ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年3月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち8.90%を占めています。本レポートではこれまで、Confickerを亜種ごとに集計していましたが、その動向をより明確に把握できるようにするため、今月からはConfickerのすべての亜種を1つにまとめています。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
1. Win32/Conficker [全体の約8.90%]
前回の順位:3位
Win32/Confickerはネットワークワームで、オリジナルの亜種は、Windowsオペレーティングシステムの脆弱性を悪用して感染を広げます。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(デフォルトで有効となっているWindowsのAutorun機能を使用)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。
エンドユーザーへの影響
ESET製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspxをご覧ください。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
前回の順位:3位
Win32/Confickerはネットワークワームで、オリジナルの亜種は、Windowsオペレーティングシステムの脆弱性を悪用して感染を広げます。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(デフォルトで有効となっているWindowsのAutorun機能を使用)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。
エンドユーザーへの影響
ESET製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、http://www.microsoft.com/technet/security/Bulletin/ms08-067.mspxをご覧ください。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
2. Win32/PSW.OnLineGames [全体の約8.54%]
前回の順位:1位
これは、キーロガー機能を備えたトロイの木馬ファミリ(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。
また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESET Malware Intelligenceチームが詳しく解説しています。
前回の順位:1位
これは、キーロガー機能を備えたトロイの木馬ファミリ(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーIDに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。
また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESET Malware Intelligenceチームが詳しく解説しています。
3. INF/Autorun [全体の約7.19%]
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。INF/Autorunが引き続きランキング上位をキープしているのも、その表れと言えます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。メインの拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94、http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能をデフォルトで無効にしてしまうほうがより安全です。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。INF/Autorunが引き続きランキング上位をキープしているのも、その表れと言えます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するようにデフォルト設定されています。そのため多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。メインの拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94、http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能をデフォルトで無効にしてしまうほうがより安全です。
4. Win32/Agent [全体の約3.22%]
前回の順位:4位
Win32/Agentというのは、感染先のPCからユーザー情報を盗み出す各種マルウェアの総称です。ESET NOD32アンチウイルスでは、この種のマルウェアは汎用名で検出されます。
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスが実行されるようにします。
エンドユーザーへの影響
ランダムなファイル名を付けるという方法も、ファイル名でのマルウェア検出を困難にする手法の1つであり、古くからよく用いられています。ファイル名はマルウェアを検出する1つの手がかりになることもありますが、それだけに頼るべきではありません。アンチマルウェアソフトウェアを選択するにあたっては、メインのマルウェア検出手段としてファイル名を使用しているような製品に注意する必要があります。特に、「nastytrojan.dllを検出した唯一の製品」などと謳っている製品には注意が必要です。
前回の順位:4位
Win32/Agentというのは、感染先のPCからユーザー情報を盗み出す各種マルウェアの総称です。ESET NOD32アンチウイルスでは、この種のマルウェアは汎用名で検出されます。
通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスが実行されるようにします。
エンドユーザーへの影響
ランダムなファイル名を付けるという方法も、ファイル名でのマルウェア検出を困難にする手法の1つであり、古くからよく用いられています。ファイル名はマルウェアを検出する1つの手がかりになることもありますが、それだけに頼るべきではありません。アンチマルウェアソフトウェアを選択するにあたっては、メインのマルウェア検出手段としてファイル名を使用しているような製品に注意する必要があります。特に、「nastytrojan.dllを検出した唯一の製品」などと謳っている製品には注意が必要です。
5. WMA/TrojanDownloader.GetCodec [全体の約1.45%]
前回の順位:7位
WMA/TrojanDownloader.GetCodecはメディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。WMA/TrojanDownloader.GetCodecは、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援するWimad.Nと深い関わり合いを持つダウンローダーです。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(http://www.eset.com/threat-center/blog/?p=828などをご覧ください)。
前回の順位:7位
WMA/TrojanDownloader.GetCodecはメディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。WMA/TrojanDownloader.GetCodecは、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援するWimad.Nと深い関わり合いを持つダウンローダーです。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(http://www.eset.com/threat-center/blog/?p=828などをご覧ください)。
6. INF/Conficker [全体の約1.34%]
前回の順位:15位
INF/ConfickerはINF/Autorunに関連する脅威で、その実体は、Confickerワームの最近の亜種を拡散させるために使用されるautorun.infファイルです。エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」のセクションをご覧ください。
前回の順位:15位
INF/ConfickerはINF/Autorunに関連する脅威で、その実体は、Confickerワームの最近の亜種を拡散させるために使用されるautorun.infファイルです。エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」のセクションをご覧ください。
7. Win32/Toolbar.MywebSearch [全体の約1.30%]
前回の順位:9位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。
アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。したがって、アドウェアやスパイウェアの被害に遭わないためには、小さい文字であろうともEULAに目を通すことが重要となります。
前回の順位:9位
これは、ユーザーにとって好ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、検索の際にMyWebSearch.comを経由させる機能を備え、ツールバーとしてインストールされます。
エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。
アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、スキャナではPUAの検出がデフォルトでオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。したがって、アドウェアやスパイウェアの被害に遭わないためには、小さい文字であろうともEULAに目を通すことが重要となります。
8. Win32/Qhost [全体の約1.19%]
前回の順位:16位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染マシンを乗っ取れるようにします。このトロイの木馬ファミリは、hostsファイルを改ざんして特定ドメインへのトラフィックをリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染マシンのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染マシンがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
前回の順位:16位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染マシンを乗っ取れるようにします。このトロイの木馬ファミリは、hostsファイルを改ざんして特定ドメインへのトラフィックをリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染マシンのDNS設定を改ざんし、ドメイン名とIPアドレスのマッピング方法を変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染マシンがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
9. Win32/Autorun.KS [全体の約1.07%]
前回の順位:17位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。Autorun.KSについては、近々ESETのWebサイトに解説記事を掲載する予定ですが、エンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
前回の順位:17位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。Autorun.KSについては、近々ESETのWebサイトに解説記事を掲載する予定ですが、エンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
10. Win32/TrojanDownloader.Swizzor.NBF [全体の約1.03%]
前回の順位:6位
Win32/TrojanDownloader.Swizzorは主に、感染先のPCに追加コンポーネントをダウンロードしてインストールするために使用されるマルウェアファミリーです。
Swizzorは、感染先のホストに複数のアドウェアコンポーネントをインストールすることが確認されています。Swizzorファミリーの一部の亜種は、ロシア語のシステムでは動作しないように設定されています。
エンドユーザーへの影響
以前から指摘しているように、純然たるマルウェアとアドウェアなどの迷惑プログラムとを明確に区別することは通常困難です。しかし、広告活動のためにマルウェアが用いられることは少なくありません。かつてのウイルス作者は、金銭とは関係なくいたずらや報復目的でウイルスを作成していましたが、現代のマルウェア作者の多くは金銭的な利益を得ることを目的としています。
特定言語のシステムに感染しないように設定されているマルウェアが存在するのは、マルウェアに感染させただけで訴追される可能性がある国の法律に抵触しないようにするためではないかと、ESETのPierre-Marc Bureauは推測しています。Confickerの最初期の亜種は、ウクライナ語のPCへの感染を防ぐために複数の手法を用いていました。このようなテクニックは、攻撃者の国籍を類推するヒントになるかもしれません。
前回の順位:6位
Win32/TrojanDownloader.Swizzorは主に、感染先のPCに追加コンポーネントをダウンロードしてインストールするために使用されるマルウェアファミリーです。
Swizzorは、感染先のホストに複数のアドウェアコンポーネントをインストールすることが確認されています。Swizzorファミリーの一部の亜種は、ロシア語のシステムでは動作しないように設定されています。
エンドユーザーへの影響
以前から指摘しているように、純然たるマルウェアとアドウェアなどの迷惑プログラムとを明確に区別することは通常困難です。しかし、広告活動のためにマルウェアが用いられることは少なくありません。かつてのウイルス作者は、金銭とは関係なくいたずらや報復目的でウイルスを作成していましたが、現代のマルウェア作者の多くは金銭的な利益を得ることを目的としています。
特定言語のシステムに感染しないように設定されているマルウェアが存在するのは、マルウェアに感染させただけで訴追される可能性がある国の法律に抵触しないようにするためではないかと、ESETのPierre-Marc Bureauは推測しています。Confickerの最初期の亜種は、ウクライナ語のPCへの感染を防ぐために複数の手法を用いていました。このようなテクニックは、攻撃者の国籍を類推するヒントになるかもしれません。
近況
Conficker
この3月、Confickerの背後にいる犯罪者たちは非常に活発な動きを見せました。ESET製品では「W32/Conficker.X」、一部ベンダーの製品では「Conficker.C」として検出されるConfickerの最新の亜種は、4月1日に動作を開始する新しいアップデート機能を搭載しています。また、これはあくまでも推測ですが、Confickerに感染したゾンビPC(ボットネットとして悪用される可能性のある感染システム)は、100万台を超えると見られています。
ESETの脅威監視システムであるThreatSense.netの分析によれば、ESET製品がインストールされたPC全体のうち、最近Confickerによる攻撃を受けたPCの割合は、恐ろしいことに3.88%にも上ります(もしこれらのPCが効果的なプロアクティブ検出機能で保護されていなければ、Confickerに感染していた可能性があります)。4月1日以降、攻撃者たちがボットネットを使ってどのような行動を起こすのか(あるいは起こさないのか)、それによってどのような影響が生じるのかを予測することはできませんが、ESETでは、専用の監視システムを構築し、Conficker Working Groupといった研究コミュニティプロジェクトと密接な協力関係を築き、そしてスタッフを増員して、Confickerの動きをつぶさに監視できる体制を整えています。
Confickerの詳細については、 ESETブログの関連記事をご覧ください。このブログでは、Honeynetプロジェクトが開発した脆弱性スキャンツールなど、Confickerに関する興味深い開発プロジェクトを紹介しています。
ESETの脅威監視システムであるThreatSense.netの分析によれば、ESET製品がインストールされたPC全体のうち、最近Confickerによる攻撃を受けたPCの割合は、恐ろしいことに3.88%にも上ります(もしこれらのPCが効果的なプロアクティブ検出機能で保護されていなければ、Confickerに感染していた可能性があります)。4月1日以降、攻撃者たちがボットネットを使ってどのような行動を起こすのか(あるいは起こさないのか)、それによってどのような影響が生じるのかを予測することはできませんが、ESETでは、専用の監視システムを構築し、Conficker Working Groupといった研究コミュニティプロジェクトと密接な協力関係を築き、そしてスタッフを増員して、Confickerの動きをつぶさに監視できる体制を整えています。
Confickerの詳細については、 ESETブログの関連記事をご覧ください。このブログでは、Honeynetプロジェクトが開発した脆弱性スキャンツールなど、Confickerに関する興味深い開発プロジェクトを紹介しています。
スケアウェアとランサムウェア
Confickerの最初期の亜種もアップデート機能を備えていましたが、4月1日に動作を始める最新亜種のアップデート機能ほど関心を集めることはありませんでした。Conficker.Aの最大の目的は、loadav.exeというファイルをダウンロードすることにありました。その名前から想像される通り、これは偽のセキュリティソフトウェアです。ただし、このソフトウェアを実際に目にした人はいません。このソフトウェアがホストされることになっていたサーバーは一度もオンラインにならなかったからです。偽のアンチマルウェアソフトウェアを巡る動きは、ここ数か月で非常に活発化しています。例えば最近では、検索エンジン最適化という手法を駆使して、Confickerに関する情報をGoogle検索したユーザーを偽のアンチマルウェアソフトウェアがホストされたWebサイトに誘導するという事例が報告されています。
とりわけ厄介なのは、トロイの木馬「Vundo(Virtumonde)」と悪質なアンチマルウェアプログラム(スケアウェア)を用いる攻撃です。この攻撃では、単に使い物にならないアンチマルウェアプログラムを売りつけようとするのではなく、PCのデータファイルを改変したうえで、元の状態に戻すためのユーティリティを無理矢理買わせようとします。本稿執筆時点で確認されている攻撃の場合、fpfstb.dllというトロイの木馬(ESETなどでは「Xrupter」として検出)をシステムディレクトリ(%sysdir%)に作成し、多数のレジストリキーを作成、改ざんします。
Xruptrは、「My Documents」フォルダでデータファイルを探し、見つかったファイルを暗号化します。対象となるファイル形式は、WordやPowerPoint、Excelといった文書ファイル、JPG(写真や画像)、PDFなど、仕事やプライベートでよく使われるファイル形式をはじめとして、非常に多岐にわたります。そして、システムトレイのあたりに次のようなメッセージを表示します。
「次のファイルは破損している可能性があります。これ以上のデータ破損を防ぐには、修復ボタンをクリックしてください」
「破損したすべてのファイルを修復するには、FileFix Professional 2009の登録を行ってください。こちらをクリックすると、購入ページが開きます」
つまり、暗号化されたファイルを復号化し、元どおりアクセスできるようにしたければ、お金を払ってFileFixを購入しろというわけです(ただし、FileFixが復号化するのはXrupterの簡単なアルゴリズムで暗号化されたファイルだけです。一般的な復号化ユーティリティとしては意味がなく、また将来的に別の不正行為で悪用される可能性があります)。ただFileFixのWebサイトは、筆者が最後に確認したときには接続することができなかったため、被害に遭ったユーザーは、いずれにしてもFileFixを入手できない可能性があります。
しかし幸い、FileFixに代わる復号化ユーティリティがいくつかのベンダーなどから公開されています(しかも無償です)。
ランサムウェア自体は、決して目新しいものではありません。しかし、同じ攻撃を仕掛けるにしても、偽のセキュリティソフトウェアとデータ暗号化を組み合わせて二段構えでゆすりを行うという手法は、とりわけ悪質性が高いと感じられます。そして、このような攻撃が今後さらに増えてくることはまちがいありません。この問題については、 http://www.eset.com/threat-center/blog/?p=831でも詳しく解説しています。
とりわけ厄介なのは、トロイの木馬「Vundo(Virtumonde)」と悪質なアンチマルウェアプログラム(スケアウェア)を用いる攻撃です。この攻撃では、単に使い物にならないアンチマルウェアプログラムを売りつけようとするのではなく、PCのデータファイルを改変したうえで、元の状態に戻すためのユーティリティを無理矢理買わせようとします。本稿執筆時点で確認されている攻撃の場合、fpfstb.dllというトロイの木馬(ESETなどでは「Xrupter」として検出)をシステムディレクトリ(%sysdir%)に作成し、多数のレジストリキーを作成、改ざんします。
Xruptrは、「My Documents」フォルダでデータファイルを探し、見つかったファイルを暗号化します。対象となるファイル形式は、WordやPowerPoint、Excelといった文書ファイル、JPG(写真や画像)、PDFなど、仕事やプライベートでよく使われるファイル形式をはじめとして、非常に多岐にわたります。そして、システムトレイのあたりに次のようなメッセージを表示します。
「次のファイルは破損している可能性があります。これ以上のデータ破損を防ぐには、修復ボタンをクリックしてください」
「破損したすべてのファイルを修復するには、FileFix Professional 2009の登録を行ってください。こちらをクリックすると、購入ページが開きます」
つまり、暗号化されたファイルを復号化し、元どおりアクセスできるようにしたければ、お金を払ってFileFixを購入しろというわけです(ただし、FileFixが復号化するのはXrupterの簡単なアルゴリズムで暗号化されたファイルだけです。一般的な復号化ユーティリティとしては意味がなく、また将来的に別の不正行為で悪用される可能性があります)。ただFileFixのWebサイトは、筆者が最後に確認したときには接続することができなかったため、被害に遭ったユーザーは、いずれにしてもFileFixを入手できない可能性があります。
しかし幸い、FileFixに代わる復号化ユーティリティがいくつかのベンダーなどから公開されています(しかも無償です)。
ランサムウェア自体は、決して目新しいものではありません。しかし、同じ攻撃を仕掛けるにしても、偽のセキュリティソフトウェアとデータ暗号化を組み合わせて二段構えでゆすりを行うという手法は、とりわけ悪質性が高いと感じられます。そして、このような攻撃が今後さらに増えてくることはまちがいありません。この問題については、 http://www.eset.com/threat-center/blog/?p=831でも詳しく解説しています。
CanSecWestカンファレンス
3月18日から20日にかけて、CanSecWestカンファレンスが開催されました。同カンファレンスは、世界中のセキュリティ研究者が一堂に会する年次イベントです。攻撃技術を中心的なテーマとしており、講演も非常に専門的な内容になっています。今回のカンファレンスで特に印象的だったのは、iPhoneやAndroid携帯といったモバイルデバイスをハッキングする方法について述べたSergio Alvarez氏の講演でした。ハードウェアの観点からは、Andrea Barisani氏とDaniel Bianco氏が、レーザーマイクと周波数解析の手法を用いてキーストロークを盗聴するテクニックを解説しました。Dino Dai Zovi氏とCharlie Miller氏は、Mac OS Xプラットフォームのバグを発見して悪用する新たな手法を紹介。Wei Zhao氏も、中国のアンダーグラウンドなハッカーグループの進化とその運営モデルについてすばらしい講演を行いました。
同カンファレンスでは、Pwn2Ownというコンテストも実施され、多くのメディアの注目を集めました。このコンテストでは、すべてのパッチが適用されたシステムをハッキングした2人の研究者に賞が贈られています。Charlie Miller氏はMacBookのフルアクセス権を取得することに成功し、「Nils」という変名で登場したもう1人の研究者は、Windows、Linux、Mac OS Xを、それぞれInternet Explorer 8、Firefox、Safariを用いて乗っ取ることに成功しました。 このカンファレンスの詳細については、http://cansecwest.com/をご覧ください。pwn2ownコンテストについては、こちらのブログをご覧ください。
同カンファレンスでは、Pwn2Ownというコンテストも実施され、多くのメディアの注目を集めました。このコンテストでは、すべてのパッチが適用されたシステムをハッキングした2人の研究者に賞が贈られています。Charlie Miller氏はMacBookのフルアクセス権を取得することに成功し、「Nils」という変名で登場したもう1人の研究者は、Windows、Linux、Mac OS Xを、それぞれInternet Explorer 8、Firefox、Safariを用いて乗っ取ることに成功しました。 このカンファレンスの詳細については、http://cansecwest.com/をご覧ください。pwn2ownコンテストについては、こちらのブログをご覧ください。
BBCのボットネット問題
BBCが、2万2,000台のPCで構成されるボットネットを数千ポンドで購入したことが物議を醸しています。BBCは、このボットネットを使ってスパムメールの大量送信をシミュレート、さらにPrevxが保有するサーバーに対し、同社の同意を得た上で分散サービス妨害攻撃を実施、そして、感染PCの所有者に問題があることを知らせるため、それらPCの壁紙を改ざんしてから、ボットネットを解体したのです。BBCのこの行為は、実際に訴追されることはおそらくないでしょうが、英国のPC不正使用法の少なくとも1つの条項に違反しています。
ESETのDavid Harleyは、ブログで次のように述べています。
「…この行為によって、番組はいったい何を成し遂げたのでしょうか。ボットネット問題に対する人々の認識を高めたのは、確かによいことです。しかし、番組の擁護者が考えているほど、この問題を知るべき多くの人々に情報を伝えることができたかというと、それは疑問です。
自分のPCがボットネットに利用されているという通知を受けたのは、約2万2,000人。その中の何人が実際にメッセージを目にして、必要な対策を実施したのかを知ることはできませんが、少しでも対策を実施した人がいたのなら、それはよいことです。
約2万2,000台のPCで構成されるボットネットは解体されました。もちろん、そのうち完全にマルウェアを駆除できたのは何台なのか、依然として別のマルウェアに感染しているのは何台なのか、駆除によってダメージを受けたのは何台なのか、そして駆除した直後に再感染したのは何台なのかを知ることはできません。しかし、BBCの行為によって、そのうちの一部でもより安全に、よりクリーンになったのなら、それはよいことです。
…しかし問題は、その番組が成し遂げた程度のことならば、合法的かつ倫理的に問題のない手段で、犯罪者集団の懐を肥やすことなく、そして一切の悪影響を生じさせない方法でも十分に実現できたのではないか、ということなのです」
ESETのDavid Harleyは、ブログで次のように述べています。
「…この行為によって、番組はいったい何を成し遂げたのでしょうか。ボットネット問題に対する人々の認識を高めたのは、確かによいことです。しかし、番組の擁護者が考えているほど、この問題を知るべき多くの人々に情報を伝えることができたかというと、それは疑問です。
自分のPCがボットネットに利用されているという通知を受けたのは、約2万2,000人。その中の何人が実際にメッセージを目にして、必要な対策を実施したのかを知ることはできませんが、少しでも対策を実施した人がいたのなら、それはよいことです。
約2万2,000台のPCで構成されるボットネットは解体されました。もちろん、そのうち完全にマルウェアを駆除できたのは何台なのか、依然として別のマルウェアに感染しているのは何台なのか、駆除によってダメージを受けたのは何台なのか、そして駆除した直後に再感染したのは何台なのかを知ることはできません。しかし、BBCの行為によって、そのうちの一部でもより安全に、よりクリーンになったのなら、それはよいことです。
…しかし問題は、その番組が成し遂げた程度のことならば、合法的かつ倫理的に問題のない手段で、犯罪者集団の懐を肥やすことなく、そして一切の悪影響を生じさせない方法でも十分に実現できたのではないか、ということなのです」