今月度のランキングでは上位の順位に変動はありませんでしたが、その分布に変化が見られました。先月急増して我々を驚かせたWin32/PSW.OnLineGamesが「市場シェア」を落とし、代わりにINF/Autorunがシェアを伸ばしています。ただし、どちらも広く拡散しているマルウェアを汎用シグネチャで検出した結果であるため、こうした動きが長期的な傾向を示すものであるとは限りません。
実際、9月度のランキングではWin32/PSW.OnLineGamesの検出数が突出していました。Win32/PSW.OnLineGamesとINF/Autorunによる攻撃は、長期間にわたって大量に検出され続けています。
それよりも注目する必要があるのは、感染力の強いトロイの木馬型ダウンローダーであるWMA/TrojanDownloader.GetCodec.Genが9月下旬から徐々に増加し始め、それまでのランク外から一気に6位に浮上したことです。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
このレポーティングシステムの仕組みについては、本レポート末尾の「 世界中のPCから情報を収集するESETのThreatSense.Net」をご覧ください。
前回の順位:1位
Win32/PSW.OnLineGamesは、2008年10月度に検出された脅威全体のうち11.30%近くを占めていました。これは、キーロガー機能を備えたトロイの木馬ファミリ(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
9月度は検出数が爆発的に増加したPSW.OnLineGameでしたが、今月度は大きくシェアを落としています。とは言え依然として大量に検出されていることに変わりはなく、ゲームユーザーは引き続き警戒が必要です。
また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この種のゲームや仮想空間では、単なる嫌がらせや無意味な疑似ウイルス攻撃(Second Lifeに出現したGrey Gooなど)だけでなく、現実世界での金銭的被害を引き起こすフィッシングなどの詐欺行為にも注意しなければなりません。この問題については、http://www.eset.com/threat-center/で公開している「ESET Mid-Year Global Threat Report」でESET Malware Intelligenceチームが詳しく解説しています。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。
ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを十分認識しています。WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため、多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。メインの拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように、ESET製品を含むアンチウイルススキャナに頼るよりもAutorun機能をデフォルトで無効にしてしまうほうがより安全です。この問題についても、http://www.eset.com/threat-center/で公開している「ESET Mid-Year Global Threat Report」で詳しく解説しています。
前回の順位:3位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。アドウェアやスパイウェアの被害に遭わないためには、文字が小さいからと言って、EULAを読み飛ばすわけにはいかないのです。
前回の順位:5位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とは言え、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることのほうが重要であるのは言うまでもありません。
前回の順位:4位
この脅威の実体は、メディアブラウザーを悪意のあるURLにリダイレクトし、アドウェアなどの悪質な追加コンポーネントをダウンロードするWindows Mediaファイルです。このダウンローダーは、ユーザーをだましてダウンロードさせるために、人気のある音楽ファイルを装ってピアツーピアネットワークで流通しています。8月以降、この脅威は目に見えて増加しています。
エンドユーザーへの影響
マルウェアをMP3やFlashムービーに偽装してダウンロードさせるというソーシャルエンジニアリングの手法は、マルウェア作者の間で広く用いられています。つまり、一見無害なファイルが実行可能ファイルであったり、無害なファイルを通じて悪意のあるコードをPCに送り込まれ、バックドアを設置されたりすることがあるのです。このような手法にだまされないためには、それ自体は実行可能でないファイルも、悪意のあるコードを送り込むために利用される場合があるということを認識する必要があります。また、コーデックなど、ある目的のために必須とされるコンポーネントのインストールを要求する画面が表示された場合も、十分注意することが必要です。これは、エンドユーザーをだまして悪意あるコードを実行させるためにマルウェア作者が用いる典型的なソーシャルエンジニアリングの手法です。
前回の順位:ランク外
GetCodecはメディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、面白そうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できる限りの確認作業を行うことをお勧めします。
前回の順位:8位
これは、感染先のPCからユーザー情報を盗み出すマルウェアファミリです。ESET NOD32アンチウイルスでは、この種のマルウェアは汎用名で検出されます。 通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスが実行されるようにします。
前回の順位:6位
Adware.Virtumondeというのは、トロイの木馬型アプリケーションのうち、対象のPCに広告を配信するために使用されるファミリを指す総称です。Virtumondeは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示するなどします。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。マルウェアの作者らにとってアドウェアは依然として大きな収益源となっており、Virtumondeは長きにわたってトップ10にランクインし続けています。
エンドユーザーへの影響
Virtumondeは、ベンダーとユーザーの双方にとって、「アドウェア」や「好ましくない動作をする可能性のあるアプリケーション」といったカテゴリ名から受ける印象よりもはるかに厄介な存在となっています。このVirtumondeについては、2008年7月度のレポートのコラム「Virtumonde:招かれざる長居の客」でも取り上げています。また、ESETブログの「Adware, Spyware and Possibly Unwanted Applications」と題する記事でも、この問題について解説しています。
前回の順位:75位
JS/TrojanDownloader.Iframeファミリは悪意のあるJavaScriptファイルで、Webブラウザーやそのコンポーネントの脆弱性を悪用しようとします。これらのJavaScriptは、追加のマルウェアコンポーネントを感染先のPCにインストールすることを目的としています。
エンドユーザーへの影響
悪意のあるiframeは、改ざんされたWebサイトに埋め込まれている場合があります。ここのところ、正規サイトを改ざんして訪問者をマルウェアに感染させる大規模攻撃が継続的に行われています。エンドユーザーからすると、Webブラウザーやメールソフトウェアの脆弱性を悪用する攻撃は、ソーシャルエンジニアリングによってユーザーに何らかの操作を行わせようとする攻撃よりも対応が困難です。しかし、信頼できないWebサイトにアクセスさせようとする行為に注意し、アンチマルウェアソフトウェアのシグネチャを定期的に更新し、そして、システムに最新のパッチを適用していれば、こうした攻撃の多くを防ぐことができます。
前回の順位:7位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染したPCを乗っ取れるようにします。
エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。この改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
10月度のランキングを見てまず気づくのは、汎用シグネチャによって検出されたマルウェアの多さです。トップ10のうち、実に9個のマルウェアが汎用シグネチャによって検出されています。このことが意味するのは、アンチマルウェアソフトウェアによる検出を逃れようとマルウェア作者らがどれほど努力をしていても、ESETの検出アルゴリズムは依然として有効に機能しているということです。また今月のトップ10にはランクインしていませんが、Packer/Themidaという名称で検出される脅威も急増しています。Themidaの実体はランタイムパッカーで、マルウェアの振る舞いをアンチウイルス製品から隠ぺいするために用いられています。ランタイムパッカーの詳細については、Randy Abramsによる解説記事をご覧ください。
10月度には、不正なPDFファイルの検出数も増加しました。これらのファイルには、PDFリーダーの脆弱性を悪用するための特別な細工が施されています。この攻撃が成功すると追加のマルウェアが感染システムにインストールされ、システムが完全に乗っ取られてしまう可能性があります。
10月24日には、新たに発見された脆弱性を修正するための定例外パッチがMicrosoftから緊急リリースされました(MS08-067)。この脆弱性はほとんどのバージョンのWindowsに影響し、脆弱性のあるPCでファイル共有が有効になっている場合にリモートから悪用される可能性があります。ESETではすでに、この脆弱性を突かれてトロイの木馬がインストールされた事例を確認しています。このトロイの木馬は、ESET NOD32アンチウイルスではWin32/Gimmiv.Aとして検出されます。
10月初めには、アンチマルウェア研究者にとって年に一度の一大イベントであるVirus Bulletinカンファレンスが開催されました。ESETは今年も同カンファレンスに深く関わっており、スポンサーとして協力したほか、技術情報の提供者として4つの講演と3つの論文発表を行いました。これらの論文は、近くESET Webサイトのホワイトペーパーページで公開される予定となっています。公開予定の論文は次の通りです。
また、David HarleyのVBスポンサー講演「Interpreting threat data from the cloud」に基づくホワイトペーパーも現在執筆中となっています。
10月最後の2日間には、AMTSO(The Anti-Malware Testing Standards Organization)の会議が開かれました。その規模や内容は異なりますが、この会議もVirus Bulletinカンファレンスと同じく大きな成果をもたらしてくれました。これまで、AMTSOの会議や内部メーリングリスト、ブログ、そしてAVIENなどのフォーラムにおいて、何ヶ月にもわたって議論を積み重ねてきましたが、ようやく全会一致で2つのドキュメント(「Fundamental Principles of Testing」「Best Practices for Dynamic Testing」)が承認されるに至ったのです。これらのドキュメントは間もなくhttp://www.amtso.orgで公開される予定です。ドキュメントのタイトルでもある「テストの基本原則」とは一体どういうものか、気になる方もいらっしゃるでしょう。詳しい説明はドキュメントに譲りますが、簡単に項目を列挙しておきます。
- テストは、一般消費者を危険にさらすものであってはならない。
- テストに偏りがあってはならない。
- テストは、相当のオープン性と透明性を確保した上で実施するべきである。
- アンチマルウェア製品の効力およびパフォーマンスの測定は、バランスの取れた方法で実施しなければならない。
- テスターは、テストサンプルまたはテストケースが「有害」「無害」「無効」に正しく分類されているかどうかを、相当の注意をもって確認しなければならない。
- テスト方法は、テストの目的に合致していなければならない。
- テストの結論は、テスト結果に基づいていなければならない。
- テスト結果は、統計的に妥当なものであるべきである。
- ベンダー、テスター、およびテスト結果の発表者は、テストに関する問い合わせを受け付けるための有効な連絡窓口を用意しなければならない。
ESETのマルウェアインテリジェンス担当ディレクターで、両ドキュメントの作成に深く関わったDavid Harleyは次のように述べています。「最終的な承認を得るまでには長い時間が必要となりましたが、この2つのドキュメントは、アンチマルウェア業界が成熟していく上での重要なマイルストーンになるとわたしは考えています。これまでわたしたちアンチマルウェア業界は、アンチマルウェア製品のテストを敵視し、反発することが少なくありませんでした。またテスト団体側からも、「アンチウイルス業界は批判ばかりして協力しようとしない」という不満の声が聞かれることがありました。そうした中で作成された2つのドキュメントのうち、特に大きな一歩と言えるのは「Fundamental Principles of Testing」です。このドキュメントでは、わたしたちが「よいテスト手法」と考えるものを概説しています。次なるステップとしては、より幅広い内容の資料や教材を用意して、テスターだけでなく一般消費者にも提供していければと考えています。先日の会議でも新しい刺激的な活動目標が決定されており、そちらに取りかかるのも楽しみにしています」
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。
世界の数百万台ものクライアントPCから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのPCで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは数千万台のPCから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。