ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年1月度のランキングは、先月に引き続き「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち9.71%を占めています。WindowsのAutorun機能を悪用するこのマルウェアは、先月に続いての2位となったオンラインゲームのパスワードを盗み出す「Win32/PSW.OnLineGames」とともに、1年以上継続して大量に検出されています。全体に占める割合が一時減少したオンラインゲームのパスワードを盗み出すマルウェアも依然として多数検出されており、まだ長期的な減少傾向に入ったと見なすことはできません。現在では、多くの悪意あるプログラムが感染手段としてAutorun機能を使用しているため、非常に幅広い種類のマルウェアがINF/Autorunとして検出されています。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
1. INF/Autorun [全体の約9.71%]
前回の順位:1位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunが第1位に返り咲いたのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため、多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。メインの拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように、アンチウイルススキャナに頼るよりもAutorun機能をデフォルトで無効にしてしまうほうがより安全です。
この問題については、http://www.eset.com/threat-center/で公開している「Mid-Year Global Threat Report for 2008」と「Year-End Global Threat Report for 2008」で詳しく解説しています。
前回の順位:1位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunが第1位に返り咲いたのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため、多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。メインの拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように、アンチウイルススキャナに頼るよりもAutorun機能をデフォルトで無効にしてしまうほうがより安全です。
この問題については、http://www.eset.com/threat-center/で公開している「Mid-Year Global Threat Report for 2008」と「Year-End Global Threat Report for 2008」で詳しく解説しています。
2. Win32/PSW.OnLineGames [全体の約6.62%]
前回の順位:2位
これは、キーロガー機能を備えたトロイの木馬ファミリー(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
2008年9月度に検出数が爆発的に増加したPSW.OnLineGamesですが、その後は大きくシェアを落としています。とはいえ依然として大量に検出されていることに変わりはなく、ゲームユーザーは引き続き警戒が必要です。
また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この種のゲームや仮想空間では、単なる嫌がらせや無意味な疑似ウイルス攻撃(Second Lifeに出現したGrey Gooなど)だけでなく、現実世界での金銭的被害を引き起こすフィッシングなどの詐欺行為にも注意しなければなりません。
この問題については、http://www.eset.com/threat-center/で公開している「Year-End Global Threat Report for 2008」でESET Malware Intelligenceチームが詳しく解説しています。
前回の順位:2位
これは、キーロガー機能を備えたトロイの木馬ファミリー(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
2008年9月度に検出数が爆発的に増加したPSW.OnLineGamesですが、その後は大きくシェアを落としています。とはいえ依然として大量に検出されていることに変わりはなく、ゲームユーザーは引き続き警戒が必要です。
また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この種のゲームや仮想空間では、単なる嫌がらせや無意味な疑似ウイルス攻撃(Second Lifeに出現したGrey Gooなど)だけでなく、現実世界での金銭的被害を引き起こすフィッシングなどの詐欺行為にも注意しなければなりません。
この問題については、http://www.eset.com/threat-center/で公開している「Year-End Global Threat Report for 2008」でESET Malware Intelligenceチームが詳しく解説しています。
3. Win32/Conficker [全体の約6.36%]
前回の順位:3位
Win32/Confickerは、先ごろ発見されたMicrosoft Windowsの脆弱性を悪用して感染を広げるネットワークワームです。この脆弱性はRPCサブシステムに存在し、攻撃者によってリモートから悪用される可能性があります。この攻撃は、有効なユーザーアカウントがなくても実行可能です。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。
この脅威の特徴やその対処方法については、ESETブログでも解説しています。また、「ギーク向け」となる詳細な解説記事も用意しています。本レポートの末尾には、この記事の要約版が掲載されています。
前回の順位:3位
Win32/Confickerは、先ごろ発見されたMicrosoft Windowsの脆弱性を悪用して感染を広げるネットワークワームです。この脆弱性はRPCサブシステムに存在し、攻撃者によってリモートから悪用される可能性があります。この攻撃は、有効なユーザーアカウントがなくても実行可能です。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。
この脅威の特徴やその対処方法については、ESETブログでも解説しています。また、「ギーク向け」となる詳細な解説記事も用意しています。本レポートの末尾には、この記事の要約版が掲載されています。
4. Win32/Agent [全体の約3.64%]
前回の順位:4位
Win32/Agentというのは、感染先のPCからユーザー情報を盗み出す各種マルウェアの総称です。ESET製品では、この種のマルウェアは汎用名で検出されます。
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスが実行されるようにします。
エンドユーザーへの影響
ランダムなファイル名を付けるという方法も、ファイル名でのマルウェア検出を困難にする手法の1つであり、古くからよく用いられています。ファイル名はマルウェアを検出する1つの手がかりになることもありますが、それだけに頼るべきではありません。アンチマルウェアソフトウェアを選択するにあたっては、メインのマルウェア検出手段としてファイル名を使用しているような製品に注意する必要があります。特に、「nastytrojan.dllを検出した唯一の製品」などとうたっている製品には注意が必要です。
前回の順位:4位
Win32/Agentというのは、感染先のPCからユーザー情報を盗み出す各種マルウェアの総称です。ESET製品では、この種のマルウェアは汎用名で検出されます。
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスが実行されるようにします。
エンドユーザーへの影響
ランダムなファイル名を付けるという方法も、ファイル名でのマルウェア検出を困難にする手法の1つであり、古くからよく用いられています。ファイル名はマルウェアを検出する1つの手がかりになることもありますが、それだけに頼るべきではありません。アンチマルウェアソフトウェアを選択するにあたっては、メインのマルウェア検出手段としてファイル名を使用しているような製品に注意する必要があります。特に、「nastytrojan.dllを検出した唯一の製品」などとうたっている製品には注意が必要です。
5. WMA/TrojanDownloader.GetCodec [全体の約2.99%]
前回の順位:6位
WMA/TrojanDownloader.GetCodecはメディアファイルを改ざんするマルウェアです。このトロイの木馬は、PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーを悪意あるコンテンツに誘導するURLが指定されたフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。
WMA/TrojanDownloader.GetCodecは、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援するWimad.Nと深い関わり合いを持つダウンローダーです。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかトロイの木馬であるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします。
前回の順位:6位
WMA/TrojanDownloader.GetCodecはメディアファイルを改ざんするマルウェアです。このトロイの木馬は、PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーを悪意あるコンテンツに誘導するURLが指定されたフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。
WMA/TrojanDownloader.GetCodecは、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援するWimad.Nと深い関わり合いを持つダウンローダーです。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかトロイの木馬であるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします。
6. Win32/Toolbar.MywebSearch [全体の約2.10%]
前回の順位:5位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。 アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、使用許諾契約書であるEULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。したがって、アドウェアやスパイウェアの被害に遭わないためには、小さい文字であろうともEULAに目を通すことが重要となります。
前回の順位:5位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。 アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、使用許諾契約書であるEULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。したがって、アドウェアやスパイウェアの被害に遭わないためには、小さい文字であろうともEULAに目を通すことが重要となります。
7. Win32/Adware.Virtumonde [全体の約1.77%]
前回の順位:8位
Adware.Virtumondeというのは、トロイの木馬型アプリケーションのうち、対象のPCに広告を配信するために使用されるファミリを指す総称です。Virtumondeは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示するなどします。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。マルウェアの作者らにとってアドウェアは依然として大きな収益源となっています。
エンドユーザーへの影響
Virtumondeは、ベンダーとユーザーの双方にとって、「アドウェア」や「好ましくない動作をする可能性のあるアプリケーション」といったカテゴリ名から受ける印象よりもはるかに厄介な存在となっています。このVirtumondeについては、2008年7月度のレポートのコラム「Virtumonde:招かれざる長居の客」でも取り上げています。また、ESETブログの「Adware, Spyware and Possibly Unwanted Applications」と題する記事でも、この問題について解説しています。
前回の順位:8位
Adware.Virtumondeというのは、トロイの木馬型アプリケーションのうち、対象のPCに広告を配信するために使用されるファミリを指す総称です。Virtumondeは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示するなどします。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。マルウェアの作者らにとってアドウェアは依然として大きな収益源となっています。
エンドユーザーへの影響
Virtumondeは、ベンダーとユーザーの双方にとって、「アドウェア」や「好ましくない動作をする可能性のあるアプリケーション」といったカテゴリ名から受ける印象よりもはるかに厄介な存在となっています。このVirtumondeについては、2008年7月度のレポートのコラム「Virtumonde:招かれざる長居の客」でも取り上げています。また、ESETブログの「Adware, Spyware and Possibly Unwanted Applications」と題する記事でも、この問題について解説しています。
8. Win32/Pacex.Gen [全体の約1.62%]
前回の順位:7位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることのほうが重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンスで発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)。
前回の順位:7位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることのほうが重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンスで発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)。
9. Win32/Qhost [全体の約1.09%]
前回の順位:17位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。電子メールを介して拡散し、攻撃者が感染したPCを乗っ取れるようにします。このトロイの木馬ファミリは、hostsファイルを改ざんして特定ドメインへのトラフィックをリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染マシンがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
前回の順位:17位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。電子メールを介して拡散し、攻撃者が感染したPCを乗っ取れるようにします。このトロイの木馬ファミリは、hostsファイルを改ざんして特定ドメインへのトラフィックをリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染マシンがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
10. Win32/Patched.BU [全体の約0.68%]
前回の順位:10位
Win32/Patchedとして検出されるのは、マルウェアによって改ざんされた正規のシステムファイルです。この改ざんは、改ざんされたファイルがメモリに読み込まれるのと同時に悪意のあるファイルが読み込まれるようにすることを目的としています。
Patched.BU自体は、明らかに「悪意がある」とされるような機能は持っていませんが、確実に悪意があるプログラムを実行するために使用されます。
エンドユーザーへの影響
Win32/Patched.BUは、同様のアプローチで感染を試みる不正プログラムファミリーの亜種です。これらのプログラムが正規ファイルを利用するのは、そのほうがファイル名だけに基づく検出を免れやすいからです(アンチマルウェア業界では、以前より一貫して「ファイル名だけに基づいてマルウェアを特定しようとすることには無理があり、正しく悪意あるコードを検出することはできない」と主張してきましたが、負荷の高いシグネチャスキャンをできるだけ避けようといまだにこの種の手法を採用しているベンダーも存在します)。ある意味でこのアプローチは、悪意のあるコードを実行またはダウンロードするために、無害に見えるプログラムを使用して真の悪意を隠ぺいしようとする手法と似ています。
前回の順位:10位
Win32/Patchedとして検出されるのは、マルウェアによって改ざんされた正規のシステムファイルです。この改ざんは、改ざんされたファイルがメモリに読み込まれるのと同時に悪意のあるファイルが読み込まれるようにすることを目的としています。
Patched.BU自体は、明らかに「悪意がある」とされるような機能は持っていませんが、確実に悪意があるプログラムを実行するために使用されます。
エンドユーザーへの影響
Win32/Patched.BUは、同様のアプローチで感染を試みる不正プログラムファミリーの亜種です。これらのプログラムが正規ファイルを利用するのは、そのほうがファイル名だけに基づく検出を免れやすいからです(アンチマルウェア業界では、以前より一貫して「ファイル名だけに基づいてマルウェアを特定しようとすることには無理があり、正しく悪意あるコードを検出することはできない」と主張してきましたが、負荷の高いシグネチャスキャンをできるだけ避けようといまだにこの種の手法を採用しているベンダーも存在します)。ある意味でこのアプローチは、悪意のあるコードを実行またはダウンロードするために、無害に見えるプログラムを使用して真の悪意を隠ぺいしようとする手法と似ています。
近況
年間脅威レポートを公開
ESET Threat Centerで公開しているブログを購読されている方はすでにご存知かと思いますが、先日、「Year-End Global Threat Report for 2008」(PDFレポート)を公開しました。この長大なレポートでは、2008年におけるマルウェアのおもな傾向と2009年に予測される脅威の傾向を詳しく解説しています。 特に大きく取り上げているのは、偽のアンチマルウェア製品、データファイルがもたらす脅威、正規ファイルの悪用、偽のコーデックと関連する脅威、そしてAutorun機能を悪用するマルウェアです。また、Virtumondeをはじめとするアドウェア、Win32/PSW.OnlineGames、Win32/Agent、Win32/Confickerなど、特定のマルウェアにも言及しています(Confickerについては、このすぐあとでも取り上げます)。このほか、次のようなトピックも掲載されています。
・2009年に予測される脅威から身を守る10の方法
・エンドポイントセキュリティに関して予測される10の傾向
・2008年の個別マルウェア検出数トップ20
・2008年のタイプ別マルウェア検出数
・電子メール関連の迷惑行為トップ10
さらに、2008年に検出された悪意のある添付ファイルの傾向についても分析しています。
Conficker/Downadup
一部では、Confickerに感染したPCは1,000万台から5,000万台に上ると大きく報じられています。われわれは、それほどまでに感染が広がっているという確証は持っていませんが(http://www.eset.com/threat-center/blog/?p=511を参照)、非常に多くのPCがConfickerに感染していることはまちがいありません。Confickerは、PCを攻撃するためにさまざまな手段を用います。そこで以下では、これまでにブログで解説してきたいくつかのConficker対策を改めて紹介します。
あたりまえのことですが、何よりも重要なのは、適切なアンチマルウェアソフトウェアを使用することです。アンチマルウェアソフトウェアは、あらゆるリスクに対して完全なセキュリティを提供してくれるわけではありませんが、最新のアンチマルウェアソフトウェアを導入していれば、そうでない場合よりもConfickerに感染する確率を低くすることができます。ESETでは、セキュリティベンダー各社と同様、これまでにConfickerの亜種を多数検出しており、新しい亜種についての情報を入手するたびにシグネチャとヒューリスティック技術を更新しています。Confickerは高度で複雑な脅威ですが、現在のところESETの検出技術は極めて有効に機能しています。
ConfickerはMicrosoftのMS08-067の脆弱性を悪用することが知られていますので、この脆弱性を修正するパッチを適用する必要があります(すでにConfickerに感染している場合は、パッチ適用の前に駆除を行ってください)。興味深いことに、Confickerは、感染先のシステムにMS08-067の脆弱性が存在する場合、この脆弱性を修正することがあります(Confickerは複数の方法で感染するため、この脆弱性が存在しないシステムにも感染します)。
MS08-067の脆弱性は、netapi32.dllのnetapi32.NetpwPathCanonicalize関数に起因しています。この脆弱性を修正するパッチが緊急リリースされたのは2008年10月23日のことですが、依然としてこのパッチを適用していない企業や組織は少なくありません。Confickerは、自身が割り当てたメモリ領域へのジャンプを問題の関数の先頭部分に追加し、修正した関数をその領域にコピーすることによって元の脆弱性を解消します(これは、Confickerの作者が良心から行っているというより、ほかのマルウェアがこの脆弱性を悪用できないようにするという目的があると考えられます)。この関数は、自身のパラメータ以外のデータにはアクセスする必要のない自己完結型の関数であるため、書き換えは比較的容易であり、これによって動作が不安定になることもありません。とはいえやはり、Confickerを駆除したあとは正規のパッチを適用し直すことが推奨されます。
現時点で、まだパッチを適用していないユーザーは相当数存在します(特に企業ユーザー)。すでにPCが感染している場合、システム所有者/システム管理者またはマルウェアによって自動アップデートが無効にされている可能性があります。その場合には、適切な方法でConfickerを駆除することが必要です。単にパッチを適用するだけで感染したPCを元に戻すことはできませんので、パッチを適用する前にConfickerを駆除してください。MS08-067のパッチを適用する際には、同時に MS08-068とMS09-001のパッチも適用する必要があります。
このほか、脆弱な管理共有パスワードにも注意が必要となります。Confickerは、辞書攻撃で単純なログインID/パスワードを試し、ローカルネットワーク共有にアクセスしようとします。そのため、企業環境では、駆除作業中は管理共有とネットワークドライブを無効にして、駆除作業を行ったPCが直後に再感染するのを防ぐとともに、共有の使用を再開する前に強力なパスワードを設定することをお勧めします。
Confickerは、WindowsのAutorun機能も悪用します。ESETでは以前より、Autorunはデフォルトでは無効にしておくべき機能だと主張してきました(実際のところ、この機能を悪用するマルウェアはThreatsense.Netにおいて最も厄介な脅威の1つとなっています)。再感染の可能性を小さくするためにも、少なくとも駆除作業の間は一時的にAutorun機能を無効にするようにしてください。なおMicrosoftは、この機能を無効にする方法を二度にわたって 公開していますが、US-CERTは、Microsoftが説明している方法では不十分であるとする技術文書を公開しています。特に必要のないかぎり、Microsoftの方法ではなく、US-CERTの文書で説明されているSyS:DoesNotExistを使う方法を実施するようにしてください。
また、過去に使用したUSBデバイスが自動実行されるのを防ぐため、システムを再起動する前に、レジストリキーのHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2を削除する必要もあります。
あたりまえのことですが、何よりも重要なのは、適切なアンチマルウェアソフトウェアを使用することです。アンチマルウェアソフトウェアは、あらゆるリスクに対して完全なセキュリティを提供してくれるわけではありませんが、最新のアンチマルウェアソフトウェアを導入していれば、そうでない場合よりもConfickerに感染する確率を低くすることができます。ESETでは、セキュリティベンダー各社と同様、これまでにConfickerの亜種を多数検出しており、新しい亜種についての情報を入手するたびにシグネチャとヒューリスティック技術を更新しています。Confickerは高度で複雑な脅威ですが、現在のところESETの検出技術は極めて有効に機能しています。
ConfickerはMicrosoftのMS08-067の脆弱性を悪用することが知られていますので、この脆弱性を修正するパッチを適用する必要があります(すでにConfickerに感染している場合は、パッチ適用の前に駆除を行ってください)。興味深いことに、Confickerは、感染先のシステムにMS08-067の脆弱性が存在する場合、この脆弱性を修正することがあります(Confickerは複数の方法で感染するため、この脆弱性が存在しないシステムにも感染します)。
MS08-067の脆弱性は、netapi32.dllのnetapi32.NetpwPathCanonicalize関数に起因しています。この脆弱性を修正するパッチが緊急リリースされたのは2008年10月23日のことですが、依然としてこのパッチを適用していない企業や組織は少なくありません。Confickerは、自身が割り当てたメモリ領域へのジャンプを問題の関数の先頭部分に追加し、修正した関数をその領域にコピーすることによって元の脆弱性を解消します(これは、Confickerの作者が良心から行っているというより、ほかのマルウェアがこの脆弱性を悪用できないようにするという目的があると考えられます)。この関数は、自身のパラメータ以外のデータにはアクセスする必要のない自己完結型の関数であるため、書き換えは比較的容易であり、これによって動作が不安定になることもありません。とはいえやはり、Confickerを駆除したあとは正規のパッチを適用し直すことが推奨されます。
現時点で、まだパッチを適用していないユーザーは相当数存在します(特に企業ユーザー)。すでにPCが感染している場合、システム所有者/システム管理者またはマルウェアによって自動アップデートが無効にされている可能性があります。その場合には、適切な方法でConfickerを駆除することが必要です。単にパッチを適用するだけで感染したPCを元に戻すことはできませんので、パッチを適用する前にConfickerを駆除してください。MS08-067のパッチを適用する際には、同時に MS08-068とMS09-001のパッチも適用する必要があります。
このほか、脆弱な管理共有パスワードにも注意が必要となります。Confickerは、辞書攻撃で単純なログインID/パスワードを試し、ローカルネットワーク共有にアクセスしようとします。そのため、企業環境では、駆除作業中は管理共有とネットワークドライブを無効にして、駆除作業を行ったPCが直後に再感染するのを防ぐとともに、共有の使用を再開する前に強力なパスワードを設定することをお勧めします。
Confickerは、WindowsのAutorun機能も悪用します。ESETでは以前より、Autorunはデフォルトでは無効にしておくべき機能だと主張してきました(実際のところ、この機能を悪用するマルウェアはThreatsense.Netにおいて最も厄介な脅威の1つとなっています)。再感染の可能性を小さくするためにも、少なくとも駆除作業の間は一時的にAutorun機能を無効にするようにしてください。なおMicrosoftは、この機能を無効にする方法を二度にわたって 公開していますが、US-CERTは、Microsoftが説明している方法では不十分であるとする技術文書を公開しています。特に必要のないかぎり、Microsoftの方法ではなく、US-CERTの文書で説明されているSyS:DoesNotExistを使う方法を実施するようにしてください。
また、過去に使用したUSBデバイスが自動実行されるのを防ぐため、システムを再起動する前に、レジストリキーのHKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2を削除する必要もあります。