トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
このレポーティングシステムの仕組みについては、本レポート末尾の「世界中のPCから情報を収集するESETのThreatSense.Net」をご覧ください。12月末には、2008年を通じての脅威の傾向を長期的な観点から分析したレポートを公開する予定です。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。今月のランキングでINF/Autorunが第1位に返り咲いたのも、その表れと言えます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。メインの拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように、アンチウイルススキャナに頼るよりもAutorun機能をデフォルトで無効にしてしまうほうがより安全です。この問題については、http://www.eset.com/threat-center/で公開している「ESET Mid-Year Global Threat Report」で詳しく解説しています。
前回の順位:1位
Win32/PSW.OnLineGamesは、2008年11月度に検出された脅威全体のうち11.06%近くを占めていました。これは、キーロガー機能を備えたトロイの木馬ファミリ(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
9月度は検出数が爆発的に増加したPSW.OnLineGamesでしたが、10月度、11月度は大きくシェアを落としています。とは言え、依然として大量に検出されていることに変わりはなく、ゲームユーザーは引き続き警戒が必要です。
また、「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この種のゲームや仮想空間では、単なる嫌がらせや無意味な疑似ウイルス攻撃(Second Lifeに出現したGrey Gooなど)だけでなく、現実世界での金銭的被害を引き起こすフィッシングなどの詐欺行為にも注意しなければなりません。 この問題については、http://www.eset.com/threat-center/で公開している「ESET Mid-Year Global Threat Report」でESET Malware Intelligenceチームが詳しく解説しています。
前回の順位:4位
"Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく、共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とは言え、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることのほうが重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンスで発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)。
前回の順位:3位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。
アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。アドウェアやスパイウェアの被害に遭わないためには、文字が小さいからと言って、EULAを読み飛ばすわけにはいかないのです。
前回の順位:ランク外
Win32/Patchedとして検出されるのは、マルウェアによって改ざんされた正規のシステムファイルです。この改ざんは、改ざんされたファイルがメモリに読み込まれるのと同時に、悪意のあるファイルが読み込まれるようにすることを目的としています。
Patched.BU自体は、明らかに「悪意がある」とされるような機能は持っていませんが、確実に悪意があるプログラムを実行するために使用されます。
エンドユーザーへの影響
Win32/Patched.BUは、同様のアプローチで感染を試みる不正プログラムファミリの亜種です。これらのプログラムが正規ファイルを利用するのは、そのほうがファイル名だけに基づく検出を免れやすいからです(アンチマルウェア業界では、以前より一貫して「ファイル名だけに基づいてマルウェアを特定しようとすることには無理があり、正しく悪意あるコードを検出することはできない」と主張してきましたが、負荷の高いシグネチャスキャンをできるだけ避けようと、いまだにこの種の手法を採用しているベンダーも存在します)。ある意味でこのアプローチは、悪意のあるコードを実行またはダウンロードするために、無害に見えるプログラムを使用して真の悪意を隠ぺいしようとする手法と似ています。
前回の順位:15位
「AutoRun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。INF/Autorunファミリの亜種のうち、汎用シグネチャではなく特定シグネチャで検出されたものがWin32/AutoRun.KSとなります(ただし、AutoRun.KSの亜種もAutoRun.KSとして検出される場合があります)。
エンドユーザーへの影響
Autorun機能を使用して自分自身をインストールするほかのマルウェアと同じ点に注意する必要があります。INF/Autorunの説明を参照してください。
前回の順位:5位
この脅威の実体は、メディアブラウザーを悪意のあるURLにリダイレクトし、アドウェアなどの悪質な追加コンポーネントをダウンロードするWindows Mediaファイルです。このダウンローダーは、ユーザーをだましてダウンロードさせるために、人気のある音楽ファイルを装ってピアツーピアネットワークで流通しています。WMA/TrojanDownloader.Wimad.Nは8月以降、広く拡散していましたが、11月に入って数ランクダウンしています。ただし、特定シグネチャによって検出されるWMA/TrojanDownloader.Wimad.Nは、汎用シグネチャによって検出されるWMA/TrojanDownloader.GetCodec.Genと密接に関係しています。WMA/TrojanDownloader.GetCodec.Genも引き続きトップテン内にランクインしており、これら2つの脅威の全体に占める割合が多少変化しても、実際にはそれほどの変化は起きていない可能性があります。
エンドユーザーへの影響
マルウェアをMP3やFlashムービーに偽装してダウンロードさせるというソーシャルエンジニアリングの手法は、マルウェア作者の間で広く用いられています。つまり、一見無害なファイルが実行可能ファイルであったり、無害なファイルを通じて悪意のあるコードをPCに送り込まれ、バックドアを設置されたりすることがあるのです。このような手法にだまされないためには、それ自体は実行可能でないファイルも、悪意のあるコードを送り込むために利用される場合があるということを認識する必要があります。また、コーデックなど、ある目的のために必須とされるコンポーネントのインストールを要求する画面が表示された場合も、十分注意することが必要です。これは、エンドユーザーをだまして悪意あるコードを実行させるためにマルウェア作者が用いる典型的なソーシャルエンジニアリングの手法です。
前回の順位:6位
WMA/TrojanDownloader.GetCodec.Genはメディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。WMA/TrojanDownloader.GetCodec.Genは、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援するWimad.Nと深い関わり合いを持つダウンローダーです。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします。
実際、ESETのエデュケーション担当ディレクターであるRandy Abramsがブログに書いているように、一般的には安全なソフトウェアダウンロードサイトであると考えられているCNETのdownload.comが、誤って偽のアンチマルウェアソフトウェア数本を掲載してしまったこともありました(この種のマルウェアは現在非常に増えてきています)。なおCNETの名誉のために述べておくと、われわれが偽ソフトウェアについて報告したところ、CNETは非常にすばやく対応し、すぐさま問題のソフトウェアを削除しました。
前回の順位:7位
Win32/Agentというのは、感染先のPCからユーザー情報を盗み出す各種マルウェアの総称です。ESET NOD32アンチウイルスでは、この種のマルウェアは汎用名で検出されます。
通常、このマルウェアは、自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスが実行されるようにします。
エンドユーザーへの影響
ランダムなファイル名を付けるという方法も、ファイル名でのマルウェア検出を困難にする手法の1つであり、古くからよく用いられています。ファイル名はマルウェアを検出する1つの手がかりになることもありますが、それだけに頼るべきではありません。アンチマルウェアソフトウェアを選択するにあたっては、メインのマルウェア検出手段としてファイル名を使用しているような製品に注意する必要があります。特に、「nastytrojan.dllを検出した唯一の製品」などと謳っている製品には注意が必要です。
前回の順位:10位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染したPCを乗っ取れるようにします。このトロイの木馬ファミリは、hostsファイルを改ざんして特定ドメインへのトラフィックをリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
外部テストに関する2つのニュースがあります。まず、Virus Bulletin誌2008年6月~10月号で実施されたVB100テストにおけるESET製品の結果を抜粋し、ESET Webサイトのホワイトペーパーページに再掲しました。この時期、ESET製品は継続的にすばらしい結果を残しています。またAV-Comparativesも、先ごろ実施されたパフォーマンステストの結果を発表しています。このテストでESET製品は、4つのカテゴリ中の3つ(ファイルコピー時間、エンコーディング/トランスコーディング時間、起動時間)でトップの成績を記録するという非常にすぐれた結果を残しました。これによりESETは、ヒューリスティック検出のパフォーマンスと誤検出率が評価されるRetrospective/ProActiveテストで新たなAdvanced+を獲得しています(今回のテストでAdvanced+を獲得したベンダーはESETが唯一でした)。テスト結果のレポートは、http://www.av-comparatives.org/の「Comparatives」ページで公開されています。
本レポートの先月号で、「The Fundamental Principles of Testing」と「Best Practice in Dynamic Testing」という2つのドキュメントがAMTSOの会議で承認されたことを紹介しましたが、これらのドキュメントを、ラテンアメリカ地域のESET社員がスペイン語に翻訳しました。このスペイン語版は、それぞれhttp://www.eset-la.com/amtso/amtso_principios.pdf、http://www.eset-la.com/amtso/amtso_mejores_practicas.pdfとして公開されています。うれしいことに、AMTSOのESET以外のメンバーもスペイン語圏のお客さまにこのスペイン語版を紹介してくれています。現在AMTSOでは、静的テストについてのドキュメントの準備が進められているところですが、来年早々に開かれる次回の会議では、このほかに数多くのドキュメントが議題に上る見込みとなっています。ESETのマルウェアインテリジェンス担当ディレクターであるDavid Harleyが参加する、Henk Diemer氏率いるチームは、用語集と正式な定義書の作成を進めています。またDavidは、マルウェア検出テストにおける実行コンテキスト(オンデマンドスキャンか、オンアクセススキャンか、コマンドラインスキャンかなど)の重要性について解説するドキュメントの責任者も務めています。このドキュメントでは、マルウェア検出における動的分析と静的分析の違いや、シグネチャに加えて振る舞い分析を多用する製品における影響に焦点が当てられる予定です。このほか、マルウェアサンプルの入手と取り扱い、マルウェアサンプルの検証、マルウェア作成に関する問題についてのドキュメントが準備中となっています。
本レポート10月号で警告したとおり、PDFリーダーの脆弱性を突くように細工された不正なPDFファイルの検出数が増加傾向にあります。この攻撃が成功すると、追加のマルウェアがシステムにインストールされます。ESETの上級アナリストであるPierre‐Marc Bureauによると、このような不正なPDFファイルはすでに数万個検出されており、PDFのエクスプロイトキットが使用されるケースも増えています。また、請求書を装ったトロイの木馬や偽のアンチマルウェアプログラムも数多く検出されており、現在のところ、ThreatSense Netで収集される新しい偽アンチマルウェアプログラムのサンプルは、1日あたり1GB以上に上っています。これらのプログラムの宣伝では、ソーシャルエンジニアリングの手法と技術的な攻撃が巧みに組み合わされており、例えば、正規アンチマルウェアベンダーのWebサイトを模倣したサイトなどが使用されています。
また、Macを標的とする比較的新しいマルウェア2種が報告されています。ポルノサイト経由で広まるRS‐Plugの亜種(OSX.RSPlug.D)と、ゲームまたはビデオコーデックを装うLamzev‐Aです。
12月度は、Windows Vista x64を対象にしたVirus Bulletin誌のテストでESET NOD32アンチウイルスが53回目のVB100アワードを獲得するというすばらしいニュースで幕を開けました。このテストの詳細については、Virus Bulletin誌の12月号をご覧ください。
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリには多数の亜種が存在します。今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。
世界の数百万台ものクライアントPCから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのPCで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは数千万台のPCから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリは早くも1万種類以上に上っています。