2009年2月 世界のマルウェアランキング

この記事をシェア
2009年2月の月間マルウェアランキング結果発表
 
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年2月度のランキングは、「Win32/PSW.OnLineGames」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち7.33%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
2009年2月の結果グラフ
 
1. Win32/PSW.OnLineGames [全体の約7.33%]
前回の順位:2位
これは、キーロガー機能を備えたトロイの木馬ファミリー(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
ここしばらくの間、INF/Autorunとランキングの1位、2位を分け合ってきたWin32/PSW.OnLineGamesですが、2月度は久しぶりにランキングトップの座へと返り咲きました。
「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この種のゲームや仮想空間では、単なる嫌がらせや無意味な疑似ウイルス攻撃(Second Lifeに出現したGrey Gooなど)だけでなく、現実世界での金銭的被害を引き起こすフィッシングなどの詐欺行為にも注意しなければなりません。
この問題については、http://www.eset.com/threat-center/で公開している「Year-End Global Threat Report for 2008」でESET Malware Intelligenceチームが詳しく解説しています。

 
2. INF/Autorun [全体の約6.44%]
前回の順位:1位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。このところのランキングでINF/Autorunが常に1位か2位にランクインしているのも、その表れと言えます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため、多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。メインの拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように、アンチウイルススキャナに頼るよりもAutorun機能をデフォルトで無効にしてしまうほうがより安全です。ESETブログの最近の記事もあわせてご覧ください。
この問題については、http://www.eset.com/threat-center/で公開している「Mid-Year Global Threat Report for 2008」と「Year-End Global Threat Report for 2008」でも詳しく解説しています。Microsoftも、2009年2月24日に公開された「マイクロソフトセキュリティアドバイザリ(967940):Windows Autorun(自動実行)用の更新プログラム」でこの問題への対処方法を解説しています。http://support.microsoft.com/kb/967715とあわせてご覧ください。

 
3. Win32/Conficker.AA [全体の約5.38%]
前回の順位:ランク外
Win32/Conficker.AAは、共有フォルダとリムーバブルメディアを介して感染を広げるワームです。このワームは、リモートPCに接続してServerサービスの脆弱性を悪用しようとします。
詳しい解説は、こちらをご覧ください。


エンドユーザーへの影響
ESETの製品はすでにConfickerの複数の亜種に対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。
Confickerは、INF/Autorunファミリーのメンバーが悪用するAutorun機能も利用します。

 
4. Win32/Agent [全体の約3.67%]
前回の順位:4位
Win32/Agentというのは、感染先のPCからユーザー情報を盗み出す各種マルウェアの総称です。ESET NOD32では、この種のマルウェアは汎用名で検出されます。
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスが実行されるようにします。


エンドユーザーへの影響
ランダムなファイル名を付けるという方法も、ファイル名でのマルウェア検出を困難にする手法の1つであり、古くからよく用いられています。ファイル名はマルウェアを検出する1つの手がかりになることもありますが、それだけに頼るべきではありません。アンチマルウェアソフトウェアを選択するにあたっては、メインのマルウェア検出手段としてファイル名を使用しているような製品に注意する必要があります。特に、「nastytrojan.dllを検出した唯一の製品」などとうたっている製品には注意が必要です。
 
5. Win32/Conficker.A [全体の約2.10%]
前回の順位:3位
Win32/Confickerは、先ごろ発見されたWindowsオペレーティングシステムの脆弱性を悪用して感染を広げるネットワークワームです。この脆弱性はRPCサブシステムに存在し、攻撃者によってリモートから悪用される可能性があります。この攻撃は、有効なユーザーアカウントがなくても実行可能です。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。


エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。
 
6. Win32/TrojanDownloader.Swizzor.NBF [全体の約2.07%]
前回の順位:36位
Win32/TrojanDownloader.Swizzorはおもに、感染先のPCに追加コンポーネントをダウンロードしてインストールするために使用されるマルウェアファミリーです。
Swizzorは、感染先のホストに複数のアドウェアコンポーネントをインストールすることが確認されています。Swizzorファミリーの一部の亜種は、ESETブログでも解説されているように、ロシア語のシステムでは動作しないように設定されています。


エンドユーザーへの影響
以前から指摘しているように、純然たるマルウェアとアドウェアなどの迷惑プログラムとを明確に区別することは通常困難です。しかし、広告活動のためにマルウェアが用いられることは少なくありません。かつてのウイルス作者は、金銭とは関係なくいたずらや報復目的でウイルスを作成していましたが、現代のマルウェア作者の多くは金銭的な利益を得ることを目的としています。
特定言語のシステムに感染しないように設定されているマルウェアが存在するのは、マルウェアに感染させただけで訴追される可能性がある国の法律に抵触しないようにするためではないかと、ESETのPierre-Marc Bureauは推測しています。Confickerの最初期の亜種は、ウクライナ語のPCへの感染を防ぐために複数の手法を用いていました。このようなテクニックは、攻撃者の国籍を類推するヒントになるかもしれません。

 
7. WMA/TrojanDownloader.GetCodec.Gen [全体の約1.67%]
前回の順位:5位
WMA/TrojanDownloader.GetCodecはメディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。WMA/TrojanDownloader.GetCodecは、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援するWimad.Nと深い関わり合いを持つダウンローダです。

エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。この種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします。こちらをご覧ください。
 
8. Win32/Adware.TencentAd [全体の約1.60%]
前回の順位:73位
Win32/Adware.TencentAdは、感染先のPCで広告を表示するために使用される脅威のファミリーです。 このアドウェアは、アジア地域のPCを標的にしていると見られ、多くの場合「ドライブバイダウンロード」で自動的にインストールされます。

エンドユーザーへの影響
ドライブバイダウンロードでの感染は、ユーザー操作が介在しての感染と比較して、実態よりも多く発生していると考えられているようです。しかし、ユーザーをだましてマルウェアを実行させるソーシャルエンジニアリングの手法は、繰り返し何度でも使えます。一方、システムの脆弱性を利用してユーザーの操作なしで感染を引き起こす手法は、その脆弱性の修正パッチを適用するユーザーが増えるにつれて成功率が低下します。また、利用可能な脆弱性の数にも限りがあります。個人であるか組織であるかを問わず、パッチを適切に適用していれば、この種のマルウェアへの感染リスクはかなり軽減することができるのです。ただし、もちろんゼロデイ攻撃が成功するケースもあります。その具体例については「近況」のセクションをご覧ください。
 
9. Win32/Toolbar.MywebSearch [全体の約1.47%]
前回の順位:6位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。

エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。
アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。したがって、アドウェアやスパイウェアの被害に遭わないためには、小さい文字であろうともEULAに目を通すことが重要となります。

 
10. Win32/Adware.Virtumonde [全体の約1.13%]
前回の順位:7位
Adware.Virtumondeというのは、トロイの木馬型アプリケーションのうち、対象のPCに広告を配信するために使用されるファミリーを指す総称です。Virtumondeは、動作中に複数のウィンドウを開いて好ましくない内容の広告を表示するなどします。また、容易には自動駆除を行えないよう工夫が施されている場合もあります。マルウェアの作者らにとってアドウェアは依然として大きな収益源となっています。

エンドユーザーへの影響
Virtumondeは、ベンダーとユーザーの双方にとって、「アドウェア」や「好ましくない動作をする可能性のあるアプリケーション」といったカテゴリ名から受ける印象よりもはるかに厄介な存在となっています。このVirtumondeについては、「Adware, Spyware and Possibly Unwanted Applications」と題するESETブログの記事でも取り上げています。
 
近況
 
ゼロデイ攻撃と標的型攻撃
 
今年に入ってから、自身の運搬役としてデータファイルを使うマルウェアが数多く登場しています。こうした事例のほとんどでは、マルウェアをインストールするためにアプリケーションの脆弱性が悪用されています。例えば、Excelファイルを悪用する「X97M/TrojanDropper.Agent.NAI」は、2009年2月24日に公開され25日に更新された「マイクロソフトセキュリティアドバイザリ(968272):Microsoft Office Excelの脆弱性により、リモートでコードが実行される」で説明されている脆弱性を悪用します。この脆弱性は、Microsoft Office Excel 2000~2007、Microsoft Office 2004/2008 for Mac、Microsoft Office Excel Viewer、さらにOpen XML File Format Converter for Macにまで影響します。

ただし、この攻撃自体はおもにWindowsを対象に行われています。細工の施されたExcelファイルを開くと、ESET製品では「Win32/Agent.NVV」として検出されるバックドア型のトロイの木馬が作成され、リモートの攻撃者は、このトロイの木馬を通じて感染したPCにアクセスし、PCをコントロールできるようになります。この脆弱性を修正するパッチは、近日中にMicrosoftから提供される予定となっています。同じ脆弱性を突く別の攻撃にも対処できるようにするため、必ずパッチを適用するようにしてください。

データファイルを悪用するマルウェアと聞くと、1990年代に「この種のマルウェアへの感染を防ぐには、マクロを実行しないドキュメントビューアでOfficeファイルを開けばよい」と言われていたことを思い出すかもしれません。しかし残念ながら、このマルウェアが悪用しているのはマクロではなく、また問題の脆弱性はビューアにも存在します。この脆弱性を悪用すると、特別な細工を施したExcelファイルで無効なオブジェクトにアクセスし、任意のコードを実行することが可能になります。このマルウェアの場合は、シェルコードが、スプレッドシートに埋め込む形で実行可能ファイルを作成し、これをサービスとして登録したあと、ファイルを実行します。

この問題については、ESETのDavid HarleyとJuraj MalchoがSC Magazineの記事でコメントしています。またDavidは、Journalism.co.ukでもコメントしています。ESETからはプレスリリースを発表しているほか、ブログでも解説を行っています。

ESETでは、この攻撃を検出する専用シグネチャをすでに提供していますが、2月27日に公開されたアップデートのv.3895には、この攻撃に対応した汎用シグネチャ(X97M/Exploit.CVE-2009-0238.Gen)も含まれています。

ESETブログでも触れたAdobe製品の脆弱性を狙った攻撃と同様、今回の攻撃も、不特定多数を対象とするランダムな攻撃ではなく、特定のユーザーを狙った標的型攻撃です。今後もそうであるという保証はありませんが、少なくとも今のところは多くのユーザーに直接影響するものではありません。しかし、細工が施されたExcelファイルをだれか1人でも開いてしまった場合、そこから標的となった組織内外の多数の人々に被害が広がっていく可能性があります。

当面の間は、たとえそれが信頼できる相手から送られてきたように見える場合であっても、他人から受け取ったスプレッドシートをむやみに開かないよう特に注意する必要があります(標的型攻撃では、メールやファイルが信頼できる相手から送られたものであるように見せかけるため、さまざまな工夫が施されています)。ただし、パッチ適用後はそのような注意を払わなくても構わないというわけではありません。Microsoftは、この種の攻撃を回避するのに最も有効な汎用的手段として、Microsoft Office Isolated Conversion Environment(MOICE)を使用することを推奨しています(MOICEはOffice 2003/2007にインストール可能)。

Adobeは、Adobe ReaderおよびAcrobatに影響する脆弱性の修正パッチを3月10日までに提供するとしています。それまでの間は、暫定的な対策として製品のJavaScriptを無効にすることが推奨されます(http://www.eset.com/threat-center/blog/?p=593http://www.eset.com/threat-center/blog/?p=579を参照)。なお、Flash Playerの脆弱性に対するパッチはすでに公開されています。この脆弱性に関しては、ESETのRandy AbramsのコメントがInternetNews.comに掲載されています。
 
注目すべきフィッシングの手法(1)
 
マレーシア在住のパートナーが、非常に巧妙なフィッシングメールのコピーを送ってきてくれました。このフィッシングは、マレーシア最大の金融サービスグループで、同国最大規模のオンラインバンキングサービスを提供しているMaybankをターゲットとしているのですが、われわれが普段目にするフィッシングの事例と比べて、実に手の込んだものとなっていました。メールの体裁は、一見したところ銀行関連の多くのフィッシングメールと大差ありません。パーソナライゼーションは行われておらず、件名は「お客様各位」、冒頭の挨拶文は「maybank2uをご利用のお客様へ」となっており、本文も「お客様を詐欺行為から保護するため、当行にご連絡いただく必要があります」というフィッシングではおなじみの顧客を不安にさせるような内容となっています。

ところが、メール受信者に実行するよう求める手順の内容が通常のフィッシングとは異なっていました。「ここをクリックして手続きを行ってください」というような文言で直接Webサイトに誘導するのではなく、その中間手順を実行するように要求するのです。その方法は実に巧みであり、官僚的とも言える煩雑な手続きを要求することで、ユーザーを安心させようとします。まず、正規のmaybank2uサイトにログインして正規の手順で取引認可コード(Transaction Authorization Code:TAC)を取得するように要求します。その後、フィッシングメールに書かれたフォームを開き、ユーザーIDとパスワード、そしてTACを入力して送信するように求めるのです。これは、マジシャンが観客の注意をそらすために用いる「ミスディレクション」という手法を応用したものと言えます。正規のサイトで一通りの認証を受けたにもかかわらず、JavaScriptのスニペットをクリックすると、中国で登録されている思われるサイトに誘導され、見ず知らずの詐欺師に機密情報を送信してしまうことになります。
 
注目すべきフィッシングの手法(2)
 
Macユーザーと言えども、フィッシング攻撃から逃れることはできません。AppleInsiderが、MobileMeユーザーに対する新たなフィッシング攻撃について報じています。こちらをご参照ください。
ここで用いられているのは、Appleが差出人であるかのようにヘッダーが細工されたメールです。このメールをフィッシングと見破る手がかりは、Maybankのケースと同様、(MobileMeアカウントに関するAppleからの本物のメールとは異なり)パーソナライゼーションが行われておらず、ユーザー名や一部を伏せたクレジットカード番号が記載されていないことです。また、無防備にクリックしてしまったユーザーを偽のAppleサイトに誘導するリンクが記述されています。

このフィッシングメールは、Maybankに対するものほど洗練されてはいませんが、セキュリティ問題に対する警戒心が比較的薄いMacユーザーをターゲットにしている点が特徴的です。このフィッシングメールは、次の2つのことを示唆しています。1つは、犯罪者らはMacユーザーも非合法の収益を得るためのターゲットと見なしているということ。もう1つは、仮にMacを狙うマルウェアを作成することが不可能だとしても(実際には可能です。絶対数は多くないものの、この種のマルウェアは徐々に増えてきています)、オペレーティングシステムではなく、セキュリティ対策における最大の弱点であるユーザーを狙ったプラットフォーム非依存の攻撃手法を用いることで、Macユーザーを攻撃することは十分に可能だということです。犯罪者からしてみれば、自分たちの目的を果たすことができるのなら、ユーザーのハードウェアが何であろうとまったく関係ないのです。
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!