ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2008年5月度のランキングは、「Win32/PSW.OnLineGames」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち約18%を占めています(脅威の拡散状況をより正確に反映させるため、今月よりレポートの集計方法を若干変更しています。そのため今月の結果は、この変更の影響を受けている可能性があります)。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。また、レポートの集計方法の変更についても詳述します。
このレポーティング/追跡システムの仕組みについては、本レポート末尾の「世界中のコンピュータから情報を収集するESETのThreatSense.Net」をご覧ください。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。また、レポートの集計方法の変更についても詳述します。
このレポーティング/追跡システムの仕組みについては、本レポート末尾の「世界中のコンピュータから情報を収集するESETのThreatSense.Net」をご覧ください。
1. Win32/PSW.OnLineGames [全体の約17.97%]
前回の順位:2位
PSW.OnLineGamesというのは、キーロガーとrootkitの機能を備えたトロイの木馬ファミリを指す総称です。このトロイの木馬は、オンラインゲームに関する情報(ログイン情報など)を収集し、リモートの攻撃者に送信します。
前回の順位:2位
PSW.OnLineGamesというのは、キーロガーとrootkitの機能を備えたトロイの木馬ファミリを指す総称です。このトロイの木馬は、オンラインゲームに関する情報(ログイン情報など)を収集し、リモートの攻撃者に送信します。
2. Win32/Adware.Virtumonde [全体の約5.49%]
前回の順位:3位
Adware.Virtumondeというのは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)のうち、対象のPCに広告を配信するために使用されるファミリを指す総称です。多くの場合、これらのアプリケーションは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示します。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。
前回の順位:3位
Adware.Virtumondeというのは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)のうち、対象のPCに広告を配信するために使用されるファミリを指す総称です。多くの場合、これらのアプリケーションは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示します。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。
3. INF/Autorun [全体の約5.34%]
前回の順位:1位
NF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをコンピュータに挿入した時に自動実行するプログラムについての情報が記述されています。
ESET NOD32アンチウイルスでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが既存のマルウェアファミリの亜種でない場合)。INF/Autorunは、本レポートでは過去数か月間にわたってトップの座を維持しており、現在も数多く検出されています。今回第3位となったのは、今月度の1位と2位の脅威の集計方法が若干変更されたことが影響している可能性がありますが、ESETでは、個々の亜種やそのファミリがどれだけ拡散しているかを詳細に示すよりも、全体的な傾向を示すほうがより有意義であると考えています。
前回の順位:1位
NF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをコンピュータに挿入した時に自動実行するプログラムについての情報が記述されています。
ESET NOD32アンチウイルスでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが既存のマルウェアファミリの亜種でない場合)。INF/Autorunは、本レポートでは過去数か月間にわたってトップの座を維持しており、現在も数多く検出されています。今回第3位となったのは、今月度の1位と2位の脅威の集計方法が若干変更されたことが影響している可能性がありますが、ESETでは、個々の亜種やそのファミリがどれだけ拡散しているかを詳細に示すよりも、全体的な傾向を示すほうがより有意義であると考えています。
4. Win32/Pacex.Gen [全体の約1.65%]
前回の順位:8位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。この種の手法は、パスワードを盗み出すトロイの木馬で主に使用されています。「.gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
前回の順位:8位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。この種の手法は、パスワードを盗み出すトロイの木馬で主に使用されています。「.gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
5. Win32/Adware.SearchAid [全体の約1.64%]
前回の順位:5位
この種のアドウェアプログラムはブラウザでポップアップ広告を表示するために使用され、別のアプリケーションのライセンス要件の一部としてインストールされるという特徴があります。
前回の順位:5位
この種のアドウェアプログラムはブラウザでポップアップ広告を表示するために使用され、別のアプリケーションのライセンス要件の一部としてインストールされるという特徴があります。
6. Win32/Toolbar.MywebSearch [全体の約1.35%]
前回の順位:7位
Adware.Virtumondeと同様、これもユーザーにとって好ましくない動作をする可能性のあるアプリケーションです。MywebSearchは、検索の際にMyWebSearch.comを経由させて広告を表示する機能を備え、ツールバーとしてインストールされます。
前回の順位:7位
Adware.Virtumondeと同様、これもユーザーにとって好ましくない動作をする可能性のあるアプリケーションです。MywebSearchは、検索の際にMyWebSearch.comを経由させて広告を表示する機能を備え、ツールバーとしてインストールされます。
7. Win32/IRCBot.AAH [全体の約1.31%]
前回の順位:6位
IRCBot.AAHファミリはボットの一連の亜種で、通常はボット管理者が感染PCをコントロールするために使用されます。攻撃者は、IRCプロトコルを使用してこのマルウェアと通信し、これを制御します。このマルウェアは、C:\windows\system32\IEXPLORES.exeとして自分自身をコピーし、感染システムが起動するたびに自身が実行されるようにするレジストリキーを追加します。
前回の順位:6位
IRCBot.AAHファミリはボットの一連の亜種で、通常はボット管理者が感染PCをコントロールするために使用されます。攻撃者は、IRCプロトコルを使用してこのマルウェアと通信し、これを制御します。このマルウェアは、C:\windows\system32\IEXPLORES.exeとして自分自身をコピーし、感染システムが起動するたびに自身が実行されるようにするレジストリキーを追加します。
8. Win32/Qhost [全体の約:1.09%]
前回の順位:32位
Qhostというのは、感染マシンのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬を指す総称です。多くの場合、この改ざんは、感染マシンがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、あるサイトへのアクセスを別のサイトにリダイレクトしたりするために行われます。
前回の順位:32位
Qhostというのは、感染マシンのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬を指す総称です。多くの場合、この改ざんは、感染マシンがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、あるサイトへのアクセスを別のサイトにリダイレクトしたりするために行われます。
9. JS/TrojanDownloader.Wimad.N [全体の約0.76%]
前回の順位:ランク外
JS/TrojanDownloader.Wimad.Nは、典型的なトロイの木馬型ダウンローダで、Webサイトから別の悪意あるプログラムをダウンロードして実行/インストールしようとします。このダウンローダでは通常、MP3プレイヤーに偽装されたスパイウェアがダウンロードされます。
前回の順位:ランク外
JS/TrojanDownloader.Wimad.Nは、典型的なトロイの木馬型ダウンローダで、Webサイトから別の悪意あるプログラムをダウンロードして実行/インストールしようとします。このダウンローダでは通常、MP3プレイヤーに偽装されたスパイウェアがダウンロードされます。
10. Win32/Agent [全体の約0.75%]
前回の順位:5位
ESET NOD32アンチウイルスでは、感染PCからユーザー情報を盗み出す各種の悪意あるプログラムをこの汎用名で検出します。
通常、このマルウェアは自身を一時フォルダにコピーし、システムが起動するたびにこのファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびに悪意あるプロセスが実行されるようにします。
前回の順位:5位
ESET NOD32アンチウイルスでは、感染PCからユーザー情報を盗み出す各種の悪意あるプログラムをこの汎用名で検出します。
通常、このマルウェアは自身を一時フォルダにコピーし、システムが起動するたびにこのファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびに悪意あるプロセスが実行されるようにします。
マルウェアに関する最新ニュース
今月のレポートでは、一部脅威の集計方法が若干変更されています。具体的には、1位と2位の汎用シグネチャで検出される脅威(PSW.OnLineGames、Virtumonde)の数値には、これらファミリに属する複数の亜種の検出数が含まれるようになっています。
これは、これらの脅威が個別に検出されなくなったという意味ではありません。ESET NOD32アンチウイルスにおける脅威へのフラグの付け方が変更されたのではなく、レポートの集計方式が変更されたということです。このような変更を行ったのは、こちらの方式のほうが脅威の拡散状況を正確に反映しており、個々の脅威に着目するのは実態を見誤らせる可能性があると考えられるからです。詳細については、後述する「本レポートにおけるマルウェアの集計方法」をご覧ください。
さて、集計方法の変更とも多少関係する話ですが、ESETのリサーチチームに所属するPierre-Marc BureauとDavid Harleyが、今秋に開催されるVirus Bulletinカンファレンスで論文を発表します。論文のテーマは、マルウェアの命名方法とアンチマルウェアベンダーによる命名方法の妥当性についてです。この論文は、カンファレンス終了後にESETのWebサイトでも公開される予定です。今回はAndrew LeeとRandy Abramsも参加予定となっており、ESETの存在感が際立つカンファレンスとなりそうです。
先月もお伝えした、8月のDefcon 16で行われる予定の「Race to Zero」コンテストですが、引き続きESETのブログをはじめとする各所で議論となっています。「エンドユーザーには、アンチウイルス製品だけで完璧な防御ができるわけではないということを理解してもらう必要がある」という意見にはわれわれも同意します。しかし、すでに自明であることを証明するためにマルウェアを作成することが、だれにどのようなメリットをもたらすのか、という点については、われわれはまだ納得できていません。また、この問題に関する議論を個人攻撃のレベルにまで貶めることのできる、スラッシュドットに集まるセキュリティマニアたちにも驚かされます。
これは、これらの脅威が個別に検出されなくなったという意味ではありません。ESET NOD32アンチウイルスにおける脅威へのフラグの付け方が変更されたのではなく、レポートの集計方式が変更されたということです。このような変更を行ったのは、こちらの方式のほうが脅威の拡散状況を正確に反映しており、個々の脅威に着目するのは実態を見誤らせる可能性があると考えられるからです。詳細については、後述する「本レポートにおけるマルウェアの集計方法」をご覧ください。
さて、集計方法の変更とも多少関係する話ですが、ESETのリサーチチームに所属するPierre-Marc BureauとDavid Harleyが、今秋に開催されるVirus Bulletinカンファレンスで論文を発表します。論文のテーマは、マルウェアの命名方法とアンチマルウェアベンダーによる命名方法の妥当性についてです。この論文は、カンファレンス終了後にESETのWebサイトでも公開される予定です。今回はAndrew LeeとRandy Abramsも参加予定となっており、ESETの存在感が際立つカンファレンスとなりそうです。
先月もお伝えした、8月のDefcon 16で行われる予定の「Race to Zero」コンテストですが、引き続きESETのブログをはじめとする各所で議論となっています。「エンドユーザーには、アンチウイルス製品だけで完璧な防御ができるわけではないということを理解してもらう必要がある」という意見にはわれわれも同意します。しかし、すでに自明であることを証明するためにマルウェアを作成することが、だれにどのようなメリットをもたらすのか、という点については、われわれはまだ納得できていません。また、この問題に関する議論を個人攻撃のレベルにまで貶めることのできる、スラッシュドットに集まるセキュリティマニアたちにも驚かされます。
本レポートにおけるマルウェアの集計方法
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。本レポートにランキングされている脅威のほとんどは、汎用シグネチャによって検出されています。つまり、関連性がある複数の既知の脅威、さらに場合によっては新たに登場した亜種が同じ名前で検出されているということです。汎用シグネチャを使用する理由は、最近のマルウェアのほとんどの亜種は流通期間が短く、アンチマルウェアソフトウェアによって検出されるようになる前に次の亜種に取って代わられるため、亜種ごとに検出数を算出しても、現状を正しく反映したことにはならないからです。
マルウェアファミリを汎用シグネチャやヒューリスティック技術で検出した数値のほうが、現在の脅威の状況をより正確に表しています。ウイルス作者が、特定の亜種をできるだけ速く、そして広範囲に拡散させることに熱心だった数年前であれば、特定の亜種に焦点を当てることにも意味がありました。しかし、現在のマルウェア作者はそのようなアプローチを取っておらず、次々と新たな亜種を作り出しています。
この手法に関するご質問、または本レポートに関するその他のお問い合わせは、threatreports@eset.comまでお気軽にお寄せください。
マルウェアファミリを汎用シグネチャやヒューリスティック技術で検出した数値のほうが、現在の脅威の状況をより正確に表しています。ウイルス作者が、特定の亜種をできるだけ速く、そして広範囲に拡散させることに熱心だった数年前であれば、特定の亜種に焦点を当てることにも意味がありました。しかし、現在のマルウェア作者はそのようなアプローチを取っておらず、次々と新たな亜種を作り出しています。
この手法に関するご質問、または本レポートに関するその他のお問い合わせは、threatreports@eset.comまでお気軽にお寄せください。
世界中のコンピュータから情報を収集するESETのThreatSense.Net
今日のアンチウイルスソリューションには、定義データベースの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
必ずしも本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。世界の数百万台ものクライアントコンピュータから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。
ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピュータで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。
現在、統計データは1,000万台以上ものコンピュータから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。
今日のアンチウイルスソリューションには、定義データベースの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
必ずしも本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。世界の数百万台ものクライアントコンピュータから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。
ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピュータで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。
現在、統計データは1,000万台以上ものコンピュータから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。
