トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
このレポーティングシステムの仕組みについては、本レポート末尾の「世界中のコンピューターから情報を収集するESETのThreatSense.Net」をご覧ください。
前回の順位:1位
Win32/PSW.OnLineGamesは、2008年8月度に検出された脅威全体のうち、約16.13%を占めていました。これは、キーロガー機能を備えたトロイの木馬ファミリ(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかを認識しておく必要があります。この種のゲームや仮想空間では、単なる嫌がらせや疑似ウイルス攻撃(Second Lifeに出現したGrey Gooなど)だけでなく、現実世界での金銭的被害を引き起こすフィッシングなどの詐欺行為にも注意しなければなりません。
このようなフィッシング詐欺は、アカウント情報やゲームのアイテムを盗み出し、ブラックマーケットやeBayで売りさばくことを目的としています。
「ESET Mid-Year Global Threat Report」の中で、ESET Malware Intelligenceチームがこの問題を詳しく解説しています。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをコンピューターに挿入した時に自動実行するプログラムについての情報が記述されています。
ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアは広く利用されています。マルウェア作者もこのことを認識したうえで悪意のあるプログラムを作成しており、エンドユーザーにとっては深刻な状況となっています。WindowsのAutorunは、リムーバブルメディアをコンピューターに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため、多くのマルウェアが自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。
メインの拡散手段ではないにしても、ひと手間かけてこの機能をプログラムに組み込むマルウェア作者が増えているのです。ヒューリスティック技術を搭載したアンチウイルススキャナでは、この種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように、ESET製品を含むアンチウイルススキャナに頼るよりも、Autorun機能自体を無効にしたほうがより安全です。この問題についても、「ESET Mid-Year Global Threat Report」で詳しく解説しています。
前回の順位:3位
Adware.Virtumondeというのは、トロイの木馬型アプリケーションのうち、対象のPCに広告を配信するために使用されるファミリを指す総称です。多くの場合、これらのアプリケーションは複数のウィンドウを開いて好ましくない内容の広告を表示します。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。
マルウェアの作者らにとってアドウェアは依然として大きな収益源となっており、Virtumondeは長きにわたってトップ10にランクインし続けています。
エンドユーザーへの影響
Virtumondeは、ベンダーとユーザーの双方にとって、「アドウェア」や「好ましくない動作をする可能性のあるアプリケーション」といったカテゴリ名から受ける印象よりもはるかに厄介な存在となっています。このVirtumondeについては、7月度のレポートのコラム「Virtumonde:招かれざる長居の客」でも取り上げています。また、ESETブログの「Adware, Spyware and Possibly Unwanted Applications」と題する記事でも、この問題について解説しています。
前回の順位:5位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。
ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。アドウェアやスパイウェアの被害に遭わないためには、文字が小さいからと言って、EULAを読み飛ばすわけにはいかないのです。
前回の順位:ランク外
TrojanDownloader.Swizzor.Dは、感染先のコンピューターに追加コンポーネントをダウンロードするマルウェアです。ほとんどの場合、Swizzor.Dはアドウェアをダウンロードしてインストールするために使用されます。Swizzor.Dは、BitTorrentなどのピアツーピアネットワークを最適化するツールを装って、悪意のあるWebサイトや改ざんされた正規Webサイトにホストされています。
エンドユーザーへの影響
Swizzorはマルウェア本体ではなく、追加コンポーネントやアップデートされたコンポーネントをlops.comというドメインから感染マシン上にダウンロードするために使用されます。Swizzorは、しばしば「サーバーサイドのポリモーフィック型マルウェア」と呼ばれ、数日ほどの間に、ランダムにパッケージし直された数万種類の亜種が出現したこともあります。
前回の順位:4位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は、主にパスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とは言え、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることのほうが重要であるのは言うまでもありません。
前回の順位:6位
この脅威の実体は、メディアブラウザーを悪意のあるURLにリダイレクトし、アドウェアなどの悪質な追加コンポーネントをダウンロードするWindows Mediaファイルです。このダウンローダーは、ユーザーをだましてダウンロードさせるために、人気のあるさまざまな音楽ファイルを装ってピアツーピアネットワークで流通しています。
エンドユーザーへの影響
マルウェアをMP3やFlashムービー、ビデオコーデックに偽装してダウンロードさせるというソーシャルエンジニアリングの手法は、マルウェア作者の間で広く用いられています。つまり、一見無害なファイルが実行可能ファイルであったり、無害なファイルを通じて悪意のあるコードをPCに送り込まれ、バックドアを設置されたりすることがあるのです。このような手法にだまされないためには、それ自体は実行可能でないファイルも、悪意のあるコードを送り込むために利用される場合があるということを認識する必要があります。また、コーデックなど、ある目的のために必須とされるコンポーネントのインストールを要求する画面が表示された場合も、十分注意することが必要です。
前回の順位:8位
これは、コンピューターにインストールされたあと、攻撃者の要求に応じて悪意あるコンポーネントを追加ダウンロードするトロイの木馬を指す総称です。この脅威は、%windows%ディレクトリにIEXPLORE.exeというファイルを作成し、Webブラウザーのプロセスにコードを挿入します(現時点では、Firefox、Opera、Internet Explorerが影響を受けます)。このコードを使用して、インターネットから追加ファイルがダウンロードされます。
エンドユーザーへの影響
検出される脅威の中には、感染プロセスや侵入プロセスの最初の段階を担当するだけのプログラムも数多く存在します。通常、このようなプログラムはほかのファイルをダウンロードするだけであり、ダウンロードされたファイルがさらに別のコンポーネントをダウンロードしたりアップデートを行ったりします。ただし、正規ソフトウェアのインストーラも同じような仕組みを採用しているため、アンチマルウェアソフトウェアは、このような振る舞いをするプログラムが悪意あるプログラムであるかどうかを、ヒューリスティックアルゴリズムを用いて判別します。アンチマルウェアソフトウェアによる検出を防ぐため、マルウェア作者がこれらのダウンローダープログラムに修正を加えることがありますが、多くの場合、このような対策はほとんど役に立ちません。
前回の順位:21位
これは、感染先のPCからユーザー情報を盗み出すマルウェアファミリです。ESET NOD32 Antivirusでは、この種のマルウェアは汎用名で検出されます。
エンドユーザーへの影響
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加します。これにより、このファイルが検出されて削除されるまで、システムが起動するたびに悪意あるプロセスが実行されるようになります。Agentというのは汎用名であり、その動作は個体ごとに異なるため、詳細な説明はここでは割愛します。
前回の順位:9位
Win32/Qhostは、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。この脅威は、DNS設定を変更するトロイの木馬の一種で、通常はオンラインバンキングの不正操作を行うマルウェアとひも付けられています。Win32/Qhostと同時に、ほかのトロイの木馬がダウンロードされることも少なくありません。
エンドユーザーへの影響
この脅威は、感染マシンのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染マシンがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、金融機関などの正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。この改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
8月は、興味深いセキュリティ関連カンファレンスがいくつか開催されました。6日から10日にかけては、ラスベガスでBlack HatとDefConが開催され、ESETからは総勢10人が参加。Black Hatでは、このところ大きな話題となっているDNSの脆弱性について、発見者であるDan Kaminsky氏が講演を行いました。この脆弱性を悪用すると、DNSサーバーに対して容易にキャッシュポイズニング攻撃を仕掛けることが可能になり、攻撃が成功した場合には、正規サイトへのアクセスが悪意のあるサイトにリダイレクトされる恐れがあります。
また、8月には、電子メールの添付ファイル経由で拡散するマルウェアが爆発的に増加するという出来事もありました。その中で特に目立ったのは、航空券や、大手宅配業者による宅配便の請求書を装って送られてくるSpy.Agent.NESでした。この添付ファイルのアイコンはExcelかWordのものになっていますが、ファイルの実体は実行可能ファイルです。プログラムのアイコンを無害なデータファイルのアイコンに変更するのは、マルウェア作者の定番の手口です。また、別のパターンとして、ZIP圧縮されたファイルが添付されているケースもありました。この攻撃については、ESETのブログで詳しく解説していますので、ぜひご覧ください。Spy.Agent.NESの最終的な目的は、偽のアンチウイルス製品をインストールし、ありもしない脅威に対処するための架空のセキュリティソフトウェアを購入させることです。偽のセキュリティソフトウェアについては、別のブログ記事で取り上げています。
スペイン語のメッセージを用いて、主にWindows Live Messenger経由で広範囲に感染を広げるワームも登場しました。このワームは、Windows Live Messenger以外にも、MSN、AIM、Tritonで広まっていることが確認されています。このワームは、ソーシャルエンジニアリングの手法を駆使したメッセージで、感染ファイルをダウンロードして実行するようユーザーに要求します。このプログラムは典型的なIRCボットで、IRCチャネルにログインしてボットハーダーからの命令を待機します。ESET製品は、このマルウェアをWin32/Inject.NBLとして検出します。
カンファレンスで講演を行う予定のESETリサーチグループの担当者にとっては、9月と10月も多忙な日々が続きそうです。Pierre Marc BureauとDavid Harleyは、エストニアで開催されるCERTミーティングと、同じくエストニアのタリンで開かれるISOI 5でプレゼンテーションを行います。フロリダで開催されるMAAWGとAnti-Spyware Coalitionのワークショップに続いては、オタワで開かれるVirus Bulletin 2008に参加します。ESETからは、Pierre Marc Bureau、David Harley、Randy Abrams、そして前CTOのAndrew Leeがメインスピーカーとして登場するほか、数多くのスタッフが会場に赴きます。Virus Bulletin 2008は、アンチマルウェアの専門家が集う年次カンファレンスとしては最も重要なイベントです。ESETは、このようなイベントにプラチナスポンサーとして参加できることを誇らしく思っています。
最後に、われわれにとって極めて重要なプロジェクトであるAMTSO(The Anti-Malware Testing Standards Organization)の近況を紹介しておきましょう。ESETも参加するAMTSOは、アンチマルウェア製品の比較テストを標準化し、その質を向上させるための取り組みです。AMTSOは先ごろ、信頼できるテスト手順の基本原則と考えられるものをまとめたドラフト文書を公開し、幅広い層からのコメントを募集しています。
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。そのため、今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32 AntivirusやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
本レポート内で個別に記載することはしていませんが、実際、ThreatSense.NetRでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。
世界の数百万台ものクライアントコンピューターから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピューターで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは1,000万台以上ものコンピューターから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。
