トレンドマイクロは、5月上旬に仕掛けられたハッキング攻撃「OpUSA」の要因を、攻撃者たちが前もって改ざんされたサイトを作り溜めすることで、大掛かりな攻撃を実行したと分析した。同社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」と攻撃者が利用する「Patebin」から得た情報を用いたという。

「OpUSA」は改ざんサイトの作り溜めで起きた--トレンドマイクロ分析
似通ったドメインを持つ改ざんサイトの例

OpUSA では、比較的知名度の低いサイトが改ざんおよび書き換えられた。改ざんされた URL には、パターンがあったという。「islam.php」「muslim.htm」「jihad.htm」「usa.htm」などの名前を持つファイルが頻繁にアップロードされていた。改ざんは、大規模攻撃があった5月7日より少なくとも2日前に行われていたという。攻撃者は改ざんサイトがまだ有効であるかどうかを確認していたと考えられる。

検出された不正なファイルのイベント数
検出された不正なファイルのイベント数

攻撃者たちは、直接確認することはせず、プロキシとして利用している感染 PC を介して確認行為を行い、不正プログラムによって感染被害をすでに受けた PC を使って、感染を拡大していったということだ。