トレンドマイクロは2013年2月18日、2012年に国内で確認した持続的標的型攻撃(APT)の傾向を公表した。2012年上半期は、攻撃に使われたウイルス(悪質なプログラム)の6割以上がPDFやDOCといった文書ファイルだったが、下半期には実行形式ファイル(EXEなど)のウイルスが7割以上に増加した。
ここでの持続的標的型攻撃とは、特定の企業や組織に対して、継続的に行われるサイバー攻撃のこと。多くの場合、攻撃者は標的とした企業や組織の従業員に対してウイルス添付メールを送信。ウイルスでパソコンを乗っ取り、機密情報を盗む。
同社では、攻撃に使われたメールを収集し、添付されていたウイルスの傾向などを調べた。その結果、上半期に収集した100件のサンプルのうち67件が文書あるいは画像ファイルだったという(図1)。
67件の内訳としては、Word文書ファイル(拡張子はdoc)が36件で最多。次いでPDFファイル(拡張子はpdf)が19件、Excel文書ファイル(拡張子はxls)が8件などだった(図2)。
これらのファイルには、オフィスソフトなどの脆弱性を悪用する仕掛けが施されている。このため、脆弱性のあるソフトで開くと、中に仕込まれたウイルスプログラムが動き出し、パソコンを乗っ取られるなどの被害に遭う。
一方、拡張子がexeの実行形式ファイルは30件と比較的少なかった。
ところが、2012年下半期になるとウイルスファイルの傾向が大きく変わり、文書ファイルと実行形式ファイルの割合がほぼ逆転した。同社が収集した200件のサンプルのうち、文書・画像ファイルの割合が27%まで低下し、実行形式ファイルが71%を占めた(図3)。
拡張子で見ると、全体の36%を占めていたWord文書(doc)形式のウイルスが、下半期には17%に減少し、19%を占めていたPDF形式(pdf)のウイルスはわずか2.5%になった(図4)。
文書ファイルのウイルスが減少した理由としてトレンドマイクロでは、オフィスソフトなどのセキュリティが強化されているためだとみている。以前と比べて、脆弱性を悪用しにくい状況になっているとする。
例えば、主要なPDFファイル閲覧ソフトであるAdobe Readerは、2010年11月にリリースされたAdobe Reader Xでセキュリティ機能を大幅に強化。「保護モード」と呼ばれるサンドボックス機構を備え、脆弱性を悪用された場合でもウイルス感染被害を最小限に抑えられるようにした。このようなセキュリティ強化の影響が、現れ始めたと推測している。
そして、文書ファイルのウイルスが減少した結果、脆弱性のないパソコンでも動作する実行形式ウイルスの割合が大きくなった。
