ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2008年12月度のランキングは、先月に引き続き「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち10.65%を占めています。WindowsのAutorun機能を悪用するこのマルウェアは、先月に続いての2位となったオンラインゲームのパスワードを盗み出す「Win32/PSW.OnLineGames」とともに、1年以上継続して大量に検出されています。PSW.OnLineGamesは、全体に占める割合が先月と比較して大幅に減少していますが、まだ減少傾向に入ったわけではないと思われます。数のうえでは引き続き大量に検出されており、月間ランキングに占める割合だけで判断することはできないからです。現在では、多くの悪意あるプログラムが感染手段としてAutorun機能を使用しているため、非常に幅広い種類のマルウェアがINF/Autorunとして検出されています。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
このレポーティングシステムの仕組みについては、本レポート末尾の「 世界中のPCから情報を収集するESETのThreatSense.Net」をご覧ください。また、近日公開予定の2008年度版『Annual Global Threat Report』では、脅威の長期的な傾向を分析しています。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
このレポーティングシステムの仕組みについては、本レポート末尾の「 世界中のPCから情報を収集するESETのThreatSense.Net」をご覧ください。また、近日公開予定の2008年度版『Annual Global Threat Report』では、脅威の長期的な傾向を分析しています。
1. INF/Autorun [全体の約10.65%]
前回の順位:1位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。11月度のランキングでINF/Autorunが第1位に返り咲いたのも、その表れと言えます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。メインの拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように、アンチウイルススキャナに頼るよりもAutorun機能をデフォルトで無効にしてしまうほうがより安全です。
前回の順位:1位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。11月度のランキングでINF/Autorunが第1位に返り咲いたのも、その表れと言えます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。メインの拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように、アンチウイルススキャナに頼るよりもAutorun機能をデフォルトで無効にしてしまうほうがより安全です。
2. Win32/PSW.OnLineGames [全体の約6.84%]
前回の順位:2位
これは、キーロガー機能を備えたトロイの木馬ファミリー(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
Win32/PSW.OnLineGamesとして検出されるマルウェアの中には、オンラインゲームのユーザーアカウントを盗み出す一連の悪意あるプログラムのサブファミリーが含まれています。この脅威は2008年に何度か第1位にランキングされ、特に9月度には検出数が急激に増加するという動きを見せました。「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この種のゲームや仮想空間では、単なる嫌がらせや無意味な疑似ウイルス攻撃(Second Lifeに出現したGrey Gooなど)だけでなく、現実世界での金銭的被害を引き起こすフィッシングなどの詐欺行為にも注意しなければなりません。
前回の順位:2位
これは、キーロガー機能を備えたトロイの木馬ファミリー(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
Win32/PSW.OnLineGamesとして検出されるマルウェアの中には、オンラインゲームのユーザーアカウントを盗み出す一連の悪意あるプログラムのサブファミリーが含まれています。この脅威は2008年に何度か第1位にランキングされ、特に9月度には検出数が急激に増加するという動きを見せました。「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この種のゲームや仮想空間では、単なる嫌がらせや無意味な疑似ウイルス攻撃(Second Lifeに出現したGrey Gooなど)だけでなく、現実世界での金銭的被害を引き起こすフィッシングなどの詐欺行為にも注意しなければなりません。
3. Win32/Conficker [全体の約3.90%]
前回の順位:63位
Win32/Confickerは、先ごろ発見されたMicrosoft Windowsの脆弱性を悪用して感染を広げるネットワークワームです。この脆弱性はRPCサブシステムに存在し、攻撃者によってリモートから悪用される可能性があります。この攻撃は、有効なユーザーアカウントがなくても実行可能です。
Confickerは、FakeAlertやWigonなどのアドウェアファミリーに関係があると思われるマルウェアをダウンロードしようとしますが、このマルウェアはウクライナ語のPCには感染しないように設定されています。また、Windowsファイアウォールを終了し、ランダムなポートでhttpサーバーを稼働させようとします。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。
前回の順位:63位
Win32/Confickerは、先ごろ発見されたMicrosoft Windowsの脆弱性を悪用して感染を広げるネットワークワームです。この脆弱性はRPCサブシステムに存在し、攻撃者によってリモートから悪用される可能性があります。この攻撃は、有効なユーザーアカウントがなくても実行可能です。
Confickerは、FakeAlertやWigonなどのアドウェアファミリーに関係があると思われるマルウェアをダウンロードしようとしますが、このマルウェアはウクライナ語のPCには感染しないように設定されています。また、Windowsファイアウォールを終了し、ランダムなポートでhttpサーバーを稼働させようとします。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。
4. Win32/Agent [全体の約3.01%]
前回の順位:9位
Win32/Agentというのは、感染先のPCからユーザー情報を盗み出す各種マルウェアの総称です。ESET NOD32アンチウイルスでは、この種のマルウェアは汎用名で検出されます。
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスが実行されるようにします。
エンドユーザーへの影響
ランダムなファイル名を付けるという方法も、ファイル名でのマルウェア検出を困難にする手法の1つであり、古くからよく用いられています。ファイル名はマルウェアを検出する1つの手がかりになることもありますが、それだけに頼るべきではありません。アンチマルウェアソフトウェアを選択するにあたっては、メインのマルウェア検出手段としてファイル名を使用しているような製品に注意する必要があります。特に、「nastytrojan.dllを検出した唯一の製品」などと謳っている製品には注意が必要です。
前回の順位:9位
Win32/Agentというのは、感染先のPCからユーザー情報を盗み出す各種マルウェアの総称です。ESET NOD32アンチウイルスでは、この種のマルウェアは汎用名で検出されます。
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスが実行されるようにします。
エンドユーザーへの影響
ランダムなファイル名を付けるという方法も、ファイル名でのマルウェア検出を困難にする手法の1つであり、古くからよく用いられています。ファイル名はマルウェアを検出する1つの手がかりになることもありますが、それだけに頼るべきではありません。アンチマルウェアソフトウェアを選択するにあたっては、メインのマルウェア検出手段としてファイル名を使用しているような製品に注意する必要があります。特に、「nastytrojan.dllを検出した唯一の製品」などと謳っている製品には注意が必要です。
5. Win32/Toolbar.MywebSearch [全体の約3.00%]
前回の順位:4位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。
アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。アドウェアやスパイウェアの被害に遭わないためには、文字が小さいからと言って、EULAを読み飛ばすわけにはいかないのです。
前回の順位:4位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。
アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。アドウェアやスパイウェアの被害に遭わないためには、文字が小さいからと言って、EULAを読み飛ばすわけにはいかないのです。
6. WMA/TrojanDownloader.GetCodec [全体の約2.96%]
前回の順位:8位
WMA/TrojanDownloader.GetCodecはメディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーを悪意あるコンテンツに誘導するURLが指定されたフィールドをヘッダに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。この種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします。
前回の順位:8位
WMA/TrojanDownloader.GetCodecはメディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーを悪意あるコンテンツに誘導するURLが指定されたフィールドをヘッダに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。この種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします。
7. Win32/Pacex.Gen [全体の約1.90%]
前回の順位:3位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とは言え、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることのほうが重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンスで発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです(“A Dose By Any Other Name”: Pierre Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)。
前回の順位:3位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とは言え、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることのほうが重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンスで発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです(“A Dose By Any Other Name”: Pierre Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)。
8. Win32/Adware.Virtumonde [全体の約1.57%]
前回の順位:19位
Adware.Virtumondeというのは、トロイの木馬型アプリケーションのうち、対象のPCに広告を配信するために使用されるファミリーを指す総称です。Virtumondeは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示するなどします。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。マルウェアの作者らにとってアドウェアは依然として大きな収益源となっており、Virtumondeは長きにわたってトップ10にランクインし続けています。
エンドユーザーへの影響
Virtumondeは、ベンダーとユーザーの双方にとって、「アドウェア」というカテゴリ名から受ける印象よりもはるかに厄介な存在となっています。Virtumondeをはじめとするトロイの木馬型アドウェアは、あまりにも多くの広告コンテンツを表示するため、そのシステムで本来の作業を行うことをほとんど不可能にしてしまう場合があります。したがってユーザーは、EULA(使用許諾契約書)に同意する前に、プログラムがそのような振る舞いをするかどうかを確認する必要があります。また、この種のプログラムをインストールすることで、EULAに明記されていない追加のコンポーネントやアプリケーションがインストールされる可能性があることにも注意が必要です。Virtumondeについては、ESETブログの「Adware, Spyware and Possibly Unwanted Applications」と題する記事でも解説しています。
前回の順位:19位
Adware.Virtumondeというのは、トロイの木馬型アプリケーションのうち、対象のPCに広告を配信するために使用されるファミリーを指す総称です。Virtumondeは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示するなどします。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。マルウェアの作者らにとってアドウェアは依然として大きな収益源となっており、Virtumondeは長きにわたってトップ10にランクインし続けています。
エンドユーザーへの影響
Virtumondeは、ベンダーとユーザーの双方にとって、「アドウェア」というカテゴリ名から受ける印象よりもはるかに厄介な存在となっています。Virtumondeをはじめとするトロイの木馬型アドウェアは、あまりにも多くの広告コンテンツを表示するため、そのシステムで本来の作業を行うことをほとんど不可能にしてしまう場合があります。したがってユーザーは、EULA(使用許諾契約書)に同意する前に、プログラムがそのような振る舞いをするかどうかを確認する必要があります。また、この種のプログラムをインストールすることで、EULAに明記されていない追加のコンポーネントやアプリケーションがインストールされる可能性があることにも注意が必要です。Virtumondeについては、ESETブログの「Adware, Spyware and Possibly Unwanted Applications」と題する記事でも解説しています。
9. Win32/AutoRun.KS [全体の約1.07%]
前回の順位:6位
「AutoRun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。INF/Autorunファミリーの亜種のうち、汎用シグネチャではなく特定シグネチャで検出されたものがWin32/AutoRun.KSとなります(ただし、AutoRun.KSの亜種もAutoRun.KSとして検出される場合があります)。
エンドユーザーへの影響
Autorun機能を使用して自分自身をインストールするほかのマルウェアと同じ点に注意する必要があります。INF/Autorunの説明を参照してください。
前回の順位:6位
「AutoRun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。INF/Autorunファミリーの亜種のうち、汎用シグネチャではなく特定シグネチャで検出されたものがWin32/AutoRun.KSとなります(ただし、AutoRun.KSの亜種もAutoRun.KSとして検出される場合があります)。
エンドユーザーへの影響
Autorun機能を使用して自分自身をインストールするほかのマルウェアと同じ点に注意する必要があります。INF/Autorunの説明を参照してください。
10. Win32/Patched.BU [全体の約1.02%]
前回の順位:5位
Win32/Patchedとして検出されるのは、マルウェアによって改ざんされた正規のシステムファイルです。この改ざんは、改ざんされたファイルがメモリに読み込まれるのと同時に悪意のあるファイルが読み込まれるようにすることを目的としています。
Patched.BU自体は、明らかに「悪意がある」とされるような機能は持っていませんが、確実に悪意があるプログラムを実行するために使用されます。
エンドユーザーへの影響
Win32/Patched.BUは、同様のアプローチで感染を試みる不正プログラムファミリーの亜種です。これらのプログラムが正規ファイルを利用するのは、そのほうがファイル名だけに基づく検出を免れやすいからです(アンチマルウェア業界では、以前より一貫して「ファイル名だけに基づいてマルウェアを特定しようとすることには無理があり、正しく悪意あるコードを検出することはできない」と主張してきましたが、負荷の高いシグネチャスキャンをできるだけ避けようといまだにこの種の手法を採用しているベンダーも存在します)。ある意味でこのアプローチは、悪意のあるコードを実行またはダウンロードするために、無害に見えるプログラムを使用して真の悪意を隠ぺいしようとする手法と似ています。
前回の順位:5位
Win32/Patchedとして検出されるのは、マルウェアによって改ざんされた正規のシステムファイルです。この改ざんは、改ざんされたファイルがメモリに読み込まれるのと同時に悪意のあるファイルが読み込まれるようにすることを目的としています。
Patched.BU自体は、明らかに「悪意がある」とされるような機能は持っていませんが、確実に悪意があるプログラムを実行するために使用されます。
エンドユーザーへの影響
Win32/Patched.BUは、同様のアプローチで感染を試みる不正プログラムファミリーの亜種です。これらのプログラムが正規ファイルを利用するのは、そのほうがファイル名だけに基づく検出を免れやすいからです(アンチマルウェア業界では、以前より一貫して「ファイル名だけに基づいてマルウェアを特定しようとすることには無理があり、正しく悪意あるコードを検出することはできない」と主張してきましたが、負荷の高いシグネチャスキャンをできるだけ避けようといまだにこの種の手法を採用しているベンダーも存在します)。ある意味でこのアプローチは、悪意のあるコードを実行またはダウンロードするために、無害に見えるプログラムを使用して真の悪意を隠ぺいしようとする手法と似ています。
近況
2008年度版『Annual Global Threat Report』でも言及していますが、偽のアンチマルウェアソフトウェアを売りつけてエンドユーザーから金銭を巻き上げようとする詐欺的行為が増加、高度化の一途を辿っています。現在のところ、ユーザーは何の役にも立たない偽のアンチマルウェアソフトウェアの代金を支払わされるという形で被害を受けていますが、近い将来には、ユーザーを食い物にするまた別の方法が登場してくるものと予想されます。
これらの偽セキュリティソフトウェアをインストールすると、スパイウェアやアドウェアも同時にインストールされる可能性があります。ユーザーがだまされてクレジットカード番号などの機密情報を漏洩させてしまった場合、その情報は最初の漏洩先から転売されてさまざまな形で悪用される恐れがあります。
決してこの手のソフトウェアにだまされてはなりません。インターネット上には、自分たちを正規のセキュリティベンダーに見せかけようと、あの手この手を使って詐欺的ソフトウェアと正当なソフトウェアとの境界線を曖昧にしようとしている詐欺師が数多く存在します。例えば彼らは、自分たちの「製品」が業界規格の認定を取得していると虚偽の主張をする、本当に機能する簡単なマルウェア検出機能を偽ソフトウェアに搭載する、公開のフォーラムで正規ベンダーの批判をする、自分たちを偽のセキュリティベンダーだと非難する正規ベンダーを訴えると脅す、などの行為を行っています。これらの点を踏まえると、この種のソフトウェアは、エンドユーザーにとっての敵であると同時に、セキュリティコミュニティにとっての敵でもあるといえるかもしれません。
2008年12月、ESETはその前月に引き続き、外部テストで好成績を残しました。『SC Magazine』の2009年1月号では、ESET Smart Security Business Editionが5つ星を獲得し、次のように評価されています。「ESET Smart Security Business Editionは、テスト全体を通じて好印象を残した。エンドポイント向けのセキュリティソフトウェアとして幅広いマルウェアに対応する。また管理コンソールのレポート、アラート、配布、管理の各機能も申し分なかった」。また『MaximumPC』のPaul Lilly氏も、ESET Smart Securityを非常に高く評価しています。「多くの機能を備え、数々の輝かしいアワード受賞歴を誇るESET Smart Securityのテストということで、何とかして弱点を見つけ出そうと思っていたが、とうとうそれは果たせなかった。ESET Smart Securityは感染ファイルをダウンロードしようとする試みを遮断し、またシステムのスキャンにかかった時間はわずか7分54秒と、まるでスキャンを行っているふりをしているかのようだった」。またForbes.comは、最近実施されたAV-TestおよびAV-Comparativesのプロアクティブ検出テストにおけるESET製品のパフォーマンスに注目し、「アンチウイルスの世界における真の勝者はおそらく、AV-ComparativesとAV-Testの両プロアクティブスキャンテストでトップに近い成績を残したESETであろう」と述べています。さらに11月のレポートでも触れましたが、『Virus Bulletin』12月号では、NOD32アンチウイルスが栄えある53回目のVB100アワードを獲得しています。
さてESETのリサーチチームは、時節柄、トレンドや予測の「トップ10」を掲載しなければならないというプレッシャーを感じていました。ここでは、2008年のトレンドトップ10と、2009年の予測トレンドトップ10を挙げておくことにしましょう。これらを含む「トップ10もの」(「脅威から身を守る10の方法」、「エンドポイントセキュリティにおける10のトレンド」、「電子メールにまつわる不愉快な行為トップ10」など)は、近日公開予定の2008年度版『Annual Global Threat Report』でも詳しく取り上げる予定です。
2009年も皆様のご多幸とご繁栄、そして安全を心よりお祈り申し上げます。
これらの偽セキュリティソフトウェアをインストールすると、スパイウェアやアドウェアも同時にインストールされる可能性があります。ユーザーがだまされてクレジットカード番号などの機密情報を漏洩させてしまった場合、その情報は最初の漏洩先から転売されてさまざまな形で悪用される恐れがあります。
決してこの手のソフトウェアにだまされてはなりません。インターネット上には、自分たちを正規のセキュリティベンダーに見せかけようと、あの手この手を使って詐欺的ソフトウェアと正当なソフトウェアとの境界線を曖昧にしようとしている詐欺師が数多く存在します。例えば彼らは、自分たちの「製品」が業界規格の認定を取得していると虚偽の主張をする、本当に機能する簡単なマルウェア検出機能を偽ソフトウェアに搭載する、公開のフォーラムで正規ベンダーの批判をする、自分たちを偽のセキュリティベンダーだと非難する正規ベンダーを訴えると脅す、などの行為を行っています。これらの点を踏まえると、この種のソフトウェアは、エンドユーザーにとっての敵であると同時に、セキュリティコミュニティにとっての敵でもあるといえるかもしれません。
2008年12月、ESETはその前月に引き続き、外部テストで好成績を残しました。『SC Magazine』の2009年1月号では、ESET Smart Security Business Editionが5つ星を獲得し、次のように評価されています。「ESET Smart Security Business Editionは、テスト全体を通じて好印象を残した。エンドポイント向けのセキュリティソフトウェアとして幅広いマルウェアに対応する。また管理コンソールのレポート、アラート、配布、管理の各機能も申し分なかった」。また『MaximumPC』のPaul Lilly氏も、ESET Smart Securityを非常に高く評価しています。「多くの機能を備え、数々の輝かしいアワード受賞歴を誇るESET Smart Securityのテストということで、何とかして弱点を見つけ出そうと思っていたが、とうとうそれは果たせなかった。ESET Smart Securityは感染ファイルをダウンロードしようとする試みを遮断し、またシステムのスキャンにかかった時間はわずか7分54秒と、まるでスキャンを行っているふりをしているかのようだった」。またForbes.comは、最近実施されたAV-TestおよびAV-Comparativesのプロアクティブ検出テストにおけるESET製品のパフォーマンスに注目し、「アンチウイルスの世界における真の勝者はおそらく、AV-ComparativesとAV-Testの両プロアクティブスキャンテストでトップに近い成績を残したESETであろう」と述べています。さらに11月のレポートでも触れましたが、『Virus Bulletin』12月号では、NOD32アンチウイルスが栄えある53回目のVB100アワードを獲得しています。
さてESETのリサーチチームは、時節柄、トレンドや予測の「トップ10」を掲載しなければならないというプレッシャーを感じていました。ここでは、2008年のトレンドトップ10と、2009年の予測トレンドトップ10を挙げておくことにしましょう。これらを含む「トップ10もの」(「脅威から身を守る10の方法」、「エンドポイントセキュリティにおける10のトレンド」、「電子メールにまつわる不愉快な行為トップ10」など)は、近日公開予定の2008年度版『Annual Global Threat Report』でも詳しく取り上げる予定です。
表1:2008年度におけるマルウェアの主なトレンド
- 偽アンチウイルス/アンチスパイウェア製品の増加、高度化。
- オンラインゲームのパスワードを盗み出すマルウェアの増加。ユ窶買Uーアカウントに不正アクセスされて仮想資産を盗まれ、現実世界で転売される恐れ。
- 多くのマルウェアがWindowsのAutorun機能を悪用する機能を搭載。
- トロイの木馬的な活動を行う不正なPDFファイルなど、通常「信頼できる」と考えられるドキュメントを悪用する攻撃の増加。
- オーバーフローなどを引き起こすバグを悪用したアプリケーションやオペレーティングシステムに対する攻撃の増加(攻撃が自動化されているケースも多い)。
- Stormワームボットネットの終焉(あるいは、その運用者たちによる自主的な一時休止)。このことからわれわれは、「多くのボットハーダーは巨大ボットネットからより小規模なボットネットへと移行し始めているのではないか」という疑念を強くしています。小規模なボットネットは、大規模なボットネットよりも存在を隠ぺいしやすく、またメンテナンスも容易です。ただし、このように活動休止状態にあるボットネットの運用が別のグループに引き継がれているケースもあるようです。
- MicrosoftのMS08-067に代表されるセキュリティ脆弱性の悪用(MS08-067の脆弱性は、ConfickerやGimmivなどのマルウェアファミリーに利用された)。
- コーデックを装うマルウェアが引き続き数多く登場。この種のマルウェアは、何らかのデジタルコンテンツを再生するために必要な正規のプログラムに見せかけて自分自身を実行させようとします。また、ソーシャルエンジニアリングや感染プロセスの一環として不正なメディアファイルを使用するケースも多く見られました(代表例はGetCodec)。
- 「ドライブバイダウンロード」など、Webブラウザーやブラウザープラグインの脆弱性を悪用した手法で感染を広げようとするマルウェアの増加。
- ランタイムパッカーや難読化を利用してアンチマルウェアソフトウェアによる検出(主に従来型のシグネチャスキャン)を逃れようとするマルウェアが引き続き多く登場(ランタイムパッカーを利用するマルウェアの代表例はThemida)。
表2:2009年度に予測される脅威のトレンド
- 実際には存在しないマルウェアを検出してみせる偽アンチマルウェアソフトウェアビジネスがさらに拡大し、ユーザーから金銭をだまし取ろうとする犯罪者がますます増加する。ソフトウェアの機能だけでなく、ユーザーをだます際のソーシャルエンジニアリングの手法もさらに洗練されていくと予想されます。
- 悪意のある広告、詐欺的な広告が増加する。この背景には、マルウェア作者がこのような投資をするようになったこと、広告掲載サイトの管理人が掲載する広告の内容をきちんと確認しないことがあります。
- 利用頻度が最も高いソフトウェアの1つであるWebブラウザー(特にシェアの高いブラウザー)を狙う脅威が増加する。
- コンセプト実証(Proof-of-Concept:PoC)のための攻撃やモバイル用ブラウザーを悪用する攻撃を含め、モバイルデバイスに対する脅威が増加する。具体的には、iPhoneやGoogle Androidベースの携帯電話で使用されているWebKit採用ブラウザーに対する攻撃が増えると予想されます。
- Mac OS XやLinuxなど、Windows以外のオペレーティングシステムが普及するにつれ、それらに対する脅威が増加する(ユーザーの意識や対策がその普及に追いついていないため)。
- 検出されるまでの時間をできるだけ長くするため、多くのマルウェア作者がデータ隠ぺい技術を採用するようになる。現在のほとんどのマルウェアは以前とは違い、できるだけ速く、そして広範囲に感染を広げるようには設計されていません。今日のマルウェア作者は、投資対効果が最大になるようにマルウェアを作成しています。
- 検出を逃れるため、さまざまなファイル形式(PDF、JavaScript、メディアファイルなど)を用いて悪意のあるコードを隠ぺいしようとするマルウェアが増加する。特に、ファイルを単なるデータファイルに見せかけ、その中に実行可能コードを隠すという手法が増えると予想されます。
- ソーシャルエンジニアリングを利用した攻撃が増加し、攻撃の際に用いられる手法がますます洗練されていく。ソーシャルエンジニアリングは立派な「攻撃技術」の1つであり、セキュリティにおける最大の弱点、つまりキーボードを操る人間をターゲットとします。膨大な労力を費やして行われる、アプリケーションのパッチ未公開の脆弱性を突くゼロデイ攻撃を過小評価することはできませんが、多くの攻撃は、もっと単純にユーザーの軽率な行動を突破口にしています。
- 多くのサイバー犯罪者が高度なビジネスモデルを取り入れるようになる。マルウェアはもはや、研究熱心な10代のプログラマが、自らの技術や創造性を証明するために作成するようなものではなくなっています。マルウェア作成は投資対効果に基づいて行われており、悪意のあるコードは金儲けのための実利的な手段として用いられています。
- VM(仮想マシン)を認識するマルウェアが増加し、仮想環境である場合には活動を停止したり、仮想環境固有の脆弱性を探したりするようになる。また、ますます高度化するボットが、動作マシン上でボットネットとしての活動を隠ぺいするために仮想化技術を使用するようになると予想されます。さらに、カーネルモードrootkitを利用するケースも増加し、動作中のマルウェアの検出が困難になると考えられます。
2009年も皆様のご多幸とご繁栄、そして安全を心よりお祈り申し上げます。
世界中のPCから情報を収集するESETのThreatSense.Net
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリーには多数の亜種が存在します。今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスアンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。
世界の数百万台ものクライアントPCから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのPCで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは数千万台のPCから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリーは早くも1万種類以上に上っています。
「In the Wild」と呼ばれる、実際に感染報告があるマルウェア(悪意のあるソフトウェア)は、それぞれ異なるさまざまな機能と特徴を備えており、多くの場合、脅威の種類ごとに分類された各マルウェアファミリーには多数の亜種が存在します。今日のアンチウイルスソリューションには、定義ファイルの更新頻度が高いことに加えて、ESET NOD32アンチウイルスアンチウイルスやESET Smart Securityが備える高度なヒューリスティックエンジンのような、日々出現する新しい未知の脅威にも対応できるプロアクティブな検出機能を搭載していることが求められます。
本レポート内で個別に記載することはしていませんが、実際、ThreatSense.Netでレポートされるマルウェアのうち、ヒューリスティックエンジンによって検出されたものは相当数に上っています。
世界の数百万台ものクライアントPCから収集されたマルウェア検出統計をレポートするThreatSense.Netは、数あるマルウェアレポーティングシステムの中で最も包括的な脅威追跡システムです。ThreatSense.Netは元々、現在virus radarとして実現されているESET独自のマルウェアレポーティングシステムとしてスタートしましたが、その後、収集する統計データの質を大幅に向上させ、現在の姿へと進化してきました。virus radarが電子メール経由で広まる脅威だけを対象としているのに対し、ThreatSense.Netは、ユーザーのPCで検出されたあらゆるタイプの脅威に関する情報を収集しています。ThreatSense.Netは、ESETのセキュリティソフトウェアのレポーティング機能を有効にしているユーザーから統計データを匿名情報として収集し、現在のマルウェアの活動および拡散状況を包括的に把握できるようにします。現在、統計データは数千万台のPCから収集されており、これまでにThreatSense.Netによって確認された脅威/マルウェアのファミリーは早くも1万種類以上に上っています。