ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2008年4月度のランキングは、引き続きマルウェアファミリ「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち約8%を占めています。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
1. INF/Autorun [全体の約7.75%]
前回の順位:1位
INF/Autorunは、2008年4月度に検出された脅威全体のうち、7.75%近くを占めていました。INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBメモリなどのリムーバブルメディアにアクセスした時に自動実行されるプログラムについての情報が記述されています。autorun.infファイルをコピーしたり改ざんしたりするマルウェアは、ESET NOD32アンチウイルスでは汎用名の「INF/Autorun」で検出されます。
前回の順位:1位
INF/Autorunは、2008年4月度に検出された脅威全体のうち、7.75%近くを占めていました。INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBメモリなどのリムーバブルメディアにアクセスした時に自動実行されるプログラムについての情報が記述されています。autorun.infファイルをコピーしたり改ざんしたりするマルウェアは、ESET NOD32アンチウイルスでは汎用名の「INF/Autorun」で検出されます。
2. Win32/PSW.OnLineGames [全体の約6.20%]
前回の順位:16位
これは、キーロガーとrootkitの機能を備えたトロイの木馬で、オンラインゲームに関する情報(ユーザーIDなど)を収集します。収集された情報は、攻撃者のリモートPCに送信される場合があります。
前回の順位:16位
これは、キーロガーとrootkitの機能を備えたトロイの木馬で、オンラインゲームに関する情報(ユーザーIDなど)を収集します。収集された情報は、攻撃者のリモートPCに送信される場合があります。
3. Win32/Adware.Virtumonde [全体の約3.58%]
前回の順位:3位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)のファミリで、対象のPCに広告を配信するために使用されます。多くの場合、このアプリケーションが動作している間、PCはほとんど使用不能の状態になります。Virtumondeファミリは、若干の変更を加えた亜種が次々と出現しています。また容易には駆除できないよう工夫が施されており、システムにダメージを与えることなく削除することは困難となっています。
前回の順位:3位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)のファミリで、対象のPCに広告を配信するために使用されます。多くの場合、このアプリケーションが動作している間、PCはほとんど使用不能の状態になります。Virtumondeファミリは、若干の変更を加えた亜種が次々と出現しています。また容易には駆除できないよう工夫が施されており、システムにダメージを与えることなく削除することは困難となっています。
4. Win32/Adware.Virtumonde.FP [全体の約2.93%]
前回の順位:7位
これはVirtumondeの亜種の1つで、Virtumondeファミリの中でも特に多く検出されています。ESETでは、この種のプログラムをユーザーにとって好ましくない動作をする可能性のあるアプリケーションと見なしています。システムに侵入したVirtumonde.FPは、複数のウィンドウを開いてさまざまな種類の広告を表示します。
前回の順位:7位
これはVirtumondeの亜種の1つで、Virtumondeファミリの中でも特に多く検出されています。ESETでは、この種のプログラムをユーザーにとって好ましくない動作をする可能性のあるアプリケーションと見なしています。システムに侵入したVirtumonde.FPは、複数のウィンドウを開いてさまざまな種類の広告を表示します。
5. Win32/Adware.SearchAid [全体の約2.64%]
前回の順位:2位
この種のアドウェアプログラムはブラウザでポップアップ広告を表示するために使用され、別のアプリケーションのライセンス要件の一部としてインストールされるという特徴があります。
前回の順位:2位
この種のアドウェアプログラムはブラウザでポップアップ広告を表示するために使用され、別のアプリケーションのライセンス要件の一部としてインストールされるという特徴があります。
6. Win32/IRCBot.AAH [全体の約1.63%]
前回の順位:6位
IRCBot.AAHマルウェアファミリはPCを乗っ取るために使用される脅威ですが、複数のハッカーによって使用されている可能性があります。このマルウェアは、IRCプロトコルを使用して攻撃者との通信を行います。C:\windows\system32\IEXPLORES.exeとして自分自身をコピーし、感染システムが起動するたびに自身が実行されるようにするレジストリキーを追加します。
前回の順位:6位
IRCBot.AAHマルウェアファミリはPCを乗っ取るために使用される脅威ですが、複数のハッカーによって使用されている可能性があります。このマルウェアは、IRCプロトコルを使用して攻撃者との通信を行います。C:\windows\system32\IEXPLORES.exeとして自分自身をコピーし、感染システムが起動するたびに自身が実行されるようにするレジストリキーを追加します。
7. Win32/Toolbar.MyWebSearch [全体の約1.61%]
前回の順位:4位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーションです。このアドウェアは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
前回の順位:4位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーションです。このアドウェアは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
8. Win32/Pacex.Gen [全体の約1.11%]
前回の順位:10位
Pacex.genというのは、特定の難読化手法を用いる悪意あるファイルの名称です。この種の手法は、パスワードを盗み出すトロイの木馬で主に使用されています。
前回の順位:10位
Pacex.genというのは、特定の難読化手法を用いる悪意あるファイルの名称です。この種の手法は、パスワードを盗み出すトロイの木馬で主に使用されています。
9. JS/TrojanDownloader.Small.JS [全体の約0.99%]
前回の順位:39位
ESET これは、JavaScriptベースのダウンローダ型トロイの木馬です。システムに侵入後、このトロイの木馬はさまざまな悪意のあるファイルをダウンロードして実行しようとします。
前回の順位:39位
ESET これは、JavaScriptベースのダウンローダ型トロイの木馬です。システムに侵入後、このトロイの木馬はさまざまな悪意のあるファイルをダウンロードして実行しようとします。
10. Win32/TrojanDownloader.Agent.KGV [全体の約0.97%]
前回の順位:5位
攻撃者は、このバックドアプログラムを利用して感染先のコンピュータを乗っ取ります。この脅威は、Webのフォームやcookieから情報を収集し、電子メール経由で攻撃者に送信します。
前回の順位:5位
攻撃者は、このバックドアプログラムを利用して感染先のコンピュータを乗っ取ります。この脅威は、Webのフォームやcookieから情報を収集し、電子メール経由で攻撃者に送信します。
マルウェアに関する最新ニュース
8月に米国ラスベガスで開催されるDefcon 16において「Race to Zero」というコンテストが開かれることになり、話題を呼んでいます。これは、ウイルス(悪意のあるコード)のサンプルを与えられた参加者が、特定のアンチウイルス製品によって検出されないようこれらのサンプルに手を加えていくというコンテストで、いち早くアンチウイルス製品の検出を免れることに成功した人物またはチームが勝者になるというものです。言うまでもなくこれは、プロのマルウェア作者がアンチウイルス製品を出し抜こうと常日頃行っている作業を「お遊び」としてコンテストにしたものですが、予想どおり、馬鹿げた試みであるとしてコンテストを非難する声がアンチウイルス業界の各方面から上がっています。コンテストの主催者は、アンチウイルス業界がこうした反応を見せることをおそらく織り込み済みであり、これを話題にしてコンテストの宣伝に一役買うことは本意ではありません。しかしこの問題は、無視してなかったことにすることが無意味なほど、すでに大きく取り上げられています。オンラインの世界には、「アンチウイルス研究者は愚か者ばかりで、自分たちのほうがよほど問題に詳しい」と考えているセキュリティマニアが数多く存在していますが、このコンテストもそうした考え方から企画されたものであるように思われます。そして残念ながら、まちがっているのは自分たちのほうであるということをこうした人々に理解してもらうには、事実を示すだけでは不十分なのです。
主催者側は、「リバースエンジニアリングやコード分析は楽しい作業であるということを示したいのだ」と主張しています。確かに、数百程度のサンプルに対してはそうかもしれません。しかし、コンテストの規定どおり悪意のある機能を残したままマルウェアのサンプルに変更を加えるということは、新たな亜種を作るということでもあります。良識のある研究者であれば、これを黙認することなどできないはずです。また一部には、「コンテストに参加し、コンテストから学ぶことをしなければ、アンチウイルス業界はせっかくの好機を見逃すことになる」と指摘する声もあります。しかし実際には、プロのマルウェア作者やアンチウイルス研究者が、このコンテストに最も魅力を感じるであろう自己顕示欲の強いスクリプトキディたちから何か学ぶことがあるとは思えません。結局のところこのコンテストは、独自の変更を加えたマルウェアを利用する粗雑な比較テストとでも言うべきものであり、そのような試みは過去にも存在していました。また、シグネチャベースのスキャナに検出されなくなるまでコードに変更を加え、スキャナによる検出を免れようとする手法も、われわれにとって目新しいものではありません。それゆえESETでは、アドバンスドヒューリスティックの改善とチューニングに膨大な時間を費やしているのです。もしDefconの主催者が、本当にわれわれに何かを教えたいと思うのなら、さらなるマルウェアを作り出すことではなく、マルウェアに対抗する新しい手段を生み出すことをコンテストで競うべきでしょう。
先ごろESETのスタッフは、AMTSO(Anti-Malware Testing Standards Organization)の会議に参加し、アンチウイルス製品のテスト標準の質をいかにして向上させるか、顧客やエンドユーザーがアンチウイルス製品の良し悪しを判断できるようにするにはどうすればよいかについて、非常に有意義な話し合いをしてきました。現在われわれはCAROのワークショップに参加している最中で、プロのマルウェア作者たちがどのように圧縮や難読化といった手法を用いて悪意のあるコードを隠ぺいしているかをテーマに、情報交換や議論を行っているところです。このトピックについては、次回に取り上げます。ともあれ、今週われわれが学んだことは、当社の製品をよりよいものにするために役立ってくれることでしょう。
主催者側は、「リバースエンジニアリングやコード分析は楽しい作業であるということを示したいのだ」と主張しています。確かに、数百程度のサンプルに対してはそうかもしれません。しかし、コンテストの規定どおり悪意のある機能を残したままマルウェアのサンプルに変更を加えるということは、新たな亜種を作るということでもあります。良識のある研究者であれば、これを黙認することなどできないはずです。また一部には、「コンテストに参加し、コンテストから学ぶことをしなければ、アンチウイルス業界はせっかくの好機を見逃すことになる」と指摘する声もあります。しかし実際には、プロのマルウェア作者やアンチウイルス研究者が、このコンテストに最も魅力を感じるであろう自己顕示欲の強いスクリプトキディたちから何か学ぶことがあるとは思えません。結局のところこのコンテストは、独自の変更を加えたマルウェアを利用する粗雑な比較テストとでも言うべきものであり、そのような試みは過去にも存在していました。また、シグネチャベースのスキャナに検出されなくなるまでコードに変更を加え、スキャナによる検出を免れようとする手法も、われわれにとって目新しいものではありません。それゆえESETでは、アドバンスドヒューリスティックの改善とチューニングに膨大な時間を費やしているのです。もしDefconの主催者が、本当にわれわれに何かを教えたいと思うのなら、さらなるマルウェアを作り出すことではなく、マルウェアに対抗する新しい手段を生み出すことをコンテストで競うべきでしょう。
先ごろESETのスタッフは、AMTSO(Anti-Malware Testing Standards Organization)の会議に参加し、アンチウイルス製品のテスト標準の質をいかにして向上させるか、顧客やエンドユーザーがアンチウイルス製品の良し悪しを判断できるようにするにはどうすればよいかについて、非常に有意義な話し合いをしてきました。現在われわれはCAROのワークショップに参加している最中で、プロのマルウェア作者たちがどのように圧縮や難読化といった手法を用いて悪意のあるコードを隠ぺいしているかをテーマに、情報交換や議論を行っているところです。このトピックについては、次回に取り上げます。ともあれ、今週われわれが学んだことは、当社の製品をよりよいものにするために役立ってくれることでしょう。
世界中のコンピュータから情報を収集するESETのThreatSense.Net
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、 それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。そのため、今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
この先進のプロアクティブな検出機能では、別のベンダーのセキュリティ製品では特定の名前で扱われている悪意あるプログラムを、新たな脅威として検出しない可能性があります。名前を付される前に、ヒューリスティックエンジンまたは汎用検出機能によって検出済みであるからです。実際に、今月度のThreatSense.NetRでレポートされたマルウェアランキングトップ10のうち、20パーセント以上はそのようなケースでした。世界の数百万台ものクライアントコンピュータから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。
ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピュータで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは1,000万台以上ものコンピュータから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。ThreatSense.Netは、動的かつリアルタイムなデータ収集/分析システムであるため、その統計結果は、情報を相関分析し、精度を高めることによって刻々と変化していきます。
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、 それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。そのため、今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
この先進のプロアクティブな検出機能では、別のベンダーのセキュリティ製品では特定の名前で扱われている悪意あるプログラムを、新たな脅威として検出しない可能性があります。名前を付される前に、ヒューリスティックエンジンまたは汎用検出機能によって検出済みであるからです。実際に、今月度のThreatSense.NetRでレポートされたマルウェアランキングトップ10のうち、20パーセント以上はそのようなケースでした。世界の数百万台ものクライアントコンピュータから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。
ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピュータで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは1,000万台以上ものコンピュータから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。ThreatSense.Netは、動的かつリアルタイムなデータ収集/分析システムであるため、その統計結果は、情報を相関分析し、精度を高めることによって刻々と変化していきます。