トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
このレポーティングシステムの仕組みについては、本レポート末尾の「世界中のコンピューターから情報を収集するESETのThreatSense.Net」をご覧ください。
前回の順位:1位
Win32/PSW.OnLineGamesは、2008年9月度に検出された脅威全体のうち19.47%を占めていました。これは、先月度の16.13%から大幅に増加しています。これは、キーロガーとrootkitの機能を備えたトロイの木馬ファミリで、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかを認識しておく必要があります。この種のゲームや仮想空間では、単なる嫌がらせや無意味な疑似ウイルス攻撃(Second Lifeに出現したGrey Gooなど)だけでなく、現実世界での金銭的被害を引き起こすフィッシングなどの詐欺行為にも注意しなければなりません。このようなフィッシング詐欺は、アカウント情報やゲームのアイテムを盗み出し、ブラックマーケットやeBayで売りさばくことを目的としています。
「ESET Mid-Year Global Threat Report」で、ESET Malware Intelligenceチームがこの問題を詳しく解説しています。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをコンピューターに挿入した時に自動実行するプログラムについての情報が記述されています。
ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリの亜種でない場合)。
全体に占める割合は先月よりも若干小さくなっていますが、継続的な減少期に入ったと断言できるほど大きな変化ではありません。また、これまでこの名称で検出されていたマルウェアが別の名称で検出されている可能性があることも考慮する必要があります。
エンドユーザーへの影響
今日、リムーバブルメディアは広く普及しており、マルウェア作者もこのことを十分認識しています。そして、この事実はエンドユーザーにとっても大きな意味を持っています。WindowsのAutorunは、リムーバブルメディアをコンピューターに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため、多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。メインの拡散手段ではないにしても、ひと手間かけてこの機能をプログラムに組み込むマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように、ESET製品を含むアンチウイルススキャナに頼らずに済む対策を実施したほうがより安全です。この問題についても、「ESET Mid-Year Global Threat Report」で詳しく解説しています。
前回の順位:4位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。アドウェアやスパイウェアの被害に遭わないためには、文字が小さいからと言って、EULAを読み飛ばすわけにはいかないのです。
前回の順位:7位
この脅威の実体は、メディアブラウザーを悪意のあるURLにリダイレクトし、アドウェアなどの悪質な追加コンポーネントをダウンロードするWindows Mediaファイルです。このダウンローダーは、ユーザーをだましてダウンロードさせるために、人気のある音楽ファイルを装ってピアツーピアネットワークで流通しています。8月以降、この脅威は目に見えて増加しています。
エンドユーザーへの影響
マルウェアをMP3やFlashムービー、ビデオコーデックに偽装してダウンロードさせるというソーシャルエンジニアリングの手法は、マルウェア作者の間で広く用いられています。つまり、一見無害なファイルが実行可能ファイルであったり、無害なファイルを通じて悪意のあるコードをPCに送り込まれ、バックドアを設置されたりすることがあるのです。このような手法にだまされないためには、それ自体は実行可能でないファイルも、悪意のあるコードを送り込むために利用される場合があるということを認識する必要があります。
また、コーデックなど、ある目的のために必須とされるコンポーネントのインストールを要求する画面が表示された場合も、十分注意することが必要です。これは、エンドユーザーをだまして悪意あるコードを実行させるためにマルウェア作者が用いる典型的なソーシャルエンジニアリングの手法です。
前回の順位:6位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とは言え、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることのほうが重要であるのは言うまでもありません。
前回の順位:3位
Adware.Virtumondeというのは、トロイの木馬型アプリケーションのうち、対象のPCに広告を配信するために使用されるファミリを指す総称です。多くの場合、これらのアプリケーションは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示します。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。マルウェアの作者らにとってアドウェアは依然として大きな収益源となっており、Virtumondeは長きにわたってトップ10にランクインし続けています。
エンドユーザーへの影響
Virtumondeは、ベンダーとユーザーの双方にとって、「アドウェア」や「好ましくない動作をする可能性のあるアプリケーション」といったカテゴリ名から受ける印象よりもはるかに厄介な存在となっています。このVirtumondeについては、2008年7月度のレポートのコラム「Virtumonde:招かれざる長居の客」でも取り上げています。また、ESETブログの「Adware, Spyware and Possibly Unwanted Applications」と題する記事でも、この問題について解説しています。
前回の順位:10位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染マシンを乗っ取れるようにします。
エンドユーザーへの影響
この脅威は、感染マシンのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染マシンがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。この改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
前回の順位:9位
これは、感染先のPCからユーザー情報を盗み出すマルウェアファミリです。ESET NOD32アンチウイルスでは、この種のマルウェアは汎用名で検出されます。
エンドユーザーへの影響
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスが実行されるようにします。
前回の順位:ランク外
これは、ユーザー情報を盗み出す機能を備えたマルウェアファミリです。ESET NOD32アンチウイルスでは、この種のマルウェアは汎用名で検出されます。
エンドユーザーへの影響
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加します。これにより、このファイルが検出されて削除されるまで、システムが起動するたびに悪意あるプロセスが実行されるようになります。これは汎用シグネチャであり、このシグネチャで検出される脅威の動作は個体ごとに異なるため、詳細な説明はここでは割愛します。
前回の順位:5位
TrojanDownloader.Swizzor.Dは、感染先のコンピューターに追加コンポーネントをダウンロードするマルウェアです。 ほとんどの場合、Swizzor.Dはアドウェアをダウンロードしてインストールするために使用されます。Swizzor.Dは、BitTorrentなどのピアツーピアネットワークを最適化するツールを装って、悪意のあるWebサイトや改ざんされた正規Webサイトにホストされています。
エンドユーザーへの影響
Swizzorはマルウェア本体ではなく、追加コンポーネントやアップデートされたコンポーネントをlops.comというドメインから感染マシン上にダウンロードするために使用されます。Swizzorは、しばしば「サーバーサイドのポリモーフィック型マルウェア」と呼ばれ、数日ほどの間に、ランダムにパッケージし直された数万種類の亜種が出現したこともあります。
9月には、Estonia CERTやISOI 5、Messaging Anti-Abuse Working Group、Anti-Spyware Coalitionなど、興味深いセキュリティイベントがいくつか開催されました。このうち、エストニアで行われたEstonia CERTとISOI 5では、ESETのPierre-Marc BureauとDavid HarleyがそれぞれStormボットネットとアンチマルウェアテストについての講演を行いました。しかし、残念ながら、これらのイベントはチャタムハウスルール(チャタムハウスとは英国の王立国際問題研究所のことを指し、活発な意見交換を行うため、どの人物がどの発言をしたかを公表しないようにするというルール)、あるいは「what happens in Vegas stays in Vegas」(「ラスベガスで起きたことはラスベガスに留めておけ」)というラスベガスモデルに類する規則に則って行われたため、その詳細をレポートすることはできません。ただ、ここで言えるのは、極めて重要な活動が盛んに行われるこの種のクローズドイベントをESETは非常に重要視しているということです。つまり、アンチウイルスやアンチマルウェアの限定されたコミュニティにとどまらず、より広い意味でのセキュリティコミュニティで活動を行ったり情報収集をしたりすることが大切だと考えているのです。現在は、アンチウイルスベンダーが外界から隔絶された象牙の塔に閉じこもっていられる時代ではありません。アンチマルウェアソリューションがセキュリティ全体の中で果たす役割は依然として大きなものがありますが、私たちがかねてから主張しているとおり、マルチレイヤ型のソリューションやコミュニティ間の連携/協働はもはや不可欠なものとなっています。
なお、現在も、ESET社員の何人かはVirus Bulletinの年次カンファレンス(10月1~3日)が開催されるオタワに滞在しています。このカンファレンスでは、ESETのRandy Abrams、Pierre-Marc Bureau、そしてDavid Harleyが、分散システムからのデータマイニングやアンチマルウェアテスト、マルウェアの命名規則といったテーマについて講演を行います。これらの講演に関する情報や論文は、後日ESET Webサイトのホワイトペーパーページで公開する予定です。
VBカンファレンスは、アンチマルウェア界のカレンダーでは一大イベントです。このようなカンファレンスにプラチナスポンサーとして参加できることを私たちは誇らしく思っています。
また、先ごろVirus Bulletin誌で実施されたテストにおいて、52回目のVB100アワード獲得を達成したことも少なからず誇りに感じています。Windows Server 2008プラットフォームで実施された今回のテストの結果は、Virus Bulletin誌10月号に掲載されています。一部のベンダーは、自社のほうが優れた成績を残していると主張するべく、統計を操作するなどの細工を行っているようですが、ESETが最も多くのアワードを獲得しているということは純然たる事実です。Virus Bulletinは現在テストプロセスの見直しを進めているところですが、それでもESETがこの地位にいられることを私たちは喜ばしく思っています。Virus Bulletinのテストでは、現在も限定されたテストセットであるWildListが使用されていますが、このテストが、細心の注意を払って規定された重要なテストであることに変わりはありません。とは言え、一部のベンダーがVirus Bulletinのテストに製品を提出するのをやめていることからも分かるとおり、このテストアプローチは必ずしもVirus Bulletinの利益になっておらず、何らかの問題を含んでいることも確かです。Virus Bulletinのテストが最も包括的なテストであるとか、ましてや目を向けるべき唯一の認定であるなどと主張するつもりは今のところ私たちにもありません。しかし、いくつかの点においては最も公平なテストであるということは事実でしょう。
残念ながら、すべてのテストが公正に行われているわけではありません。例えばVirusTotalを利用したテストは、公式なもの、非公式なものを合わせて数多く存在しています。われわれも先のクローズドなカンファレンスで初めて知ったのですが、セキュリティ業界の一部の分野では、VirusTotalをベンダーを評価する指標としても利用しています。しかし、VirusTotalを製品の評価に利用することは論理的に無理があります。VirusTotalに送信されたファイルは、サイトで検証されてからオンデマンドスキャナに渡されるわけではありません。実際、VirusTotalが発表しているデータによれば、送信されたファイル全体のうち悪意のないファイルは相当数に上っています。悪意のないファイルにカウントされるということは、そのファイルが必ずしも無害なファイルであるとか、あるいは誤検知であるということを意味しているわけではなく、単体では危険性がないファイル、あるいは破損していて実行できないファイルであるという場合もあります。そして、驚いたことに、これらのファイルを悪意のあるものとして扱うかどうかはポリシーとしては定められておらず、ベンダーによって異なっているのです(このため、何をもって誤検知とするべきかを巡って激しい議論が巻き起こっています)。
VirusTotalがコマンドラインスキャナを使用していること、またデスクトップ版と境界版を混在させて使用していることも、問題と混乱を引き起こす原因になっています。アドバンスドヒューリスティックなど高度な振る舞い分析機能を搭載している製品の場合、同一製品でもバージョンが違えばコンテキストによって異なる動作をすることがあります。そのため、VirusTotalのこうした特徴が、この種の製品に不利に働く場合があるのです。VirusTotalを提供しているHispasecもこの問題を認識しており、VirusTotalはテスト目的には適していないということをブログなどで繰り返し指摘しています。
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。
世界の数百万台ものクライアントコンピューターから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのコンピューターで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは数千万台のコンピューターから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。
