2009年4月 世界のマルウェアランキング

この記事をシェア
2009年4月の月間マルウェアランキング結果発表
 
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年4月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち8.70%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
2009年4月の結果グラフ
 
1. Win32/Conficker [全体の約8.70%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。現在はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしMicrosoftは、Windows 7でこの機能を無効にすると発表しています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。


エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードが削除されているようですが、Autorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
 
2. INF/Autorun [全体の約8.55%]
前回の順位:3位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルストレージデバイスにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。

 
3. Win32/PSW.OnLineGames [全体の約7.01%]
前回の順位:2位
これは、キーロガー機能を備えたトロイの木馬ファミリー(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。
また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESET Malware Intelligenceチームが詳しく解説しています。

 
4. Win32/Agent [全体の約3.51%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。


エンドユーザーへの影響
ランダムなファイル名を付けるという方法も、ファイル名でのマルウェア検出を困難にする手法の1つであり、古くからよく用いられています。ファイル名はマルウェアを検出する1つの手がかりになることもありますが、それだけに頼るべきではありません。アンチマルウェアソフトウェアを選択するにあたっては、主要のマルウェア検出手段としてファイル名を使用しているような製品に注意する必要があります。特に、「nastytrojan.dllを検出した唯一の製品」などとうたっている製品には注意が必要です。
 
5. Win32/TrojanDownloader [全体の約1.84%]
前回の順位:N/A
Win32/TrojanDownloaderというのは、主に感染先のPCに追加コンポーネントをダウンロードしてインストールするために使用される幅広いマルウェアを指す総称です。この分類には、現在広範囲に感染を広げているWin32/TrojanDownloader.WigonやWin32/TrojanDownloader.Swizzorなどが含まれます。

エンドユーザーへの影響
Win32/TrojanDownloaderとして検出されるのは、単に悪意のあるプログラムをダウンロードしてインストールすることを主な目的とする幅広いプログラムであり、明確に悪意のある振る舞いをするプログラムではありません。とはいえ、その後の被害を考えれば、やはり軽視できる存在ではありません。
 
6. INF/Conficker [全体の約1.52%]
前回の順位:6位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
 
7. WMA/TrojanDownloader.GetCodec [全体の約1.38%]
前回の順位:5位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。

エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
 
8. Win32/Qhost [全体の約1.23%]
前回の順位:8位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。

エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
 
9. Win32/Toolbar.MywebSearch [全体の約1.14%]
前回の順位:7位
これは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、ツールバーとしてインストールされ、検索の際にMyWebSearch.comを経由させます。

エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。

アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、アンチウイルススキャナではPUAの検出が初期設定でオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。したがって、アドウェアやスパイウェアの被害に遭わないためには、小さい文字であろうともEULAに目を通すことが重要となります。

 
10. Win32/Autorun [全体の約0.79%]
前回の順位:9位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。

エンドユーザーへの影響
この脅威についてエンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
 
近況
 
Confickerを巡る騒動
 
3月下旬から4月上旬にかけて最も注目を集め、メディアで大きく取り上げられたトピックは、Confickerによるボットネットです。3月後半には、Confickerが4月1日にアップデートされることによって、インターネットが崩壊するのではないかという憶測がメディアをにぎわせました。ESETのブロガーをはじめとするアンチウイルス業界の関係者は、Confickerのアップデートではおそらくボット機能が強化されるだけだと指摘し、事態の沈静化を図ろうとしました。そして、実際に起こったのはほとんどその通りのことでした。4月1日から数日が経過したところで、ロシアのあるニュースサイトが、ロシア国内の多数のWebサイトにConfickerが大規模なDDoS(分散サービス妨害)攻撃を仕掛けたと報じましたが、われわれが確認したところでは、この攻撃を行ったボットネットはConfickerによるものではありません。ただし、その直後に新しいバージョンのConfickerが登場しています(詳細については、 こちらを参照)。なお興味深いことに、この件に関してわれわれは、「リスクをあおりすぎている」「問題を過小評価している」と、正反対の批判を受けています。結局のところ、物の見方は人それぞれであり、意見が完全に一致することなどないということなのでしょう。ここで改めて、われわれのスタンスを示しておきます。
 
  • Confickerは確かに危険なマルウェアであるが、同程度に危険な脅威はほかにも数多く存在し、中には検出がより困難な脅威もある。
  • Confickerの背後にいる犯罪者たちが、巨大なボットネットでインターネットを崩壊させるようなことは考えにくい。そんなことをしても利益を得ることはできないからだ。
 
スーパーボットネットの再来
 
Conficker騒動の一方、セキュリティ企業のFinjanが、190万台のゾンビPCで構成される新しい大規模ボットネットを発見したとRSAカンファレンスで発表しました(こちらを参照)。この発表は、問題のボットはWin32/Hexzoneの一種であるかのような印象を与える内容であったため、多くの混乱を招きました。Win32/Hexzoneは、ESETではすでに検出済みの脅威ですが、それほど多くの数は確認されていません。実情は、彼らが発見した巨大ボットネットは、Hexzoneを含む複数のマルウェアをダウンロードしているということのようです。つまり、Hexzoneはボットネットを構築したマルウェアではないということです。われわれは、より詳細な情報を提供するよう要請しているのですが、司法当局から情報公開を制限されているらしく、残念ながら今のところ十分な回答は得られていません。
 
 
Macユーザーを狙う脅威
 
4月初めには、珍しい脅威も出現しました。「The New iBotnet」という絶妙なタイトルが付けられた『Virus Bulletin』誌の記事(Mario Ballano Barcena氏とAlfredo Pesoli氏の共同執筆)によると、OSX.Iserviceというトロイの木馬の2つの亜種が、クラックされたiWork '09とPhotoshop CS4としてtorrentネットワークで流通しています(こちらも参照)。

これらのトロイの木馬は、Authorization Services APIを使用してユーザーをだまし、インストールを承認させるなどの興味深い機能を数多く備えています。しかし、より多くの注目を集めたのは、このトロイの木馬が実際に機能する初のMacボットであるという点でした。このボットネットは、DDoS攻撃を仕掛けるために使用されていると見られています。このトロイの木馬に対するMacコミュニティの反応は、通常よりは落ち着いたものでしたが、それでも脅威の存在を見て見ぬふりをするといった反応は相変わらず見受けられました。この問題については、ESETのRandy AbramsとDavid Harleyもhttp://www.eset.com/threat-center/blog/?p=988http://www.eset.com/threat-center/blog/?p=991でコメントしています。David Harleyのコメントは次のとおりです。「OSX.Iserviceによるボットネット自体は、それほど危険な存在ではないかもしれません。しかし、このようなMacボットネットが出現したということは、旧Mac OSをターゲットとする深刻な脅威が多数出現し、Macユーザーが苦しめられた1990年代と同じような状況が、今後再び繰り返される可能性が高まったということを意味しています」。現代のMacユーザーは、次のことに注意する必要があります。
 
  • 今日のトロイの木馬は、ウイルスと同程度に(多くの場合はそれ以上に)危険な存在である。マルウェアは、自己複製しないからといって危険性が低いわけではない。
  • Windowsをターゲットとするすべてのマルウェアが、パッチ未提供の脆弱性を攻撃しているわけではない。
  • MacユーザーはWindowsユーザーよりソーシャルエンジニアリングの手法にだまされにくいという証拠はない。
  • 金銭的利益を目的としている今日のマルウェア作者や犯罪者にとって、着実に増加しつつあるMacユーザーは標的としてより魅力的な存在になっている。
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!