「.htaccess」改ざんで攻撃発見を遅らせる事例を確認--2月度レポート（トレンドマイクロ）

トレンドマイクロは、2012年2月度の「インターネット脅威マンスリーレポート」を発表した。2月には、感染コンピュータのFTPアカウントの情報を詐取する不正プログラム「TSPY_FAREIT」の亜種がランキングで上位となった。

脆弱性と脅威脅威動向

2012.3.6 Tue 15:53

トレンドマイクロ株式会社は3月6日、2012年2月度の「インターネット脅威マンスリーレポート」を発表した。2月には、感染コンピュータのFTPアカウントの情報を詐取する不正プログラム「TSPY_FAREIT」の亜種が不正プログラム検出数ランキングおよび不正プログラム感染被害報告数ランキングで上位となった。その後の調査により、「TSPY_FAREIT」はJavaの脆弱性を利用するように改ざんされた国内の正規サイト経由で感染するケースが確認された。また、WebサーバプログラムApacheの設定ファイル「.htaccessファイル」が改ざんされたと推測される攻撃により、結果的に偽セキュリティソフトがダウンロードされる事例が国内で確認された。

この事例では、GoogleやYahoo!といった検索サイトからアクセスした場合のみ、不正なサイトに誘導されるため、サイト管理者がブラウザのお気に入りやURLを入力して直接アクセスしたり、HTMLファイルだけをチェックしても改ざんの痕跡が見られず、攻撃に気づきにくいことが特徴となっている。国内の不正プログラム検出数ランキングでは、「HKTL_PASSVIEW」が先月の6位から5位にランクアップした。Windowsのアプリケーションのパスワードを修復するツールだが、コピー製品の悪用などに使用される可能性がある。日本国内の問い合わせ状況では、2月の不正プログラム感染被害の総報告数は665件で、1月の586件から減少している。1月に1位となったFTPクライアントの情報を詐取する「TSPY_FAREIT」が2月でも2位となっている。改ざんされた一部の国内正規サイト経由で「TSPY_FAREIT」に感染する事例も確認されており、以前のガンブラー攻撃のように猛威を奮う可能性も考えられるとしている。

《吉澤亨史（ Kouji Yoshizawa ）》