国内100社以上で感染、「mstmp」などのファイル名で拡散する不正プログラム

　トレンドマイクロ株式会社は22日、「mstmp」や「lib.dll」といったファイル名で拡散する不正プログラムが出回っているとして注意喚起した。同社には14日以降、日本国内の企業100社以上から感染被害の報告が寄せられており、日本を標的とした攻撃である可能性も考えられるという。

　トレンドマイクロによれば、攻撃の大まかな流れは以下の通り。

1）ユーザーが改ざんされた正規ウェブサイトを閲覧
2）正規サイト内に仕掛けられたコードによって不正サイトへリダイレクト
3）不正サイトから、Javaの脆弱性を悪用する不正プログラム「JAVA_AGENT.P」「JAVA_AGENT.O」をダウンロード
4）「JAVA_AGENT.P」「JAVA_AGENT.O」が「TROJ_DLOAD.SMAB」をダウンロード
5）「TROJ_DLOAD.SMAB」が「TROJ_DLOAD.SMAD」を作成
6）「TROJ_DLOAD.SMAD」が「TROJ_DROPPER」ファミリーの不正プログラムをダウンロード
7）「TROJ_DROPPER」ファミリーの不正プログラムが「TROJ_EXEDOT.SMA」を作成
8）さらに、「TROJ_EXEDOT.SMA」が不正なウェブサイトへ通信

攻撃の流れ

　なお、攻撃の一連の流れの中で、「TROJ_DLOAD.SMAB」によって作成される「TROJ_DLOAD.SMAD」が、「mstmp」というファイル名であることが確認されている。

　また、「TROJ_DROPPER」ファミリーの不正プログラムによってダウンロードされる「TROJ_EXEDOT.SMA」が「lib.dll」といったファイル名であったことから、「mstmp」や「lib.dll」がどのようなファイルであるのか疑問を持ったユーザーにより、Googleなどの検索エンジンのキーワード検索ランキングでも一時上位に上がっていたという。

　トレンドマイクロによれば、Javaの脆弱性を悪用していることが明らかになっているというが、ユーザーが不正なウェブサイトを閲覧した時点で、ユーザーの環境にどのような脆弱性が存在するかを確認し、異なる不正プログラムが送り込まれるケースも確認しているという。

　具体的には、ユーザー環境の脆弱性によっては「ガンブラー」攻撃でも使用された偽セキュリティソフト「Security Tool」が送り込まれていた。ガンブラー攻撃との違いは、使用されている不正プログラムがより巧妙になっている点で、「mstmp」というファイル名で送り込まれる「TROJ_DLOAD.SMAD」では、数多くのバイナリファイルが確認された。

　また、今回の攻撃で用いられる不正プログラムの多くは、「難読化」や「アンチデバッギング」と呼ばれる手法により、ウイルス解析を困難にしていることも特徴だとしている。

　トレンドマイクロでは「攻撃の最終的な意図は不明」としているが、正規サイトの改ざんを端緒とした「ウェブからの脅威」は巧妙化を続けていると指摘。ユーザーに対しては、「OS、アプリケーションを最新の状態にする」「最新バージョンのセキュリティソフトを導入し、最新の状態に保つ」という2点を改めて徹底するよう呼びかけている。