2008年6月 世界のマルウェアランキング

この記事をシェア
2008年6月の月間マルウェアランキング結果発表
 
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2008年6月度のランキングは、先月に引き続きマルウェアファミリの「Win32/PSW.OnLineGames」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち約13.12%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。

このレポーティングシステムの仕組みについては、本レポート末尾の「世界中のコンピュータから情報を収集するESETのThreatSense.Net」をご覧ください。
 
mal_graph0806.gif
 
1. Win32/PSW.OnLineGames [全体の約13.12%]
前回の順位:1位
Win32/PSW.OnLineGamesは、2008年6月度に検出された脅威全体のうち、約13.12%を占めていました。これは、キーロガーとrootkitの機能を備えたトロイの木馬ファミリで、オンラインゲームとそのユーザーIDに関する情報を収集します。収集された情報は、リモートのPCに送信される場合があります。このトロイの木馬の検出数は先月に比べると大幅に減少していますが、必ずしも感染件数が減っているわけではありません。
 
2. Win32/Adware.Virtumonde [全体の約4.90%]
前回の順位:2位
Adware.Virtumondeというのは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)のうち、対象のPCに広告を配信するために使用されるファミリを指す総称です。多くの場合、これらのアプリケーションは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示します。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。マルウェアの作者やその利用者にとってアドウェアは依然として大きな収益源となっており、トップ10には、Virtumonde、Toolbar.MyWebSearch、Adware.SearchAidという3つのアドウェアがランクインしています。
 
3. INF/Autorun [全体の約4.60%]
前回の順位:3位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをコンピュータに挿入した時に自動実行するプログラムについての情報が記述されています。
ESET NOD32アンチウイルスでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが既存のマルウェアファミリの亜種でない場合)。今日、リムーバブルメディアは広く普及しており、マルウェア作者もこれを認識しています。多くのマルウェアは自分自身をリムーバブルストレージメディアにコピーするため、比較的容易に検出することが可能です。

 
4. Win32/Pacex.Gen [全体の約2.59%]
前回の順位:4位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。この種の手法は、パスワードを盗み出すトロイの木馬で主に使用されています。「.gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
 
5. WMA/TrojanDownloader.Wimad.N [全体の約2.34%]
前回の順位:17位
この脅威の実体は、メディアブラウザを悪意のあるURLにリダイレクトし、アドウェアなどの悪質な追加コンポーネントをダウンロードするWindows Mediaファイルです。このダウンローダは、人気のある音楽ファイルを装ってピアツーピアネットワークで流通しています。
 
6. Win32/Toolbar.MywebSearch [全体の約2.03%]
前回の順位:6位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーションです。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
 
7. SWF/Exploit.CVE-2007-0071 [全体の約1.47%]
前回の順位:ランク外
これは、Adobe Flash Playerの9.0.115.0までのバージョンに存在する整数オーバーフローの脆弱性を悪用しようとする試みです。この脆弱性を悪用すると、特殊な形式のSWF(Shockwave Flash)ファイルを用いてリモートから任意のコードを実行することができます。SWFファイルは、アニメーション化したベクターグラフィックなどを表示するために使用されるマルチメディアファイルです。この脆弱性を修正したAdobe Flash Playerは、2008年4月8日に公開されています。脆弱性の詳細については、http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0071をご覧ください。
 
8. Win32/TrojanDownloader.Murlo.NN [全体の約:1.35%]
前回の順位:ランク外
これは、コンピュータにインストールされたあと、攻撃者の要求に応じて悪意あるコンポーネントを追加ダウンロードするトロイの木馬を指す総称です。
この脅威は、%windows%ディレクトリにIEXPLORE.exeというファイルを作成し、Webブラウザ(現在のところFirefox、Opera、Internet Explorer)のプロセスにコードを挿入します。このコードを使用して、インターネットから追加ファイルがダウンロードされます。

 
9. Win32/Adware.SearchAid [全体の約1.22%]
前回の順位:5位
この種のアドウェアプログラムはブラウザでポップアップ広告を表示するために使用され、別のアプリケーションのライセンス要件の一部としてインストールされるという特徴があります。
 
10. Win32/Qhost [全体の約0.99%]
前回の順位:8位
このトロイの木馬ファミリのメンバーは、自分自身をWindowsの%system32%フォルダにコピーしたあと、DNSを介して指令サーバーと通信します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染マシンを乗っ取れるようにします。
このトロイの木馬は、感染マシンのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更しますが、多くの場合これは、感染マシンがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、あるサイトへのアクセスを別のサイトにリダイレクトしたりするために行われます。

 
よみがえるブートセクタ感染型ウイルス
 
ウイルスの先史時代を経験されていない方のためにまず説明しておくと、ブートセクタ感染型(BSI)ウイルスは、PCの起動時、Aドライブに挿入されている感染フロッピーディスクからハードディスクのブートセクタに感染を広げます。このフロッピーディスクは、ブータブルである必要はありません。BSIウイルスの全盛期には、フロッピーディスクがドライブに挿入されている場合でもハードディスクから起動が行われるようにするため、PCのCMOS設定を変更してハードディスクをデフォルトの起動ドライブにするべき、ということがよく言われていました。というのも、システムをシャットダウンしたとき、フロッピーディスクをドライブに入れたままにしてしまうことがしばしばあったからです。

最近のほとんどのスキャナでは、BSIウイルスは簡単に検出することができますが(実害はないとして、この種の古いウイルスを検出しないスキャナも存在します)、意外なことに、その感染自体を防ぐのはそれほど容易ではありません。システムのデフォルトの起動ドライブがフロッピードライブである場合、スキャナがスキャンを行える状態になった時点で既にBSIウイルスに感染してしまっているからです。またNT系のシステムでは、BSIウイルスがハードディスクに感染した場合、ある特定の問題が発生する可能性があります。

2008年の現在、BSIウイルスの何が問題なのかと思われる方もいらっしゃるかもしれません。ここでBSIウイルスを取り上げたのは、今月に入ってBSIウイルス「Stoned.Angelina」の感染についての問い合わせが当社に寄せられ、また昨年、同ウイルスに感染したMedion社のノートPCが大量に出荷されるという事件が起きていたからです。年代物のウイルスに感染した古いフロッピーディスクをどこかから持ち出し、適切な対策(フロッピードライブから起動しないようCMOS設定を変更するなど)を講じていない環境でそのディスクを使用するなどした場合、この種のウイルスに感染することは起こりえます。そして、これらのウイルスがサプライチェーンなどに入り込んだ場合には、甚大な被害が発生するかもしれないのです。この種の問題は、BSIウイルスに限定されません。同じく昨年には、Seagate社製のハードディスクにトロイの木馬のAutorunが混入するという事件も起きています。
 
VB100に対する批判について
 
すでにご存じかもしれませんが、ESETは今月、通算50個目のVB100アワードを獲得しました(このマイルストーンを達成したベンダーはESETが初めてです)。Virus Bulletin誌が主催するこのアワードは、「In the Wild」テストセットのウイルス(実際に感染報告があるウイルス)をすべて検出し、クリーンファイルのスキャンで誤検知をしないという2つの基準をクリアした製品に与えられます。ところが、ESETが50回目のVB100アワード獲得を達成した今回、この「不適切な」テストからの撤退をほのめかすベンダー1社とメディアから、WildListとVB100アワードに対する批判が出てきました。

われわれは、Virus Bulletinのテストにおいて継続的に結果を残していることを心から誇りに思っており、このテストが「不適切」であるとは考えていませんが、ESETのRandy Abramsが6月7日付のブログエントリ(http://www.eset.com/threat-center/blog/?p=125)で述べているように、本アワードおよびWildListが抱える限界について理解しておくことも重要です。

WildListには、世の中に拡散しているすべてのマルウェアが含まれているわけではなく、現時点ではウイルスしか含まれていません。WildList Organization(WLO)は以前から将来的な見直しを検討していますが、これが実現されたとしても、WLOの言う「In the Wild」は、「ある特定人物の手元にあるだけで、エンドユーザーのシステムには絶対に存在しないウイルス」の対語となる「何らかの形で拡散しているすべてのウイルス」を意味することにはならないでしょう。「WildCore(WildListに対応するサンプルセット)は網羅的でない、あるいは完全な最新版ではないので無意味だ」という主張は、的外れな批判です。WildCoreは網羅的でも完全な最新版でもありませんが、無意味ではありません。WildCoreには、実際に拡散していることが最近確認された検証済みのウイルスサンプルが含まれています。これよりもはるかに多くのサンプルを含むテストセットも存在し、その中には正規のテスターによって極めて有効に活用されているものもありますが、これらのテストセットにしても完全に網羅的というわけではなく(そもそも、既知のあらゆるマルウェアを含むサンプルセットとは一体どのようなものなのでしょうか)、またこうしたテストセットの場合、実際にはマルウェアではないサンプルが含まれる可能性がはるかに高くなります。VB100(あるいはその他の検出テスト)に合格した製品を使用したとしても、世の中に存在するあらゆるマルウェアから保護されるわけではありません。すべての主要ベンダーがそのサンプルを入手できるVB100は、優秀なスキャナであればほぼ常にパスするべき基本的なテストです。VB100には、マルウェアの可能性があるプログラムを手当たり次第に検出するような製品(このような製品が実際に存在するのです)が不当に高い評価を得ないようにする誤検知テストも用意されています。マルウェアの可能性があるすべてのプログラムを検出することも決して悪くありませんが、それによってユーザーが正規のソフトウェアを入手したり使用したりすることを妨げられることがあってはなりません。

アンチウイルス製品をテストすることは、ベンダーとユーザーの双方にとって重要なことです。AMTSO(http://www.amtso.org)はそのために結成されたのであり、ESETのリサーチチームはAMTSOでの活動にかなりの時間を割いています。短いレポートの中でこの問題を十分に論じることはできませんが、ご興味のある方は、ESETのDavid HarleyとAndrew Leeが執筆した論文
またわれわれは、この問題についての比較的長めの論考を『The AVIEN Malware Defense Guide』(Syngress発行)という書籍に寄稿していますので、こちらもご覧ください。このテーマについては、いずれまた取り上げることになるかと思います。
 
本レポートにおけるマルウェアの集計方法
 
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。本レポートにランキングされている脅威のほとんどは、汎用シグネチャによって検出されています。つまり、関連性がある複数の既知の脅威、さらに場合によっては新たに登場した亜種が同じ名前で検出されているということです。汎用シグネチャを使用する理由は、最近のマルウェアのほとんどの亜種は流通期間が短く、アンチマルウェアソフトウェアによって検出されるようになる前に次の亜種に取って代わられるため、亜種ごとに検出数を算出しても、現状を正しく反映したことにはならないからです。

マルウェアファミリを汎用シグネチャやヒューリスティック技術で検出した数値のほうが、現在の脅威の状況をより正確に表しています。ウイルス作者が、特定の亜種をできるだけ速く、そして広範囲に拡散させることに熱心だった数年前であれば、特定の亜種に焦点を当てることにも意味がありました。しかし、現在のマルウェア作者はそのようなアプローチを取っておらず、次々と新たな亜種を作り出しているのです。

この手法に関するご質問、または本レポートに関するその他のお問い合わせは、threatreports@eset.comまでお気軽にお寄せください。
 
ThreatSense.Netとは?
世界中のコンピュータから情報を収集するESETのThreatSense.Net

今日のアンチウイルスソリューションには、定義データベースの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。

必ずしも本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。世界の数百万台ものクライアントコンピュータから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。

ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピュータで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。

現在、統計データは1,000万台以上ものコンピュータから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。

 
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!