る Sykipot が、従来のファイルによる攻撃から、DLL やプロセスインジェクションにその手法を変え、今

期攻撃をしかけていました。

●● モバイルの脅威：Android を狙う不正・高リスクアプリは、今期新たに 28 万 2000 個確認され、累計

で 100 万個に到達しました。日本では、不正アプリの拡散に正規マーケットが利用されています。登録

デベロッパー名を次々に変える手法で、同一攻撃者が 150 以上のワンクリウェアを公開した事例も確認

されています。また海外では、Android、iOS、Windows を問わないチャットアプリの通知を装った脅

威が確認されています。

●● 脆弱性とエクスプロイト：Internet Explorer へのゼロデイ攻撃が確認されています。特に日本で確認

された攻撃では、脆弱性情報が公表される 1 か月以上前から、標的型の水飲み場攻撃に使用されて

いました。また、サーバミドルウェアの脆弱性への攻撃は前期から継続しており、Apatch Struts や

WordPress など、新旧問わず効果があると判断された脆弱性への攻撃が今期も確認されました。


3 | セキュリティラウンドアップ

日本セキュリティラウンドアップ

サイバー犯罪オンライン銀行詐欺ツールの検出、8 月に過去最悪の 9282 件 ……… 5

ソーシャル & クラウドの脅威現実に価値を持つ仮想アイテムが犯罪動機に ………………………… 8

サイバー攻撃Web サーバ侵入、狙われ続けるミドルウェア脆弱性と管理アカウント 12

モバイルの脅威正規マーケットの悪用拡大が続く不正アプリ …………………………… 21

脆弱性とエクスプロイトすべての Internet Explorer に影響するゼロデイ攻撃を日本で確認 ………………………………………………………………… 24

グローバルセキュリティラウンドアップ

サイバー攻撃オンライン銀行詐欺ツールがスパムメール経由で最も拡散された不正プログラムに ………………………………………………………… 27

モバイルの脅威不正・高リスクアプリが累計 100 万個に到達 ………………………… 34

ソーシャル＆クラウドの脅威Apple を狙うフィッシングが継続、政府発行 ID も標的に …………… 38

脆弱性とエクスプロイトJava 6 の脆弱性をエクスプロイトで利用、古いバージョンが依然標的に ………………………………………………………………… 40

サイバー攻撃2007 年から続くSykipot キャンペーン、標的と攻撃手法を変化させ再登場 ……………………………………………………………………… 42

目次


4 | 日本セキュリティラウンドアップ

日本セキュリティラウンドアップ

はじめに

「日本セキュリティラウンドアップ」は、四半期ごとの日本国内での脅威動向を事例ベースでまとめたレポート

です。前回「2013 年第 2 四半期セキュリティラウンドアップ」1 では、「サーバ」と「人」の脆弱性を狙う攻撃

が Web 被害を増加させていることを報告しました。

そして、この 2013 年第 3 四半期、日本国内では、金銭を狙うサイバー犯罪の被害が拡大し続けています。特

にオンライン銀行詐欺ツール、偽セキュリティソフト、ワンクリック詐欺、フィッシング詐欺、ランサムウェアな

ど、「オンライン詐欺」に分類される攻撃が顕著です。8 月にはオンライン銀行詐欺ツールの検出数が過去最

多の 9282 件を記録しました。偽セキュリティソフトに関しても過去 1 年間で最多の検出数、これまで国内では

被害報告がほとんど見られなかったランサムウェアも過去最多の検出台数となっています。また現実社会の金

銭だけでなく、攻撃者はオンラインゲームや SNS といった仮想空間上のみに存在するアイテムも攻撃目的とし

ています。オンラインゲームを狙うフィッシングサイトが全体の 70% と集中していました。中高生が不正プロ

グラムを作成し、SNS ユーザの情報を窃取していた事件も仮想空間を狙う攻撃の傾向を示しています。攻撃手

法の観点からは、Web サーバへの侵入を糸口とした攻撃は継続して確認されており、侵入方法としてサーバミ

ドルウェアの脆弱性と管理アカウントが狙われています。侵入後の遠隔操作手段として Web サーバ専用のバッ

クドアが初めて確認されたことも、Web サーバが攻撃対象として狙われていることを示す例と言えるでしょう。

匿名ネットワークである Tor の悪用も表面化しています。特に情報暴露の場として Tor 上の掲示板が使用され

たことや、Tor ネットワーク上に C&C サーバを持つバックドアが初めて登場したことは、象徴的な事例と言える

でしょう。

1 http://blog.trendmicro.co.jp/archives/7710



サイバー犯罪

オンライン銀行詐欺ツールの検出、8 月に過去最悪の 9282 件

オンライン銀行詐欺ツール被害さらに増加、背景に日本を狙う犯罪グループ

2013 年これまでオンライン銀行詐欺ツールの被害拡大を扱ってきましたが、この第 3 四半期に入ってもそ

の傾向はさらに勢いを増しています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart

Protection Network」（SPN）による日本でのオンライン銀行詐欺ツールの検出数は、この 8 月に過去最多の

9282 件を確認しました。四半期ベースでも先期第 2 四半期の 1.5 倍、昨年同期比で 3.1 倍となっています。

警察庁の発表 2 によれば、オンライン銀行での不正送金被害金額は 9 月 20 日時点で既に 5 億 5 千万円に達し

ており、こちらも既に過去最悪の被害となっています。

トレンドマイクロ SPN データによる、日本におけるオンライン銀行詐欺ツール（ZBOT ファミリー、SPYEYE ファミリー）検出数推移

7000

8000

9000

10000

6000

5000

4000

3000

2000

0

1000

2012年7月

2013年1月8月 9月 10月 11月 12月 2月 3月 4月 5月 6月 7月 8月 9月

15541863 1736

2242

1314

2724

1347

3200

6309

1593

4322 4145

2013

9282

4674

2 http://www.asahi.com/national/update/0926/TKY201309260021.html

単月としては 8 月に過去最多の 9282 件を記録。四半期単位では、第 2 四半期比で 1.5 倍（10060 → 15969）、

前年同期比で約 3 倍（5153 → 15969）

http://www.trendmicro.co.jp/spn/




「2013 年第 2 四半期セキュリティラウンドアップ」3

でもお伝えしたとおり、このような被害拡大の背景

には、海外から日本へのサイバー犯罪組織の流入

があります。その活動の１つとして、この第 3 四半

期には「マネーミュール」と呼ばれる不正送金の実

行役を「求人」する日本語スパムメールを新たに

確認しました。

マネーミュール求人を目的とした日本語スパムメール例

トレンドマイクロではこの日本語スパムメールを 7

月末に初めて確認した後、8 月、9 月にも続けて 10

件以上の問い合わせを受けています。確認された

メール内容として、件名はユーザのフルネーム、送

信元は各種フリーメールのアドレスとなっている他、

メール本文中にはスパムメール判定を避けるため

の「ホワイトインク」と呼ばれる手法（本文とは無

関係の文章を表面上はわからないように背景と同じ

色の文字列で挿入しておく）が使用されていました。

また、警視庁からも 9 月にマネーミュールに関する

注意喚起 4 がなされており、このようなスパムメール

送信が 7 月以降広範囲に継続して行われているもの

と判断しています。

3 http://blog.trendmicro.co.jp/archives/77104 http://www.keishicho.metro.tokyo.jp/haiteku/haiteku/haiteku430.htm

このようなマネーミュール求人を目的としたスパム

メールは、海外では以前から確認されていました。

しかし、日本語化されたものが確認されたのは初

めてであり、海外の犯罪組織が日本での活動を拡

大していることを証明する事例の１つと言えます。

今後も拡大が予想されるオンライン銀行詐欺ツー

ル攻撃の被害に遭わないためにも、その手口をよ

く理解し、不審な Web 表示や電子メールに遭遇し

た場合には、必ず金融機関への確認を行ってくだ

さい。

ワンクリックウェア、偽セキュリティソ

フトに加え、ランサムウェアの被害も

急増

金銭を狙う不正プログラム脅威として、ワンクリック

ウェア、偽セキュリティソフトの被害も継続して確認

されています。トレンドマイクロサポートセンター

への問い合わせ統計では、不正プログラム関連問

い合わせの総数が増加傾向のため、全体に対する

割合としては下がっていますが、絶対数としては 8

月に 672 件と、今年 3 月の 713 件に次ぐ感染報告

数となっています。

またこれらワンクリックウェア、偽セキュリティソフト

の被害報告に加え、これまでは感染報告が無かっ

たランサムウェアについても 5 月以降に被害の報告

が入るようになっています。トレンドマイクロサポー

トセンターへの問い合わせ統計では、ランサムウェ

アに関しても 8 月に過去最多の 71 件の感染被害報

告がありました。トレンドマイクロ SPN による日本

でのランサムウェア検出台数でも、やはり 8 月には

過去最多の 5769 件の検出が確認されました。現在

のところ、報告されたランサムウェアは英語などす

べて日本語以外の言語表示であり、日本ユーザを

狙ったものとは考え難い状況ですが、今後は日本

語化され、実際の金銭被害に繋がっていくことが懸

念されます。



過去 1 年間にトレンドマイクロコンシューマサポートセンターに入ったワンクリックウェア、偽セキュリティソフト、ランサムウェア関連の感染報告数と全不正プログラム関連問い合わせに占める割合

200

0

400

600

800

1000

1200

1400

1600

1800

2000

10.0%

0.0%

20.0%

30.0%

40.0%

50.0%

60.0%

70.0%

80.0%

90.0%

100.0%

2012年7月


44.8%

59.1%

41.4%36.2%

36.8%

44.5%

43.9%

50.6%52.9%

47.5%

43.4%

39.2% 38.9%

39.5%

28.5%

ウイルス関連総数

ワンクリック詐欺

偽セキュリティソフト

ランサムウェア

日本でのランサムウェア検出台数推移（トレンドマイクロ SPN のデータによる）

6000

5000

4000

3000

2000

0

1000

2012年7月


53

636

71413

255 109 163331

900715

1146841 939

5769

3336



ソーシャル & クラウドの脅威

現実に価値を持つ仮想アイテムが犯罪動機に

仮想アイテムを目的とした攻撃が顕

著、フィッシングサイトの 70％がオン

ラインゲーム狙い

この第 3 四半期には、仮想空間上のアイテムの窃

取を目的とした攻撃が複数確認されています。特に

顕著だったのはオンラインゲームのアカウントを狙

うフィッシングサイトです。トレンドマイクロでは、

この第３四半期に特定のゲーム会社のオンライン

ゲーム ID を狙ったフィッシングサイトを、1237 件

確認しています。第 2 四半期に確認された、同じ

ゲーム会社に対するフィッシングサイト数は 3 件に

とどまっており、この第 3 四半期に集中的な攻撃が

発生していたことを示しています。トレンドマイクロ

が第 3 四半期に報告を受けた全フィッシングサイト

のうち、70％がオンラインゲームを狙うものでした。

また、フィッシング対策協議会 5 の月次報告書でも、

オンラインゲームを狙うフィッシングサイトが、7 月

は全体の 94％、8 月は全体の 95％を占めていたこ

とが報告されています。それ以前には、銀行、クレ

ジットカードなど金融関連や、プロバイダの ID を狙

うフィッシングサイトが中心だったことと合わせて考

えると、この第 3 四半期にはオンラインゲーム狙い

の攻撃が特に顕著であったと言えます。攻撃が活発

になった要因としては、新作ゲームの公開などが推

測されています。

5 http://www.antiphishing.jp/

このようなオンラインゲームを狙う攻撃の背景とし

て、オンラインゲーム上のアイテムを実社会の金銭

で売買する RMT（リアルマネートレード）がありま

す。RMT は 2003 年ころから表面化し、現在まで継

続しています。RMT の存在は、オンラインゲーム内

にしか存在しない仮想のアイテムが、現実の金銭で

売買されるほどの価値を持つことを示しています。

また、この仮想空間上のアイテムを狙う攻撃に関し

ては、現在の傾向を表す象徴的な事例が 9 月に確

認されています 6。SNS のアカウント情報を狙う不正

プログラムを九州の高校生が作成し、奈良県の中

学生が実際に頒布、感染したユーザのアカウントを

乗っ取って SNS 上のキャラクターが使用するアイテ

ムや SNS 上で使用可能な仮想通貨を窃取していた、

というものです。中学生は窃取したアイテムや仮想

通貨を自身で使用していました。

これまでも、他人の SNS アカウントへの不正アクセ

ス事例では、攻撃者の低年齢化が問題となってい

ました。2013 年に報道された事例だけでも、1 月

に 16 歳の少年が書類送検 7、7 月には女子中学生が

児童相談所へ通告されています 8。これまでの事例

は、そのほとんどが SNS 上のやり取りでアカウント

情報を聞き出す手口でした。しかし、この 9 月のケー

スでは、アカウント情報を盗むために不正プログラ

ムを独自に作成し使用していた点で初のケースであ

り、それを実行したのがネット上で知り合った実際

の面識のない高校生と中学生であった点も特徴的

です。

6 http://www.yomiuri.co.jp/kyoiku/news/20130910-OYT8T00450.htm7 http://www.47news.jp/CN/201302/CN2013020701001665.html8 http://www.iza.ne.jp/news/newsarticle/event/crime/669882/

http://www.yomiuri.co.jp/kyoiku/news/20130910-OYT8T00450.htm



「Tor」内で発生した「２ちゃんねる」

ユーザの個人情報暴露

「２ちゃんねる」は国内最大と称される匿名掲示板

ですが、この 8 月には大規模な２ちゃんねる関連

の個人情報が流出する事件が発生しました 9。流出し

たのは２ちゃんねるの有料サービスである「２ちゃ

んねるビューア」の契約者情報です。２ちゃんねる

ビューアは、２ちゃんねるの書き込み制限の回避や

過去ログの検索などが可能となる有料サービスで

す。

この事件では２つの観点から今後に大きな影響が

残るものと予想されます。１つは、匿名掲示板であ

る２ちゃんねるの匿名性への影響です。２ちゃんね

るビューアの提供元である「N.T.Technology」社の

発表 10 によれば漏洩した情報は、登録日時、メール

アドレス（2 ちゃんねるビューア ID）、2 ちゃんねる

ビューアパスワード、2 ちゃんねるビューア購入時

に使用したクレジットカード情報、名前、住所、電

話番号、登録時の IP アドレスまたはリモートホス

ト、です。このような非常に重要な個人情報が、延

べ３万８千件も漏えいしたとされています。この漏

洩した情報の内容からは、クレジットカード情報の

悪用、アカウントリスト攻撃への転用、そして２ちゃ

んねる上でのなりすましや書き込みの特定による個

人攻撃、などの二次被害の発生が考えられます。２

ちゃんねるは匿名の掲示板として人気を拡大してき

ました。しかし、その匿名を前提とした掲示板上の

活動を行っていたのが誰であるか、この個人情報暴

露により実社会の個人の特定が可能になり、その個

人の生活に影響を与えようとしています。

9 http://sankei.jp.msn.com/affairs/news/130826/dst13082614140003-n1.htm

10 http://2ch.tora3.net/20130830.html

もう１つは日本での Tor ネットワークの悪用の加速

です。このケースでの情報の流出場所は Tor ネット

ワーク内の掲示板「Onion ちゃんねる」であること

が確認 11 されています。昨年発生したなりすまし犯

罪予告事件 12 以来、日本国内で Tor の存在が注目

されてきていましたが、この事件によりさらに注目

が高まっており、すでにこの事件と同様の手口によ

る模倣犯とみられる情報流出も発生 13しています。

海外では Tor の匿名性を悪用し犯罪利用されるケー

スが多く確認されていますが 14、今後は日本でも同

様に Tor ネットワークの悪用が進むことが懸念され

ます。

「ネット選挙解禁」に便乗した不審な

動きを複数確認

７月４日に公示された参議院議員選挙は、日本初の

「ネット選挙」となりました。トレンドマイクロでは

この参議院議員選挙に関連して複数のネット上での

不審な動きを確認しています15。ひとつはソーシャル

メディア「Twitter」上でのなりすましアカウントです。

トレンドマイクロが公示直後の７月５日に確認した

ところ、特に自民党総裁である安倍晋三氏に関して

は、同姓同名を使用したものが 16 件、そのうち 10

件は写真やプロフィールなどから明確になりすまし

の意図を感じさせるものでした。

11 http://blog.trendmicro.co.jp/archives/778112 http://blog.trendmicro.co.jp/archives/609813 http://sankei.jp.msn.com/affairs/news/130829/crm13082921150018-n1.

htm14 http://blog.trendmicro.co.jp/archives/796015 http://blog.trendmicro.co.jp/archives/7491

http://sankei.jp.msn.com/affairs/news/130826/dst13082614140003-n1.htm

http://sankei.jp.msn.com/affairs/news/130826/dst13082614140003-n1.htm

http://2ch.tora3.net/20130830.html

http://sankei.jp.msn.com/affairs/news/130829/crm13082921150018-n1.htm

http://sankei.jp.msn.com/affairs/news/130829/crm13082921150018-n1.htm

http://blog.trendmicro.co.jp/archives/7960



参院選公示後に確認された安倍晋三氏のなりすましアカウント例

また、同時期に選挙を利用したフィッシング的情報

詐取攻撃も確認されています。これは選挙関連の

アンケートを名目としたメールから不審なアンケー

トサイトへ誘導されるものでした。

選挙関連の不審なメール内容例

メール内の URL 上に構築されていた不審なアンケートサイト

安倍晋三氏本人の顔写真を使用するなど、な

りすましの意図が明確に感じられる。

このアンケートサイトでは最終的にプレゼント

応募の名目でユーザの名前、メールアドレス、

年齢、性別、住所を入力させます。調査では、

このアンケートサイトをホストしているサーバ

は、以前からフィッシングサイト構築に使用さ

れていることが判明しており、このサイトも同

様の情報詐取目的と断定されました。



結果的に今回の参院選期間中に、これ以上の大きな攻撃は確認できませんでした。ただ選挙終了後の追跡調

査によれば、安倍晋三氏のなりすましアカウントは投票日から１週間経った７月 29 日時点で 1 件に減少して

おり、選挙に関連して何かを狙っていたものであろうことは確実です。今後もこのような選挙に便乗した攻撃

に注意して監視を行うべきでしょう。

クラウドサービスの設定ミスによる情報漏洩を複数の組織で確認

「Google グループ」はメーリングリスト、Web フォーラムなどとして使用が可能な、グループ内での情報共有

ツールです。しかし、この Google グループ使用時の不適切な設定により、組織の機密情報がインターネット

からアクセス可能な状態となっていた事例が、今年７月以降に多数確認されました 16。Googleグループのデフォ

ルト設定では、共有した情報がインターネットに公開されますが、情報漏洩した組織ではこれに気付かず機密

情報のやり取りをしていました。結果的に機密情報が公開状態になっていた組織は、官公庁を初めとして通販

サイト、学校、医療機関や新聞社など、多岐にわたります。

この問題の背景としては、ユーザによるセキュリティポリシーの軽視と、一般ユーザ向けサービスの組織での

安易な使用、があります。しかし、これを裏返すと、組織のシステムがユーザの利便性要求に十分に応えられ

ていない、ということも言えるでしょう。この事例においても、ユーザがセキュリティ的に必要な設定をしてい

れば情報が漏えいすることはなかった、とも言えます。一概に新しいサービスの導入を禁止するだけでは、ユー

ザは黙って便利なサービスを利用してしまいます。正規にサービスを導入することは時間がかかるため、ユー

ザの使用したいサービスについて外部に情報が漏れないなどのセキュリティ上の担保をある程度確認した上で

使用を認める、という対応も必要になってくるのではないでしょうか。

16 http://www.yomidr.yomiuri.co.jp/page.jsp?id=81134



サイバー攻撃

Web サーバ侵入、狙われ続けるミドルウェア脆弱性と管理アカウント

Web 改ざんとサーバ上のデータを狙

う不正アクセス攻撃を継続して確認

不正アクセスや正規 Web サイト改ざんなど、Web

とサーバを狙うサイバー攻撃はこの第 3 四半期にも

継続されています。しかし、脅威は攻撃者の目的や

対策の浸透に合わせ、常に変化し続けるものです。

変化した部分を把握することでまた新しい対策が導

かれます。

この第 3 四半期に起きた最も大規模な正規 Web

サイト改ざん被害として、特定のレンタルサーバ業

者にて 8000 以上の Web ページが被害に遭った事

例 17 が 8 月に発覚しています。この事例では、CMS

（コンテンツ管理システム）である WordPress の

脆弱性から WordPress のアカウント情報を窃取され

たことが、直接の改ざん原因として挙げられていま

す。そしてそこにレンタルサーバ業者側の脆弱な設

定が重なり、同一サーバ上で複数の Web ページが

ホストされていた場合にすべての Web ページの設

定ファイルの窃取が可能になっていたことから連鎖

的に改ざんが行われ、8000 件以上という大規模な

被害に繋がったものです。つまり攻撃者は、単純に

脆弱性攻撃で CMS のアカウント情報を窃取できた

ページを改ざんするだけでなく、そこからサーバ内

部の探索を行ってさらにサーバ上の脆弱な設定を

発見し、より大きな規模の改ざんを可能にしたこと

になります。

このように、この第 3 四半期の正規 Web サイト改

ざん事例では、Web 上のコンテンツに他の攻撃サ

イトへ誘導するための難読化スクリプトを挿入する

手法以外の改ざん攻撃が確認されるようになってき

17 http://www.atmarkit.co.jp/ait/articles/1308/29/news102.html

ています。このような傾向の１つとして、トレンドマ

イクロでは、Web サーバ上に仕掛けた不正プログ

ラムにより Web 閲覧者の情報を収集するタイプの

改ざんの報告を 4 件確認しています。これらの攻撃

では、Web にアクセスしてきたユーザの IP アドレ

スや使用ブラウザなどの情報を収集し、外部へ送

信する活動があったことがわかっています。このよ

うな情報収集の真の目的は明確に分かっていませ

んが、Web の閲覧者の傾向調査から、「水飲み場

攻撃」などの更なる攻撃方法を攻撃者が決定する

ための準備段階であるもの、とトレンドマイクロで

は推測しています。

また、これまでに見られなかった Web サーバへの

攻撃としては、Web サーバ専用のバックドアツール

も確認 18 されています。このバックドアは PHP を使

用している Web サーバでのみ有効であり、感染発

覚を避けるために JPEG 画像データ内にスクリプト

を隠蔽する方法を使用していました。

不正アクセスに関しては、この第 3 四半期に発覚し

た主な事例は 21 件で、第 2 四半期の 20 件からほ

ぼ変わっていません。ただし内容を見ると、第 1 四

半期、第 2 四半期と連続して4 件に留まっていたサー

バ侵入による不正アクセスが 10 件と倍増していま

す。第 2 四半期に不正アクセス被害の増加の要因

だったアカウントリスト攻撃を中心とした不正ログ

インは、11 件で全体の 52％となっています。アカ

ウントリスト攻撃の実施には、ID とパスワードが対

になったリストが必要です。攻撃の元となる情報を

さらに得るため、ユーザ情報を大規模に取得でき

るサーバへの侵入によるデータベース情報の窃取

が増加している可能性があります。




2013 年第 3 四半期中に確認された主な不正アクセス事例

No. 報道 / 公表日

業種被害発見理由被害内容分類

1 7 月 5 日サービス業アクセスエラー大量発生の確認から発覚

1545 万 7485 回の不正ログイン試行のうち、2 万 3926 件でログイン成功を確認

不正ログイン

2 7 月 11 日情報通信業アクセスエラー大量発生の確認から発覚

394 万 5,927 回の不正ログイン試行のうち、3 万 5252 件でログイン成功を確認

不正ログイン

3 7 月 12 日官公庁サーバ上の改変の発見から発覚

サーバ内の情報が流出した可能性侵入

4 7 月 10 日サービス業外部からの問い合わせにより発覚

不正ログインにより、ユーザが保持していたサービスポイントが盗用される

不正ログイン

5 7 月 17 日小売業（ショッ

ピングサイト）

不明内部 ID を使用し不正アクセス。ショッピングサイト上の架空注文により、ポイント 115 万円分を詐取

侵入

6 7 月 17 日情報通信業通信ログの確認から発見

少なくとも 2 万 1184 件の ID に対し、特定の IP アドレスからの不正ログイン試行を確認

不正ログイン


サーバーへの不正アクセス、システム改ざんを確認。不正プログラム拡散の可能性

侵入


外部からの不正アクセスにより、サーバ内に不正ファイルが生成されていることを確認 169 万 2496 件のユーザーの ID とメールアドレス、ハッシュ化されたパスワードが流出した可能性

侵入

9 7 月 24 日情報通信業サーバ上の改変の発見から発覚

Web アプリケーションへの脆弱性攻撃により、サーバ上の情報を抽出する不正プログラムが混入計 14 のサイトとサービスで使用されている共通 ID について、最大約 400万のメールアドレスと暗号化されたパスワードが外部に流出した可能性

侵入

10 7 月 26 日サービス業外部からの問い合わせにより発覚

不正ログインにより、27 件の ID でポイントが不正利用されていたことを確認

不正ログイン


不正ログイン試行により、3 万 9590件でログイン成功を確認

不正ログイン

12 8 月 7 日人材総合サービス事業

外部からの問い合わせにより発覚

138 万回の不正ログイン試行のうち、2 万 8000 件でログイン成功を確認。そのうち 260 件で情報改ざんの発生を確認

不正ログイン



No. 報道 / 公表日

業種被害発見理由被害内容分類

13 8 月 12 日サービス業アクセスエラー大量発生の確認から発覚

24 万 3266 件の ID に対し、不正ログインが行われていたことを確認

不正ログイン

14 8 月 14 日情報通信業不明 8 万 3961 件の ID に対し、不正ログインが行われていたことを確認

不正ログイン


4411 件の ID で不正ログイン成功を確認。登録されている情報が閲覧された可能性

不正ログイン

16 8 月 26 日情報通信業外部からの問い合わせにより発覚

アプリケーション購入時に使用された氏名・住所やクレジットカード情報などが約 3 万 2000 件流出。また、メールアドレスとパスワードなどの登録情報約 15 万件が流出

侵入

17 8 月 29 日サービス業不明数十万回の不正ログイン試行のうち、1261 件でログイン成功を確認

不正ログイン

18 9 月 5 日地方自治体不明内部ユーザのＩＤを使用し不正アクセスし、内部情報を窃取

侵入

19 9 月 20 日小売業外部からの問い合わせにより発覚

特定法人向け Web サイトと、決済代行用サーバーでシステム改変を確認クレジットカード情報を含む個人情報が最大 9 万 7438 件流出し、270 件の不正利用報告

侵入

20 9 月 22 日公共施設サーバ上の改変の発見から発覚

Web サーバ「Apache」における既知の脆弱性への攻撃により侵入検索システム内に、不正アクセスを行ったとする犯行声明のページが設置された

侵入

21 9 月 30 日製造業不明 Web サイト上のデータベースに対し不正アクセス 853 件のユーザ情報が流出。同時に不正プログラムがサイト上にアップロードされた

侵入



Tor ネットワークを利用するバックドア「Mevade」、日本でも 9 月に 120 件を

越える被害報告

2013 年 8 月 19 日以降、匿名通信システムである「Tor」ネットワークへの接続ユーザ数が、著しく増加したこ

とが Tor プロジェクト 19 より報告 20 されました。トレンドマイクロで調査を行ったところ、クラウド型セキュリティ

基盤「Trend Micro Smart Protection Network」（SPN）によるフィードバックから、この匿名ネットワークへの

通信増加の原因はバックドア「Mevade」による通信と断定 21 されました。ユーザ環境に感染した「Mevade」

が Tor ネットワーク内の C&C サーバへアクセスしてファイルのダウンロードなどを行うことにより、Tor ネットワー

クへのトラフィックが増大していたのです。Tor ネットワーク内に C&C サーバを持つバックドアの活動が確認さ

れたのは、初めてのことです。この Tor を利用した攻撃者の狙いが、匿名ネットワークにより C&C サーバを隠

蔽し、調査やテイクダウンを免れるためであることは明らかです。

この初の Tor バックドアと呼ぶべき「Mevade」に関し、日本でも大きな感染被害が確認されています。9 月 9

日時点での SPN のフィードバックによれば、「Mevade」に関連する不正プログラムの全世界での検出において、

「BKDR_MEVADE.C」が 52%、「TROJ_DLOADE.FBV」が 25%、「ADW_BPROTECT」が 28% と、日本からの検

出割合が最も高くなっていました 22。その後、トレンドマイクロには「Mevade」に関連する感染被害報告が相

次ぎ、この第 3 四半期に最も多くの感染被害を確認した不正プログラムとなりました。一般の不正プログラム

ケースの場合、トレンドマイクロでは、1 日 15 件以上の感染報告数があった場合に大規模感染の警戒態勢に

入りますが、「Mevade」にはそれを大きく上回る 120 件以上の報告が集まりました。また、9 月中に SPN で

確認された日本における「Mevade」とそのダウンローダの検出数は 22 万件を越えていました。

Tor を悪用する「Mevade」による当初の拡散は収束の傾向にありますが、この「Mevade」のような Tor ネットワー

クを悪用する不正プログラムは今後も登場する懸念があります。

19 https://www.torproject.org/20 https://lists.torproject.org/pipermail/tor-talk/2013-August/029582.html21 http://blog.trendmicro.co.jp/archives/779622 http://blog.trendmicro.co.jp/archives/7806




9 月中日本での「Mevade」とそのダウンローダ（「TROJ_DLOADE.FBV」）の検出数推移（トレンドマイクロ SPN のデータによる）

30,000

25,000

20,000

15,000

10,000

0

5,000

2013年9月1日

2013年9月8日

2013年9月15日

2013年9月22日

2013年9月29日

「DNS Amp」攻撃発生の懸念高まる、今一度確認と対策の実施を

9 月 18 日は柳条湖事件の発生日であり、毎年日本に対するサイバー攻撃の発生懸念が高まる日でもあります。

今年 2013 年には大規模な DNS Amp（ディーエヌエスアンプ）攻撃の発生が特に懸念されていました。DNS

Amp 攻撃は DNS リフレクション攻撃とも呼ばれ、オープンリゾルバと呼ばれる不適切な設定の DNS サーバを

利用する DoS 攻撃手法です。海外から日本に対し、DNS Amp 攻撃の準備と考えられる DNS サーバ探索の通

信が来ていることが確認されており、9 月 11 日には警察庁が注意喚起 23 を行っています。

幸い、今年の 9 月 18 日前後には懸念されたような大規模な DoS 攻撃は観測されませんでした。しかし、「第

1 四半期セキュリティラウンドアップ」24 でもお伝えしたように、日本には世界各国の中でも特に多くのオープン

リゾルバが存在することが指摘されています。今後の攻撃に加担してしまうことの無いよう、DNS キャッシュサー

バの設定確認と対策の実施 25 を重ねて推奨します。

23 http://www.npa.go.jp/cyberpolice/detect/pdf/20130911.pdf24 http://blog.trendmicro.co.jp/archives/713825 http://jprs.jp/tech/notice/2006-03-29-dns-cache-server.html

9 月 5 日から検出が確認され、全体で 222428 件の検出。9 月 9 日に最大の 27412 件の検出



メディアに関連する複数の標的型サイバー攻撃事例を確認

表面に出にくい標的型サイバー攻撃ですが、この第 3 四半期には複数の攻撃が確認されています。最も大き

く報道されたケースとしては、８月以降に通信社や新聞社の Web サイトが改ざん 2627 され、Internet Explorer

のゼロデイ攻撃が仕掛けられた事例があります。この事例では、改ざんサイトに仕掛けられていたゼロデイ攻

撃が、特定の IP アドレスからのアクセス時のみ有効になるようになっていたことから、水飲み場攻撃手法によ

る標的型サイバー攻撃と考えられます。トレンドマイクロでは第 2 四半期以降、Web の閲覧者情報を収集する

タイプの Web 改ざんを複数確認していますが、これらの攻撃の目的の 1 つに水飲み場型攻撃実施のための

情報収集があるものと推測しています。

また、新聞記者からの取材依頼を偽装した標的型メールによる国会議員への攻撃も７月に確認 28 されていま

す。標的型メールにおいて、新聞や雑誌の記者を騙る手口は以前から確認されており、2011 年に発覚した衆

議院への攻撃事例も雑誌記者を騙る標的型メールでした。取材依頼の偽装など、今後も同様の手口は継続さ

れるでしょう。

もうひとつ、メディア自体が標的型メールの攻撃対象になった事例も確認されています。この事例では放送局

関係者に芸能関連情報を偽装した標的型メールが届き、Word ファイルの脆弱性攻撃から不正プログラムの侵

入を招いたことが確認されています。この攻撃では、2011 年ころから標的型サイバー攻撃が確認されている

遠隔操作ツール「FUCOBHA（別名：Icefog）」が使用されていたことから、大きなキャンペーンの一部である

と考えられています。

26 http://www.security-next.com/04290527 http://www.security-next.com/4367328 http://www.asahi.com/shimen/articles/HOK201307230013.html



2013 年第 3 四半期、トレンドマイクロでは日本国内だけでおよそ 1 億 2 千万件の脅威をブロックしました。

1 日平均では 131 万件、また 1 秒に 15 件の脅威からユーザを防護したことになります。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection

Network（SPN）」による参考統計データ日本国内で防御された脅威件数

4500万

4000万

3500万

3000万

2500万

2000万

1500万

1000万

0

500万

不正プログラム

不正サイト

スパムメール

7月 8月 9月180万

380万

2910万

560万

550万

3120万

570万

720万

3100万



2013 年第 3 四半期に日本において感染報告の最も多かった不正プログラムは「ADW_BHO」でした。

これまでもアドウェアの検出が多く確認されてきましたが、TOP3 すべてがアドウェアで占められたのは

初めてです。アドウェアによる広告表示が攻撃者の収入源になっていることの裏付けと言えます。また、

Tor を利用するバックドア「Mevade」の影響も明確に表れています。企業ユーザにおいて「WORM_

DOWNAD.AD」に続き、Top2 となっている「TROJ_DLOADE.FBV」は「Mevade」をダウンロードする活

動を行います。また、すべてのカテゴリで Top3 に入っている「ADW_BPROTECT」は、「Mevade」の活

動によりインストールされていたことが確認されています。

2013 年第 3 四半期　日本国内で検出された不正プログラム Top3

不正プログラム数

ADW_BHO 97295

ADW_BPROTECT 65150

ADW_ DOWNWRE 53804

セグメント別 Top3

大企業中小・中堅企業個人ユーザ

検出名数検出名数検出名数

WORM_DOWNAD.AD 5581 ADW_BPROTECT 1036 ADW_BPROTECT 54175

TROJ_DLOADE.FBV 3598 ADW_ DOWNWARE 950 ADW_BHO 44780

ADW_BPROTECT 2643 ADW_ DOWNWRE 922 ADW_ DOWNWRE 38422



2013 年第 3 四半期　日本国内で確認されたボットネット用 C&C サーバ数

120

100

80

600

40

0

20

7月 8月 9月

17

87

107

2013 年第 2 四半期　日本国内のボットネットへ接続されたコンピュータの検出数 50000

40000

30000

20000

0

10000

7月 8月 9月

1757

18676

44303

8 月、9 月と日本国内で確認されたボットネット用 C&C サーバ数、接続数共に急増しています。世界的に

も 7 月から 8 月にかけて C&C サーバ数が 4 倍に増加しており、世界的に攻撃者が活発化していることが

裏付けられます。



モバイルの脅威

正規マーケットの悪用拡大が続く不正アプリ

影響力の大きい正規マーケット上での不正アプリ頒布を拡大する攻撃者

攻撃者は正規マーケットを不正アプリ頒布経路として重要視しています。トレンドマイクロでは Android 向け

正規マーケットである「Google Play」を監視し、不正アプリの頒布について調査しています。第 2 四半期から

この第 3 四半期にかけては、特にワンクリウェアについて正規マーケットでの頒布が増加傾向にある状況が明

らかになりました。

Android 向けアプリには電子署名が入っており、同一の電子署名を持つ検体は同一の攻撃者が作成したもの

と推測できます。この第 3 四半期に Google Play 上での頒布を確認したワンクリウェアの中で、ある同一の電

子署名を持つ検体を 150 件確認しました。つまり、この電子署名を使用している攻撃者は少なくとも 150 の

ワンクリウェアを Google Play 上で公開していたと推測できます。これら同一の電子署名を持つ 150 の検体は

Google Play 上ではすべて異なるデベロッパー名で登録されていました。これはデベロッパー名をキーに、そ

のアプリの実態がワンクリウェアであると推測されてしまうことを回避するため、と考えられます。

この特定の攻撃者によるものと推測できる、同一の電子署名を持つワンクリウェアは、2013 年 3 月に偽装マー

ケット上での頒布が初めて確認され、それ以降偽装マーケット上での頒布が観測されていました。しかし、7

月を最後に偽装マーケットでの頒布は確認できなくなり、8 月以降は Google Play 上でのみ頒布が確認されて

います。第 2 四半期にはこの攻撃者のワンクリウェアは Google Play 上で 4 検体のみが確認されていることと

合わせて考えると、この攻撃者は不正アプリの頒布場所として Google Play に軸足を移したものと推測できます。

このようなワンクリウェア事例以外にも、Android 向けアプリとして人気が高い「Adobe Flash Player」を偽装

する不正アプリ（トレンドマイクロでは「ANDROIDOS_REVMOB.A」29 として検出）が少なくとも５万件もダウン

ロードされていた事例 30 など、Google Play 上での不正アプリ頒布は止まらない状況が続いています。攻撃者

の視点に立てば、より効果の高い Google Play での頒布を狙うことは当然であり、今後もこの傾向が続く可能

性は高いと言えます。

29 http://about-threats.trendmicro.com/malware.aspx?language=jp&name=ANDROIDOS_REVMOB.A30 http://blog.trendmicro.co.jp/archives/7825



電池節約アプリで 210 万件の個人情

報を窃取していた攻撃者を逮捕

トレンドマイクロでは昨年 9 月にスマートフォンの

電池節約などの名目で頒布されている不正アプリ

を確認以来 31、様々な名目でユーザ情報を狙う不正

アプリを「AndroidOS_Contacts」ファミリー 32 とし

て検出対応し、注意喚起してまいりました 333435。そ

してこの 9 月に、「AndroidOS_Contacts」を使っ

てスマートフォンから電話帳などの個人情報を収集

していた攻撃者が逮捕され、その攻撃の背景と被

害の全貌が明らかになりました 36。警察の発表によ

れば、この攻撃者は 8000 台のスマートフォンから

210 万件の電話番号やメールアドレスなどの情報

を窃取し、自身が運営する出会い系サイトやサクラ

サイトへ誘導するスパムメール送信に使用していた

とのことです。以前から PC の不正プログラム感染

ケースではユーザから窃取した電話帳情報からスパ

ムメール送信を行う事例が確認されていましたが、

Android の不正アプリについても同様の背景が確認

されたことになります。

昨年から確認されている「AndroOS_Contacts」のアイコン例

31 http://blog.trendmicro.co.jp/archives/593132 http://about-threats.trendmicro.com/malware.

aspx?language=jp&name=ANDROIDOS_CONTACTS33 http://blog.trendmicro.co.jp/archives/593134 http://blog.trendmicro.co.jp/archives/619435 http://blog.trendmicro.co.jp/archives/651736 http://sankei.jp.msn.com/west/west_affairs/news/130925/

waf13092519060025-n1.htm

不正アプリ高機能化の流れ、遠隔操作

アプリ「AndroRat」を日本でも確認

「2013 年第 2 四半期セキュリティラウンドアップ」37

では、海外で不正アプリ高機能化の流れがあること

を取り上げましたが、この第３四半期には日本でも

高機能な遠隔操作ツール（RAT）の流入が確認さ

れました。「AndroRat」（トレンドマイクロ検出名：

「AndroidOS_AndroRat」）は 2012 年から存在が確

認されている Android 用 RAT です。この「AndroRAT」

は PC の RAT 同様、ユーザ環境に侵入し遠隔操作

を実現するサーバモジュールとその作成ツール、攻

撃者が遠隔操作を行うためのクライアントモジュー

ルを持っています。そして、もう１つ Android 向け

不正アプリとして特徴的な「バインダー」と呼ばれ

るモジュールも存在します。攻撃者はこのバインダー

を使用することにより、任意の正規アプリ内に RAT

のサーバモジュールを仕掛けた「リパックアプリ」

を作成することができます。海外ではこのようなリ

パックアプリに RAT を仕掛けて感染させる標的型サ

イバー攻撃が確認されており、今後日本へのさらな

る流入が懸念されます。


http://about-threats.trendmicro.com/malware.aspx?language=jp&name=ANDROIDOS_CONTACTS

http://about-threats.trendmicro.com/malware.aspx?language=jp&name=ANDROIDOS_CONTACTS

http://sankei.jp.msn.com/west/west_affairs/news/130925/waf13092519060025-n1.htm

http://sankei.jp.msn.com/west/west_affairs/news/130925/waf13092519060025-n1.htm



トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart

Protection Network（SPN）」による参考統計データ

Android 端末向け不正プログラムファミリ：トップ 10

OPFAKE

LOTOOR

MAILSTEAL

CONTACTS

FAKETIMER

SMSREG

ENERGY

MOGHAV

ONECLICKFRAUD

MEGALL

66.09%

14.86%

7.75%

6.29%

1.60%

0.89%

0.85%

0.61%

0.54%

0.52%

1

2

3

4

5

6

7

8

9

10

第 3 四半期に日本で最も多く検出された不正アプリは、第 2 四半期に続き OPFAKE ファミリでした。しか

し割合的には 87% から 66%と20 ポイント近く下がっています。また、攻撃者が逮捕された CONTACTS ファ

ミリは、6.29％を占めています。



脆弱性とエクスプロイト

すべての Internet Explorer に影響するゼロデイ攻撃を日本で確認

すべての Internet Explorer に影響するゼロデイ脆弱性：日本での攻撃を確認

9 月 17 日にマイクロソフト社から公表 38 された、Internet Explorer（IE）の脆弱性 (CVE-2013-3893 39) は、現在

最新の IE11 から IE6 までのバージョンに影響する、影響度の大きな脆弱性です。攻撃者はこの脆弱性を含む

Web ページをユーザに閲覧させることにより、リモートで任意の不正コードを実行させることが可能となります。

この脆弱性への正式なアップデートは月を跨いだ 10 月 9 日に MS13-080 として公開 40 され、公式には 23 日間

のゼロデイ状態となっていました。

マイクロソフトではこの脆弱性を狙うゼロデイ攻撃を複数の標的型サイバー攻撃で確認していると発表してお

り、トレンドマイクロでも日本国内での攻撃事例を確認しています。また９月以降に確認された日本の情報サー

ビス会社や新聞社が運営する Web サイトなど複数の改ざん事例にて、このゼロデイ脆弱性への攻撃コード（エ

クスプロイト）が利用されていたことも報道 41 されています。これらの攻撃では 9 月 12 日以降改ざん被害が継

続されていたことが確認されており、脆弱性公表の 1 か月以上前から攻撃が発生していたことになります。また、

この複数の Web サイト改ざんの事例では特定の IP アドレスレンジからのアクセス時のみに攻撃コードが有効

になっていたことがわかっており、特定の組織を標的とした水飲み場型攻撃事例と考えられます。

このように影響範囲が広く高度なゼロデイ脆弱性が、正式な脆弱性の公表よりも 1 か月以上前の時点で、日

本への標的型サイバー攻撃に使用されていた事例が確認されたことからも、攻撃者にとって日本が優先度の

高い攻撃目標の１つであることがわかります。

サーバ用ミドルウェアへの攻撃は Web 関連へ集中

今年 2013 年に表面化してきた脅威傾向として、サーバ上のミドルウェアを狙う攻撃があります。様々なミドル

ウェアが狙われてきましたが、この第 3 四半期では特に CMS（コンテンツ管理システム）の「WordPress」と

「Joomla!」、また Web アプリフレームワークである「Apache Struts」への攻撃が多く確認されています。ど

ちらのミドルウェアへの攻撃も不正アクセスや Web 改ざんの発端となっており、特に WordPress の脆弱性は、

特定のレンタルサーバ業者にて 8000 サイト以上が改ざんされた大規模改ざん事件 42 で、Web サーバ侵入の

きっかけとして確認されています。また、脆弱性攻撃方法の例として、Apache Struts に関しても脆弱性攻撃

用ハッキングツールの流通が明らかになっています 43。このように、攻撃者にとってサーバへの侵入方法として

確立していることからも、Web 関連ミドルウェアへの脆弱性攻撃の流れは今後も続くことが予想されます。

38 http://technet.microsoft.com/ja-jp/security/advisory/288750539 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-389340 https://technet.microsoft.com/ja-jp/security/bulletin/ms13-08041 http://www.yomiuri.co.jp/net/news0/national/20131009-OYT1T00713.htm42 http://www.atmarkit.co.jp/ait/articles/1308/29/news102.html43 http://blog.trendmicro.co.jp/archives/7674

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-3893

http://www.yomiuri.co.jp/net/news0/national/20131009-OYT1T00713.htm



2013 年に公開された Joomla!（橙）、WordPress( 赤 )、Apache Struts( 黄 ) の危険度の高い脆弱性一覧（脆弱性対策情報データベース「JVN iPedia」による深刻度：危険以上の脆弱性）

JVN iPedia ID 脆弱性内容公表日

JVNDB-2013-001555 Joomla! における重要な情報を取得される脆弱性 2013 年 2 月 4 日

JVNDB-2013-002117 WordPress 用 BackupBuddy プラグインにおける認証を回避される脆弱性

2013 年 4 月 2 日

JVNDB-2013-002116 WordPress 用 BackupBuddy プラグインにおけるアクセス権を取得される脆弱性

2013 年 4 月 2 日

JVNDB-2013-002115 WordPress 用 BackupBuddy プラグインにおける重要な情報を取得される脆弱性

2013 年 4 月 2 日

JVNDB-2013-002638 WordPress 用 Spiffy XSPF Player プラグインの playlist.php における SQL インジェクションの脆弱性

2013 年 5 月 10 日

JVNDB-2013-003319 Apache Struts における任意の OGNL コードを実行される脆弱性

2013 年 5 月 27 日


2013 年 5 月 27 日

JVNDB-2013-003317 Struts で使用される Apache Struts Showcase App における任意の OGNL コードを実行される脆弱性

2013 年 5 月 27 日


2013 年 6 月 3 日


2013 年 6 月 3 日

JVNDB-2013-003469 Apache Struts において任意のコマンドを実行される脆弱性 2013 年 7 月 9 日

JVNDB-2013-004022 WordPress 用 IndiaNIC Testimonial プラグインにおける SQL インジェクションの脆弱性

2013 年 9 月 1 日

JVNDB-2013-004085 WordPress におけるリダイレクション制限を回避される脆弱性

2013 年 9 月 10 日

JVNDB-2013-004084 WordPress の wp-includes/functions.php における任意のコードを実行される脆弱性

2013 年 9 月 10 日

JVNDB-2013-004282 WordPress 用 NOSpam PTI プラグインの wp-comments-post.php における SQL インジェクションの脆弱性

2013 年 9 月 20 日

JVNDB-2013-004372 Apache Struts における脆弱性 2013 年 9 月 21 日


26 | グローバルセキュリティラウンドアップ

はじめに

この数カ月もサイバー犯罪関連のニュースが話題となりました。数多くの事例の中でも、デジタル通貨決済サー

ビス「Liberty Reserve」の閉鎖や、最近では違法の商品取引サイト「Silk Road」の差し押さえなどのオンライン

の脅威が大きな注目を集めました。1 10 月に行われた「Blackhole Exploit Kit」の作成者とされる人物の逮捕は、

我々に身近なところで暗躍するサイバー犯罪者の活動を明らかにしたといえます。2

サイバー犯罪者は、今四半期も自分たちの技術を洗練化し続けてきました。オンライン銀行詐欺ツールの感

染は、米国や日本を含めて複数の地域で増加しています。大規模な Web サイト改ざんの一端も垣間見ること

ができました。「BKDR_FIDOBOT」に関するトレンドマイクロの調査では、1 日あたり 1 万 7000 以上のドメイン

への攻撃にこのバックドア型不正プログラムが使用されたことも確認。さらに、「EXPIRO」が利用したエクスプ

ロイトキットの「Styx」や、不正プログラム「MEVADE」が利用した匿名通信システム「The Onion Router（Tor）」

のネットワークなど、各種不正活動の巧妙化も確認しました。

モバイル関連では、トレンドマイクロでも予測したとおり、不正・高リスク Android ™アプリの総数が 100 万個

を突破しました。これら危険なアプリの多くが、人気アプリへの偽装や人気アプリのトロイの木馬化といった手

口を利用していました。

複数のゼロデイ攻撃が今四半期も確認された Internet Explorer®（IE）や Java のセキュリティ問題も、依然と

してコンピュータへのリスクをもたらしています。文書ファイルの脆弱性も、持続的標的型攻撃に関連するス

ピアフィッシングで主要な手口として依然使われています。他方、持続的標的型攻撃に利用された不正プログ

ラム「Sykipot」ファミリでは、攻撃手法の変化が確認され、新たに民間航空会社の情報が標的となったこと

も確認されました。

1 http://blog.trendmicro.com/trendlabs-security-intelligence/post-liberty-reserve-shutdown-whats-next/2 http://blog.trendmicro.co.jp/archives/8001

グローバルセキュリティラウンドアップ



サイバー犯罪

オンライン銀行詐欺ツールがスパムメール経由で最も拡散された不正プログラムに

警察当局による一連の逮捕劇は、現在の脅威動向に影響を及ぼしたようです。デジタル通貨決済サービス

「Liberty Reserve（LR）」の閉鎖は、サイバー犯罪たちに別のデジタル通貨への乗り換えを迫る結果を招きま

した。活動継続のために「BitCoins（ビットコイン）」など別の通貨使用を迫られています。悪名高い闇市場「Silk

Road」の閉鎖は、不法取引のサイト同士のネットワークを隠ぺいするための（検索エンジンのクローリングの

及ばない領域である）Deep Web の使用に代表されるような、通常目には見えないもののおぞましいサイバー

犯罪の実態を明らかにしました。3 最後に “Paunch” の名で知られる「Blackhole Exploit Kit （BHEK）」作者の

10 月初旬の逮捕も大きな話題になりました。4 警察当局によるこうした対応は、今までインターネットユーザ

に知られていなかったサイバー犯罪者のアンダーグラウンド活動の認知を高めたといえます。

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」により防御している脅威の数

3 http://blog.trendmicro.co.jp/archives/7951; http://blog.trendmicro.co.jp/archives/79604 http://blog.trendmicro.co.jp/archives/8001

トレンドマイクロは今四半期、平均して 1 秒間に 2,797 の脅威からユーザを防御しました。

9月8月7月0

1B

2B

3B

4B

5B

6B

7B

8B

検出率（ブロックされた脅威数／秒）

ブロックされた脅威の合計数

ブロックされた不正なファイル数

ブロックされた不正なWebサイト数

ブロックされたスパム送信元IPアドレス

64億

4億9500万5億7400万

65億

4億1400万6億600万

62億

75億 75億72億

3億9200万5億8600万

2,876 2,8172,697



「DOWNAD」は今四半期も第 1 位であり、また偽ソフトウェアに組み込まれたアドウェアによる被害が依然継

続しています。「DOWNAD」は、第 1 位ではあるものの、感染数自体は、前四半期の 50 万 9000 から 34 万

5000 へ減少しました。これは、間近に迫った Windows ® XP サポート終了に伴い、多くのユーザがオペレーティン

グシステム（OS）をアップグレードしたことに起因している可能性があります。

不正プログラムトップ 3

100,000 1,000 100 10 1

WORM_DOWNAD.AD

ADW_BPROTECT

ADW_BHO

34万5千

24万6千

23万8千

「DOWNAD」は、3 四半期連続で第 1 位を維持し、そのすぐ後にアドウェアが位置しています。



不正プログラム：セグメント別のトップ３

個人ユーザは、偽のフリーウェアに惹かれ、そこに組み込まれたアドウェアを最もダウンロードしやすい

傾向にあります。大企業や中小・中堅企業の感染数トップは、相変わらず「DOWNAD」です。

大企業中小・中堅企業個人ユーザ

検出名数検出名数検出名数

WORM_DOWNAD.AD 20 万 5000 WORM_DOWNAD.AD 3 万 3000 ADW_BHO 15 万 8000

ADW_BPROTECT 2 万 8000 HKTL_PASSVIEW 7000 ADW_BPROTECT 13 万 8000

PE_SALITY.RL 1 万 7000 TROJ_FAKEAV.BMC 5000 TROJ_FAKEAV.BMC 8 万 7000



オンライン銀行詐欺ツールの急増

オンライン銀行詐欺ツールが今四半期、急増しました。しかも、もはやヨーロッパやアメリカ大陸などの特定

地域に限定されず、グローバル規模に拡大しました。この傾向は継続して確認され、今四半期の感染数は 20

万を突破し、オンライン銀行関連としては 2002 年以降で最多の感染数です。

オンライン銀行詐欺ツールの感染数

オンライン銀行詐欺ツールによる感染の大部分は、不正プログラム「ZBOT」で占められていました。事実、8

月にスパムメールで最も多く拡散されていた不正プログラムが「ZBOT」の亜種で、全体の 23% を占めていま

した。5「ZBOT」の新たな亜種も確認され、特に不正プログラム「KINS」は、デバッグや解析を逃れる機能を

備えて登場しました。

一方、「Citadel」の亜種も依然として日本での感染が確認され、金融機関を始め、Yahoo! Japan や Gmail な

どさまざまな日本の Web メールサービスも標的にされました。 6

5 http://blog.trendmicro.co.jp/archives/78556 http://blog.trendmicro.co.jp/archives/7547

特定四半期のオンライン銀行ツール感染数が 20 万以上となり、これは、2002 年以降で最多の感染数です。

第4四半期第3四半期第2四半期第1四半期0

50000

100000

150000

200000

250000

2013年

2012年13万1千 11万

3千 11万

14万6千 13万

2千

20万2千

12万5千



オンライン銀行詐欺ツールの被害を受けた国：トップ 10

常とう手段化した Web サイト改ざん

サイバー犯罪者たちは、活動の隠ぺいや不正プログラムの配信、スパムメールの送付、不正サイトへのリダイ

レクトツールなどの常とう手段として、改ざんされた Web サイトを利用しています。「Stealrat」などのスパムボッ

トは、自身の不正活動を隠ぺいするため、改ざんされた Web サイトを利用していることが確認されました。7


国名割合

米国 23%

ブラジル 16%

日本 12%

インド 6%

オーストラリア 3%

フランス 3%

ドイツ 2%

ベトナム 2%

台湾 2%

メキシコ 2%

その他 29%

米国とブラジルが、オンライン銀行詐欺ツールによる感染被害が最も多い国内としてランクインしていま

す。一方、日本が前四半期の第 5 位から今四半期は第 3 位に上昇しています。これは、主に不正プログ

ラム「Citadel」の感染増加に起因しています。



ユーザはどのようにして改ざんされた Web サイトに誘導されるか

「BKDR_FIDOBOT」に関するトレンドマイクロの調査から、Web サイト改ざんの規模についてその一端を垣間

見ることができました。このバックドア型不正プログラムは、「Joomla! ™」や「WordPress」上で動いている

Web サイトへブルートフォース（総当たり）攻撃で侵入し、1 日あたり 1 万 7000 以上のドメインへの攻撃に

使用されていました。8 影響を受けた Web サイトのほとんどは、個人もしくは中小企業が所有し、米国内で

稼働するサイトでした。

8 http://blog.trendmicro.com/trendlabs-security-intelligence/joomla-and-wordpress-sites-under-constant-attack-from-botnets/

改ざんされたWebサイト1に送信されたデータは、スパムメールのテンプレート作成に使用される

改ざんされたWebサイト2へのリンクを含んだスパムメールをユーザが受信する

注：「スパムデータ」には、バックアップメールサーバのURLや、送信者の名前、受信者のメールアドレス、スパムメールのテンプレート等が含まれている。

スパムサーバから「スパムデータ」が収集され、改ざんされたWebサイト1に送信される



不正プログラムの手口巧妙化とネットワークの隠ぺい

今四半期もう 1 つ注目すべき不正プログラムは「EXPIRO」です。9 この不正プログラムは 2010 年に始めて確

認され、ファイル感染をすることで知られていましたが、今四半期登場した最近の亜種は、FTP の認証情報を

窃取していました。また、7 月の攻撃で利用された「EXPIRO」の亜種は、エクスプロイトキット「Styx Exploit

Kit」を用いて拡散していました。10

不正プログラム「MEVADE」が 8 月下旬、特定サイトへの接続を広範に拡大させるために匿名通信システム「The

Onion Router （Tor）」のコンポーネントをダウンロードするのを確認しました。11 同時期に Tor のユーザ数が

増大したという報告もこれに起因していると考えられます。12 Tor により、サイバー犯罪者はコマンド＆コント

ロール（C&C）サーバを効果的に隠ぺいできます。Tor で秘匿されたサービスを閉鎖させることは実質不可能

です。「MEVADE」は、Adobe® Flash® Player の更新版を装ったダウンローダを介して、特定のアドウェアと共

に拡散します。13

人気のオンライン銀行詐欺ツールが確認された時期

9 http://blog.trendmicro.co.jp/archives/754010 http://blog.trendmicro.co.jp/archives/755411 http://blog.trendmicro.co.jp/archives/779612 https://lists.torproject.org/pipermail/tor-talk/2013-August/029582.html13 http://blog.trendmicro.co.jp/archives/7806

今四半期は、2006 年に発生していたツールキット「ZeuS」が話題になるなど、オンライン銀行を狙う不

正プログラムの再来を確認しました。

2006年 2007年 2009年 2011年2010年 2013年

ZeuS Gozi

Carberpand

SpyEye

Cridex,Shylock,Tatanga,

Ice IX,and

Citadel

Tinba,Zitmo,

andSpitmo KINS



2013 年が終わりを迎える前に、Android 端末ユー

ザを狙った不正・高リスクアプリの数が累計 100 万

個に到達しました。これらのアプリの 80％が「プレ

ミアムサービス悪用」に代表される不正アプリです。

「プレミアムサービス悪用」とは、ユーザの端末か

ら本人が気づかないところで特定の番号にテキスト

メッセージ（SMS）を送信し、高額の利用料が発生

するプレミアムサービスにユーザを登録します。こ

のような種類の不正アプリは特にロシアで蔓延して

おり、いわゆる “標準とされる” アプリストアがロシ

アに存在していないことがその要因だと考えられま

す。14

残りの 20％は高リスクアプリが占め、その中には、

ユーザへ広告を執拗に表示するアプリ（アドウェア）

も含まれています。これらのアドウェア感染も、最

終的にはユーザの端末関連情報の窃取などの不正

活動に至ります。

14 http://blog.trendmicro.com/trendlabs-security-intelligence/connecting-the-dots-fake-apps-russia-and-the-mobile-web/

Android 端末を狙う不正プログラムの増加

0

50万

100万 82万7月

85万8月 100万

9月

不正・高リスクアプリの数は、7 月から 8 月にか

けて徐々に増加し、9 月に入り一気に 100 万個

に到達しました。

モバイルの脅威

不正・高リスクアプリが累計 100 万個に到達



Android 端末向け不正プログラムを脅威タイプ別に分類

Android 端末向け不正プログラムファミリ：トップ 10

0

20%

40%

60% 55%

27%22% 12%

9%2%

プレミアムサービス悪用

アドウェア情報窃取バックドア／リモートコントロール

不正プログラムのダウンロード

ハッキングツール

前四半期と同様、「プレミアムサービス悪用」が今四半期も半分以上を占めています。アドウェアの数も

今四半期、第 2 位に返り咲きました。

OPFAKEFAKEINSTGOYEARGINMASTERJIFAKEMSEGADPANDAADTGPTTBOXERSMSREGその他

27%24%10%7%6%4%3%3%2%2%12%

1.2.3.4.5.6.7.8.9.10.



クロスプラットフォームの脅威

不正アプリの危険性に加え、モバイル端末はプラットフォームの種類に関係なく影響のある脅威にも直面しま

した。偽の「WhatsApp」メールはそのひとつで、モバイル端末で本文中のリンクをクリックすることで、「プ

レミアムサービス悪用」アプリをホストしているサイトに誘導されます。15 複数のプラットフォームを狙った脅

威がモバイル端末を狙うのは今回が初めてではありません。しかし今回のケースでは、Blackhat の検索エンジン

最適化（SEO）やソーシャルメディア悪用という “直接的な” アプローチに代わり、攻撃者が敢えてスパムメー

ルを利用した点が特筆に値します。

クロスプラットフォームの脅威でもう 1 つ注目すべき点は、モバイル端末向けに作成されたフィッシングサイト

の増加です。実際、2013 年 1 月から 9 月にかけて収集したデータに基づき、この種のサイトが昨年の同時期

と比較して 53％増加したことを確認しました。しかも今四半期、その内の 43％が銀行やその他の金融機関の

なりすましサイトでした。16

モバイルセキュリティを悩ませる脆弱性の悪用

前四半期に報じられた「マスターキー」脆弱性の発見では、正規アプリに不正コードを挿入して ” 更新” する

ことでほぼ全ての Android 端末へ影響を与える手法をサイバー犯罪者が発見した点が注目されました。今四

半期は、有名なオンライン銀行アプリのトロイの木馬化バージョンという形でこの脆弱性が悪用されているの

を確認しました。17

7 月に実施された The Black Hat サイバーセキュリティカンファレンスでは、モバイルセキュリティに関するその

他の問題点も議論されました。攻撃者によるデジタルキー取得が可能になる SIM カードの欠陥が明らかにさ

れ、さらに Georgia Institute of Technology の研究者が、iOS の最新バージョンにおいて攻撃者による端末上

での不正コマンド実行を可能にする充電器の概念実証（POC）を披露しました。18


http://about-threats.trendmicro.com/us/mobile/monthly-mobile-review/2013-08-mobile-banking-threats17 http://blog.trendmicro.co.jp/archives/764718 http://blog.trendmicro.co.jp/archives/7696



ユーザはどこで不正アプリや高リスクアプリに遭遇するか

「プレミアムサービス悪用」による不正活動

不正・高リスクアプリの 27% がアプリストアから発見されましたが、これらのアプリは不正な Web サイト

など別のソースでも確認されました。なお、上記のデータは、2010 年 8 月から 2013 年 9 月にかけて収

集された不正アプリ総数の 42％内における割合です。

Webサイト80%

アプリストア27%

その他1%

96% データの削除

92%メッセージの監視

14%所在地のトラッキング

48%コンタクトの閲覧

86%デフォルトメッセージの送信

96%がユーザのSDカード内データにアクセスできます。

92%がユーザのメッセージを読むことができます。

86%が事前に設定したメッセージを送信できます。

48%がユーザの連絡先リストを閲覧できます。

14%がユーザの所在地をトラッキングできます。

モバイル端末は、プレミアムサービスを悪用する不正アプリに感染すると、情報窃取等の脅威にも脆弱に

なります。この「プレミアムサービスを悪用」する不正アプリが今四半期もトップのモバイル関連の脅威

となっています。ここでは、2012 年 11 月から 2013 年 5 月までの調査において「プレミアムサービスを

悪用」する不正アプリがさまざまな方法で端末に感染できることを確認しています。



ソーシャル＆クラウドの脅威

Apple を狙うフィッシングが継続、政府発行 IDも標的に

ソーシャルメディアと個人情報を取り巻く最近の脅威や事例は、新しいタイプの “アイデンティティクライシス（身

分証明の危機）” を示していると言えます。インターネットユーザにとっては、自身の個人情報の管理とサイバー

犯罪者の手に渡るのをいかにして防ぐかが、依然として大きな課題です。

個人情報窃取を狙う多数の脅威の中でも今四半期は、Apple 製品のユーザを狙ったフィッシングサイト急増に

伴い、フィッシング詐欺が大きなインパクトを与えました。19

最初のフィッシングサイト急増は、2013 年 5 月の iOS 7 リリースの噂や、最近の Apple 製品やここ数カ月の進

展に関する喧騒によるものでした。続いてののフィッシングサイト急増は、2013 年 6 月から 7 月にかけての

iPhone 5c の噂によるものでした。9 月には iPhone の新モデルのリリースに伴いユーザの個人情報を狙ったス

パム活動も確認されました。20

Apple 関連フィッシングサイト数の推移


6000

5000

4000

3000

2000

1000

0

1月 2月 3月 4月 5月 6月 7月 8月 9月

2,500

1,900

4,100

1,800

5,800

300100500

300

Apple 関連のフィッシングサイトは、5 月の急増以降も引き続き増加しています。



モバイル向けオンライン銀行の利用者も、同様の

ソーシャルエンジニアリング手法と無縁ではありま

せん。トレンドマイクロでは、有名な金融機関に

なりすまし、利用者のログイン情報やメールアドレ

ス、さらに政府発行の各種 ID 等、重要情報を収集

するように設計されたフィッシングサイトも確認しま

した。21

ソーシャルメディア上のセキュリティ脅威も今四半

期は引き続いており、中でも注目すべきは、ソーシャ

ルメディアのヘビーユーザを狙った攻撃です。Free

Followers 詐欺は、偽の「フォロワー」、「いいね」、「リ

ツイート」の提供を騙り、いかにしてサイバー犯罪

者が一儲けをしていたかを示しています。 22


ソーシャルメディアを狙った脅威は今四半期、Free

Followers 詐欺だけに限りません。偽のビデオプレー

ヤーに偽装した不正プログラムもソーシャルネット

ワーキングサイト上で確認されました。この不正プ

ログラムは、インストールされると、Facebook や

Google+、Twitter 等のソーシャルメディアのアカウン

トを乗っ取ります。23 また今四半期は、Facebook

や Twitter のハッキングツール提供をうたうサイトへ

ユーザを誘い、同時にアンケート詐欺にひきこむよ

うな偽 Twitter アカウントの急増も確認しました。24

セキュリティに関するこうした問題の一方で、オンラ

イン上のアカウント管理に関する前向きな動きもは

じまりました。暗証番号による端末ロック解除より

も簡単なセキュリティツールとして、iPhone 5s に搭

載された指紋認証機能があげられます。25 Apple

のこうした試みは賞賛に値するものの、これでセキュ

リティの対策が万全になると考えるべきではありま

せん。各ユーザのセキュリティに対する意識や行動

が鍵である点は変わりません。

23 http://blog.trendmicro.co.jp/archives/760524 http://blog.trendmicro.co.jp/archives/797825 http://blog.trendmicro.com/trendlabs-security-intelligence/fingerprint-

scans-passwords-and-managing-online-accounts/

ソーシャルエンジニアリングで多用されたトピック

SUMMERMOVIES

PLANTS vs.ZOMBIES

WHATSAPPROYAL BABY

ENDER’S GAME

iPHONE 5s and 5c

OBAMACARE



脆弱性とエクスプロイト

Java 6 の脆弱性をエクスプロイトで利用、古いバージョンが依然標的に

複数のゼロデイ攻撃事例が発生した年初以降、

Java 関連の脆弱性は、依然として深刻な関心事と

なっています。Java 6 に存在する脆弱性が今四半期、

エクスプロイトキット「Neutrino」に利用されてい

たことを確認しています。2627 Oracle はこのバー

ジョンへのサポートを終了しているため、影響を受

けるすべてのソフトウェアに対して、最近特定され

たバグへの対応も含め、セキュリティアップデート

や修正パッチ等が提供されることはありません。さ

らに悪いことには、Oracle によるこのサポート終了

のアナウンスは、最近確認された 31 に及ぶ脆弱性

に対しても、修正パッチ等が提供されないことも意

味します。

2013 年 9 月 10 日（米国時間）の定例セキュリティ

情報の公開から 1 週間後、Internet Explorer（IE）

の最新バージョンにも影響を与えるゼロデイ脆弱性

が確認され、28 Microsoft は、修正ツールを緊急リ

リースしました。

26 http://blog.trendmicro.co.jp/archives/777327 http://blog.trendmicro.co.jp/archives/687428 http://blog.trendmicro.co.jp/archives/7861

Apache Struts に関するトレンドマイクロの調査で

も明らかなとおり、29 旧来の脆弱性は攻撃者にとっ

て格好の標的になります。この調査では、Apache

Struts の旧バージョンに存在する不具合を利用する

自動エクスプロイトツールが（不具合が周知されて

からわずか 3 日後に）中国のアンダーグラウンドで

作成されていたことを明らかにしました。

攻撃者は、エクスプロイトキットが仕掛けられた

Web サイトのセキュリティ関係者による調査、解析

を避けるためにいくつかの手法を利用します。もっ

とも基本的な手法は、セキュリティ関係者の利用す

る IP アドレスのブラックリスト化です。また、より

巧妙な手法として攻撃者の持つデータベースの仕

組みがあります。攻撃者の Web サイトに対し、セ

キュリティ関係者がアクセスすると、そのアクセス

は攻撃者のバックエンドのデータベースに記録され

ます。次回、セキュリティ関係者が攻撃者の別の

Web サイトへ接続しようとすると、バックエンドの

データベースの記録を照会し、セキュリティ関係者

によるアクセスを遮断するのです。30




エクスプロイトキットは、いかにしてセキュリティ関係者の追及を逃れるのか

セキュリティ関係者バックエンドデータベース

不正なWebサイトB

不正なWebサイトA

URL A をクローリングする

1 IPアドレスがデータベース内にあるか確認する

2

IPアドレスがデータベース内にない場合

3サイトが読み込まれる

4

URL Bをクローリングする

5 IPアドレスがデータベース内にあるか確認する

6

IPアドレスがデータベース内にある場合

7サイトが読み込まれない

8

※攻撃者は、セキュリティ関係者が使用しているはずだとするIPアドレスのリストを保持し、これらからのアクセスをブロックする



サイバー攻撃

2007 年から続くSykipot キャンペーン、標的と攻撃手法を変化させ再登場

持続的標的型攻撃のキャンペーン（作戦活動）は、依然として政府機関や大手組織、企業など、さまざまな

標的をターゲットにしています。攻撃の主な目的は、標的からの情報窃取や情報流出です。その中で最近いく

つかの変化を示したキャンペーンが「Sykipot」です。

キャンペーン「Sykipot」は 2007 年に初めて確認され、当初はとりわけ通信やコンピュータ、政府、航空宇宙

などの業界を標的にしており、今日もその活動は続いています。31 トレンドマイクロでは、このキャンペーン

の攻撃手法に関して、識別用情報の更新やドライブ・バイ・エクスプロイト、DLL/ プロセス・インジェクション

などの利用といったいくつかの変化を確認しました。また、従来の標的に加え、新たに民間航空会社の情報

をターゲットにしています。

トレンドマイクロでは、持続的標的型攻撃をモニタリングする中で、旧来の脆弱性がスピアフィッシングメー

ルで利用されていることも確認しています。広く利用されている脆弱性は「MSCOMCTL.OCX RCE」で、脆弱性

「CVE-2012-0158」としても知られており、Microsoft では 2012 年 4 月から「MS12-027」として対応していた

脆弱性です。32

Apache Struts 最新バージョンがリリースされる一方で、トレンドマイクロでは、旧バージョンの脆弱性を悪用

する自動エクスプロイトツールがアンダーグラウンドで販売されていたことも確認しています。またアジア地域

でも、これらの脆弱性を悪用する持続的標的型攻撃を確認しました。

「.PKZIP」や「.MIME」は、スピアフィッシングメールを介して攻撃する際に攻撃者が最もよく利用したファイル

形式でした。文書や表計算のファイル形式も、標的のネットワークに初期潜入する際に利用されていました。

31 http://blog.trendmicro.com/trendlabs-security-intelligence/sykipot-now-targeting-us-civil-aviation-sector-information/32 http://about-threats.trendmicro.com/vulnerability.aspx?language=jp&name=MSCOMCTL.OCX%20RCE%20Vulnerability%20%28CVE-2012-0158%29



持続的標的型攻撃のスピアフィッシングメールで使用されたファイル形式一覧

政府機関が今四半期も持続的標的型攻撃のターゲットのトップを占めており、通信や IT ソフトウェア関連企業

が次に続いています。大手企業は、持続的標的型攻撃の被害を回避するためにも自社ネットワークの強化が

必要です。

0 10% 20% 30% 40% 50%

7月

8月

9月

MIME

PKZIP

RAR

RTF

PPS/PPT

DOC

EXE/DLL

XLS

ZIP

PDF



別表スパムメールの言語：トップ 10

スパムメールを送信する国：トップ 10

英語中国語日本語ドイツ語ロシア語ポルトガル語スペイン語フランス語アイスランド語トルコ語その他

89.39%2.49%1.88%0.95%0.70%0.24%0.16%0.08%0.07%0.05%3.99%

1.2.3.4.5.6.7.8.9.10.

世界規模で最もよく使用されることから、英語がスパムメール送信者が最も好む言語となっています。

米国アルゼンチンイタリアスペインインド台湾コロンビアペルーメキシコドイツその他

9.16% 6.71% 6.69% 6.45% 6.16% 4.31% 4.26% 3.97% 3.82% 3.27%

45.20%

1.2.3.4.5.6.7.8.9.

10.

スパム使用言語とも一致し、米国が最も多くのスパムメールを送信した国としてトップに位置しています。

アルゼンチン、コロンビア、メキシコ、ペルーなど南アメリカの国々、さらにスペインもトップ 10 入りし

ています。



月別で検出されたボットネットへの接続数

不正な Web サイトの設置国：トップ 10

ボットネットへの接続数は、7 月に増加して 8 月に若干減少したものの、9 月に再び増加しています。

7月

8月

9月

200万0 400万 600万 800万 1000万 1200万 1400万

1390万

1270万

1070万

国名割合

1 米国 24%

2 オランダ 3%

3 中国 3%

4 ドイツ 3%

5 フランス 3%

6 韓国 2%

7 イギリス 2%

8 ロシア 1%

9 日本 1%

10 カナダ 1%

その他 57%

前四半期と同様、今四半期も大部分の不正 URL は米国に設置されたもので占められています。



不正な Web サイトへのアクセス元の国：トップ 10

ボットネットに接続したコンピュータの数が最も多い国：トップ 10

国名割合

1 米国 35%

2 日本 14%

3 中国 7%

4 インド 4%

5 台湾 4%

6 韓国 4%

7 ドイツ 3%

8 オーストラリア 3%

9 ロシア 2%

10 イギリス 2%

その他 22%

米国のユーザが今四半期、最も多くの不正 URL にアクセスしていました。

国名割合

1 米国 25%

2 マレーシア 19%

3 ポルトガル 4%

4 ロシア 4%

5 カナダ 4%

6 韓国 4%

7 ベルギー 3%

8 コロンビア 2%

9 ドイツ 2%

10 オランダ 2%

その他 31%

米国が今四半期も、ボットネットへの最も多くの接続がなされた国となっています。前四半期に第 1 位で

あったマレーシアは、政治状況が安定したためか第 2 位となっています。



不正アプリをダウンロードするリスクが最も高い国：トップ 10

1

23

5

6

7

9

104

8

13%10%9%7%5%4%4%4%3%3%

ウクライナミャンマーリビアナイジェリアベトナムロシアアルゼンチンアンティグア・バーブーダカナダインド

1.2.3.4.5.6.7.8.9.10.

前四半期に第 1 位であったサウジアラビアはトップ 10 圏外にダウンし、ウクライナが今四半期のトップと

なっています。この傾向は、東欧におけるスマートフォン普及に起因しているといえます。ナイジェリア

やアルゼンチンにおけるモバイル端末利用の増加も、同じくこれらの国がランクインした理由といえます。

ランキングは、スキャンしたすべてのアプリに対して「不正」と評価されたアプリのパーセンテージを国

別に比較して割り出しています。また、このランキング対象は、アプリへのスキャンが少なくとも 1 万回以

上確認された国に限定しています。



アプリ使用によるプライバシー侵害のリスクが最も高い国：トップ 10

1

2

3

5

67

9

104 8

26%20%11%10%9%7%7%7%7%6%

カザフスタンウガンダウクライナインドアルゼンチンフィリピンアンティグア・バーブーダタイカナダミャンマー

1.2.3.4.5.6.7.8.9.10.

カザフスタンやウガンダやウクライナが今四半期、「アプリ使用によるプライバシー侵害のリスクが最も高

い国」として新たにトップ 10 入りしました。これは、これらの国々でのスマートフォン普及に起因している

といえます。ランキングは、スキャンしたすべてのアプリに対して「不正」と評価されたアプリのパーセン

テージを国別に比較して割り出しています。また、このランキング対象は、アプリへのスキャンが少なくと

も 1 万回以上確認された国に限定しています。

TREND MICRO ™

本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。

トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず本書またはその一部を複製することは禁じられています。本書の作成にあたっては細心の注意を払っていますが、本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本書およびその記述内容は予告なしに変更される場合があります。

本書に記載されている各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。

〒 151-0053東京都渋谷区代々木 2-1-1　新宿マインズタワー大代表 TEL：03-5334-3600 FAX：03-5334-4008http://www.trendmicro.co.jp

TRENDLABSSM

フィリピン・米国に本部を置き、日本・台湾・ドイツ・アイルランド・中国・フランス・イギリス・ブラジルの 10 カ国 12 ヵ所の各国拠点と連携してソリューションを提供しています。

数カ月におよぶ厳しいトレーニングを経て最終合格率約 1% の難関を突破した、選びぬかれた 1,000名以上の専門スタッフが、脅威の解析やソリューションへの反映など、24 時間 365 日体制でインターネットの脅威動向を常時監視・分析しています。

世界中から収集した脅威情報を、各種レピュテーションデータベースや不正プログラム、迷惑メールなどの各種パターンファイルなど、グローバル共通のソリューションに随時反映しています。

サポートセンターの役割も兼ねる研究所として、お客様に満足いただけるサポート体制を整備し、より多くの脅威に迅速に対応しています。

Trend Micro Incorporated, a global leader in security software and solutions, strives to make the world safe for exchanging digital information. For more information, visit www.trendmicro.com.

©2013 by Trend Micro, Incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company names may be trademarks or registered trademarks of their owners.

Trend Micro Incorporated, a global leader in security software and solutions, strives to make the world safe for exchanging digital information. For more information, visit www.trendmicro.com.

©2013 by Trend Micro, Incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company names may be trademarks or registered trademarks of their owners.

Documents

止まらないオンライン詐欺の猛威...2013/11/07 · TrendLabs 2013年第3四半期セキュリティラウンドアップ 2 | セキュリティラウンドアップ総括