2008年7月 世界のマルウェアランキング

この記事をシェア
2008年7月の月間マルウェアランキング結果発表
 
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2008年7月度のランキングは、引き続きマルウェアファミリの「Win32/PSW.OnLineGames」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち約12.72%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。

このレポーティングシステムの仕組みについては、本レポート末尾の「世界中のコンピューターから情報を収集するESETのThreatSense.Net」をご覧ください。
 
mal_graph0807.gif
 
1. Win32/PSW.OnLineGames [全体の約12.72%]
前回の順位:1位
Win32/PSW.OnLineGamesは、2008年7月度に検出された脅威全体のうち、約12.72%を占めていました。これは、キーロガーとrootkitの機能を備えたトロイの木馬ファミリで、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかを認識しておく必要があります。この種のゲームや仮想空間では、単なる嫌がらせや無意味な疑似ウイルス攻撃(Second Lifeに出現したGrey Gooなど)だけでなく、現実世界での金銭的被害を引き起こすフィッシングなどの詐欺行為にも注意しなければなりません。
このようなフィッシング詐欺は、アカウント情報やゲームのアイテムを盗み出し、ブラックマーケットやeBayで売りさばくことを目的としています。
本レポートと同時期に公開される予定の「ESET Mid-Year Global Threat Report」では、ESET Malware Intelligenceチームがこの問題を詳しく解説しています。

 
2. INF/Autorun [全体の約4.68%]
前回の順位:3位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをコンピューターに挿入した時に自動実行するプログラムについての情報が記述されています。
ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアは広く普及しており、マルウェア作者もこのことを十分認識しています。そしてこの事実は、エンドユーザーにとっても大きな意味を持っています。WindowsのAutorunは、リムーバブルメディアをコンピューターに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため、メインの拡散手段ではないにしても、自分自身をリムーバブルストレージデバイスにコピーする機能をマルウェアに追加する作者は多く、現在では、さまざまな種類のマルウェアがこの機能を備えるようになっています。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように、ESETの製品を含め、アンチウイルススキャナに頼らずに済む対策を実施したほうがより安全であると言えます。この問題についても、「ESET Mid-Year Global Threat Report」で詳しく解説しています。

 
3. Win32/Adware.Virtumonde [全体の約4.41%]
前回の順位:2位
Adware.Virtumondeというのは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)のうち、対象のPCに広告を配信するために使用されるファミリを指す総称です。多くの場合、これらのアプリケーションは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示します。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。
マルウェアの作者らにとってアドウェアは依然として大きな収益源となっており、トップ10には、VirtumondeとToolbar.MyWebSearchという2つのアドウェアが長期的にランクインしています。

エンドユーザーへの影響
Virtumondeは、ベンダーとユーザーの双方にとって、「アドウェア」や「好ましくない動作をする可能性のあるアプリケーション」といったカテゴリ名から受ける印象よりもはるかに厄介な存在となっています。このVirtumondeについては、本レポート後半のコラム「Virtumonde:招かれざる長居の客」でも取り上げています。
 
4. Win32/Pacex.Gen [全体の約2.88%]
前回の順位:4位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とは言え、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることのほうが重要であるのは言うまでもありません。
 
5. Win32/Toolbar.MywebSearch [全体の約2.31%]
前回の順位:6位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。アドウェアやスパイウェアの被害に遭わないためには、文字が小さいからと言って、EULAを読み飛ばすわけにはいかないのです。
 
6. WMA/TrojanDownloader.Wimad.N [全体の約1.90%]
前回の順位:5位
この脅威の実体は、メディアブラウザーを悪意のあるURLにリダイレクトし、アドウェアなどの悪質な追加コンポーネントをダウンロードするWindows Mediaファイルです。このダウンローダは、ユーザーをだましてダウンロードさせるために、人気のある音楽ファイルを装ってピアツーピアネットワークで流通しています。
エンドユーザーへの影響
マルウェアをMP3やFlashムービー、ビデオコ窶買fックに見せかけてダウンロードさせるというソーシャルエンジニアリングの手法は、マルウェア作者の間で広く用いられています。この種の手法では、無害に見えるファイルが実行可能ファイルであったり、ユーザーのPCに攻撃者がアクセスできるようにする攻撃コードを送り込むためにこれらのファイルが使用されたりします。
このような手法にだまされないためには、それ自体は実行可能でないファイルも悪意あるコードを送り込むために利用される場合があることを認識し、コーデックなどのインストールを要求する画面が表示された場合には十分に注意することが必要となります。

 
7. JS/Exploit.RealPlay.LF [全体の約1.56%]
前回の順位:ランク外
この脅威は、RealPlayerに存在するセキュリティホールを悪用し、Windowsシステム上で任意のコードを実行しようとします。この攻撃は、JavaScriptを使用する悪意あるWebサイト経由で行われます。この攻撃により、標的のコンピューター上でバッファオーバーフローを引き起こされ、攻撃者は任意のコードを実行可能となります。この攻撃は主に、別のマルウェアをインストールする手段として行われます。
エンドユーザーへの影響
RealPlayerのこの脆弱性は、SQLインジェクションによって悪意あるコンテンツを正規サイトに埋め込む大規模攻撃の経路として使用されています。これらのサイトを訪問したユーザーは、悪意のあるコードによって別のサーバーにリダイレクトされ、PCにマルウェアを送り込まれる可能性があります。
この脅威が悪用する脆弱性の詳細は、National Vulnerability Databaseで解説されています。細工が施されたHTML(Webページまたは電子メールメッセージ)を脆弱性のあるPCで表示すると、RealPlayerが実行中でなくても、攻撃コードを実行される可能性があります。このリスクを軽減するには、該当するパッチをRealPlayerに適用するか、ActiveX自体またはActiveXコントロールのIERPCtlを無効にします。

 
8. Win32/TrojanDownloader.Murlo.NN [全体の約:1.55%]
前回の順位:8位
これは、コンピューターにインストールされたあと、攻撃者の要求に応じて悪意あるコンポーネントを追加ダウンロードするトロイの木馬を指す総称です。この脅威は、%windows%ディレクトリにIEXPLORE.exeというファイルを作成し、Webブラウザーのプロセスにコードを挿入します(現時点では、Firefox、Opera、Internet Explorerが影響を受けます)。このコードを使用して、インターネットから追加ファイルがダウンロードされます。
エンドユーザーへの影響
検出される脅威の中には、感染プロセスや侵入プロセスの最初の段階を担当するだけのプログラムも数多く存在します。通常、このようなプログラムはほかのファイルをダウンロードするだけであり、ダウンロードされたファイルがさらに別のコンポーネントをダウンロードしたりアップデートを行ったりします。ただし、正規ソフトウェアのインストーラも同じような仕組みを採用しているため、アンチマルウェアソフトウェアは、このような振る舞いをするプログラムが悪意あるプログラムであるかどうかを、ヒューリスティックアルゴリズムを用いて判別します。アンチマルウェアソフトウェアによる検出を防ぐため、マルウェア作者がこれらのダウンローダプログラムに修正を加えることがありますが、多くの場合、このような対策はほとんど役に立ちません。
 
9. Win32/Qhost [全体の約1.31%]
前回の順位:10位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染マシンを乗っ取れるようにします。
エンドユーザーへの影響
この脅威は、感染マシンのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染マシンがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。これはつまり、アクセス先のWebサイトが絶対に正しいサイトであると考えることはできないということを意味しています。
 
10. Win32/AutoRun.KS [全体の約1.19%]
前回の順位:19位
「AutoRun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをコンピューターに挿入したときにプログラムを自動実行するために使用されます。
エンドユーザーへの影響
これは、Autorun機能を悪用するマルウェアの一種です。Autorun機能を無効にすると、この種のマルウェアへの感染リスクを最小限にすることができます。
 
Webベースの脅威の増加
 
脅威が検出されたサイトではなく、脅威そのものに着目しているこのランキングからは明らかではありませんが、Webベースの脅威は引き続き増加傾向にあります。
Webベースの脅威が増加している原因はいくつかありますが、まず挙げられるのは、PCにおけるWebブラウザーの用途がますます広がっていることです。例えば、ニュースを読んだり電子メールをチェックしたりするだけでなく、文書作成にもWebブラウザーが使用されるようになっています。そのため、Webブラウザーがマルウェア作者の主なターゲットになっているのです。Webブラウザーを巡る状況はますます複雑化してきており、Webブラウザーを通じて提供される情報は、(合法であるかどうかを問わず)大きな収益をもたらすようになっています。
Webベースの脅威の検出数が増えているもう1つの理由としては、技術的な課題は残るものの、悪意あるコンテンツを検出する手段としてWebゲートウェイが広く利用されるようになってきたことが挙げられます。
今日、Webコンテンツは、コンピューターに取り込まれる情報のソースとして最大のものになりつつあり、その中で悪意のあるコンテンツは相当の割合を占めています。ESETのセキュリティ製品は、ユーザーが閲覧したWebページを監視することにより、ユーザーのPCで攻撃が実行されるのを未然に防ぎます。
 
Virtumonde:招かれざる長居の客
 
本レポートでVirtumonde(Vundo)問題について述べるのは今回が初めてではありません(おそらく今後もあるでしょう)。ESETがVirtumondeファミリに対して用いている汎用シグネチャは、新旧さまざまな亜種と変種を検出しますが、もしVirtumondeがインストールされてしまった場合、これを完全に自動で駆除することは非常に難しく、多くの場合人間の関与が必要となります。

Virtumondeは、その特徴や拡散の手法が常に変化しているにもかかわらず、このトップ10にはかなり長い間ランクインし続けています。これは、とりもなおさずESETの製品がVirtumondeを確実に検出し続けていることの表れと言えますが、主要なアンチマルウェア製品は、ほとんど使い物にならないほど厳格な設定にしないかぎり、いずれもVirtumonde(少なくともその一部の亜種)をうまく検出/駆除することができていません。Virtumondeがこれだけ長期にわたって拡散しているという事実は、ある意味で、Virtumondeなどのバッドウェアを主要なアンチマルウェア製品が効果的に検出できていないということを示しています。マルウェア作者にとっては、製品が有名であるほど、その製品によって検出されないようマルウェアに工夫を施すことが容易になります。当然のことながら、彼らは、最もシェアの高い製品からマルウェアを隠ぺいするための研究開発に多大な労力を割くからです(ESET製品も警戒されているようです)。しかし、彼らが力を注いでいるのはこれだけではありません。

例えアドバンスドヒューリスティックのような技術を搭載しているアンチウイルスソフトウェアでも、ある時点で存在する既知と未知のすべてのマルウェアを検出することは不可能である(とりわけ、特定の製品による検出を免れるようにマルウェアが工夫されている場合)、ということはおそらくほとんどの方が理解されていると思います。マルウェアが出現してベンダー各社が対応する、検出されないように手を加えたマルウェアが再度出現し、ベンダー各社がシグネチャを改良して対応する、というサイクルを繰り返しているうちに、いずれかの出現と対応の間で、どうしても感染が発生してしまうのです。

Virtumondeは、いったん感染してしまうと、メモリから安全に駆除することが非常に困難となります。駆除において「手抜き」をすることが許されない商用のスキャナは、安全に駆除を行えない場合(こうしたことは不可避的に発生します)、そこで無理をせず、「マルウェアを駆除できません」というメッセージを表示します(このようなメッセージが表示された場合、ESETのサポートにご連絡ください。駆除方法をご案内できる場合があります)。ベンダーによっては、汎用の駆除方法を公開している場合もありますが、このような方法が常に適切であるとはかぎりません。というのは、この種の方法は感染と駆除のプロセスが一定であることを前提としているからです。Virtumondeは、このプロセスを可変かつ困難なものとするために、あらゆる工夫を施しています。この場合には、対話的にサポートを受けられることが重要となります。マルウェアに精通しているシステム管理者の中には、自らの技術とツールを駆使して対応している方もいらっしゃいますが、このアプローチでも駆除作業を簡単なフローチャートで表すことはできません。

だからといって、われわれも含め、Virtumondeに白旗を揚げる必要はありません。ESETの製品は継続的に改良が加えられており、先日もまた一歩進化を遂げるための機能強化が行われたところです。ただし、マルウェアとの戦いはボクシングとは違うということも理解しておく必要があります。戦いの場は常にリングであるとはかぎらず、形勢はしばしば入れ替わり、ノックアウトというルールも存在しないのです。
 
ThreatSense.Netとは?
世界中のコンピューターから情報を収集するESETのThreatSense.Net

「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。今日のアンチウイルスソリューションには、定義データベースの更新頻度が高いことに加えて、ESET NOD32やESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。

本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。

世界の数百万台ものクライアントコンピューターから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピューターで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは1,000万台以上ものコンピューターから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。

 
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!