MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2009年5月 世界のマルウェアランキング

この記事をシェア
2009年5月の月間マルウェアランキング結果発表
 
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年5月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち10.90%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
 
2009年5月の結果グラフ
 
1. INF/Autorun [全体の約10.90%]
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。

 
2. Win32/Conficker [全体の約9.98%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性(現在では修正済み)を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしMicrosoftは、Windows 7でこの機能を無効にすると発表しています。)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。


エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードが削除されているようですが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
 
3. Win32/PSW.OnLineGames [全体の約6.01%]
前回の順位:3位
これは、キーロガー機能を備えたトロイの木馬ファミリー(rootkit機能を備える場合もある)で、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESET Malware Intelligenceチームが詳しく解説しています。
 
4. Win32/Agent [全体の約2.88%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。

ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。


エンドユーザーへの影響
ランダムなファイル名を付けるという方法も、ファイル名でのマルウェア検出を困難にする手法の1つであり、古くからよく用いられています。ファイル名はマルウェアを検出する1つの手がかりになることもありますが、それだけに頼るべきではありません。アンチマルウェアソフトウェアを選択するにあたっては、主要なマルウェア検出手段としてファイル名を使用しているような製品に注意する必要があります。特に、「nastytrojan.dllを検出した唯一の製品」などとうたっている製品には注意が必要です。
 
5. INF/Conficker [全体の約1.80%]
前回の順位:6位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
 
6. Win32/Toolbar.MywebSearch [全体の約1.30%]
前回の順位:9位
これは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。Toolbar.MywebSearchは、ツールバーとしてインストールされ、検索の際にMyWebSearch.comを経由させます。

エンドユーザーへの影響
Toolbar.MywebSearchは非常に厄介なプログラムであり、このランキングには長期にわたってランクインしています。

アンチマルウェアベンダーは、PUAを完全なマルウェアとして扱うことには消極的であり、アンチウイルススキャナではPUAの検出が初期設定でオフに設定されていることが少なくありません。ベンダー各社がPUAの検出に消極的なのは、一部のアドウェアやスパイウェアは、ユーザーにとって好ましくない動作をする可能性がある場合でも、合法と見なされることがあるためです(特に、EULAにごく小さな文字で書かれている場合を含め、そのことを表明している場合)。したがって、アドウェアやスパイウェアの被害に遭わないためには、小さい文字であろうともEULAに目を通すことが重要となります。

 
7. WMA/TrojanDownloader.GetCodec [全体の約1.28%]
前回の順位:7位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。

エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
 
8. Win32/Qhost [全体の約1.05%]
前回の順位:8位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。

エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
 
9. Win32/Pacex.Gen [全体の約0.98%]
前回の順位:16位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。

エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。
 
10. Win32/Autorun [全体の約0.86%]
前回の順位:10位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。

エンドユーザーへの影響
この脅威についてエンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
 
近況
 
MicrosoftがPowerPointの脆弱性にようやく対処、Adobeもパッチ公開を定例化
 
Microsoftは先日、PowerPointに見つかっていた多数のセキュリティ問題にようやく対処しましたが、Mac向けのパッチ提供にはまだ少し時間がかかるようです。このことから感じられるのは、Microsoft(およびその関係者)は、ExcelとPowerPointに見つかった最近の脆弱性に関して危機感を欠いているのではないかということです。これらの脆弱性は、悪意のあるサイトを通じて大規模に悪用されているのではなく、特定のユーザーに狙いを絞った標的型攻撃を行うために用いられているため、社会への影響はそれほど大きくないように見えるかもしれません。しかし、もし政府や軍の関係者がその標的となった場合には、結果的に極めて多くの人々が被害を受ける可能性があります。実際、国際的なスパイ活動を目的とするこの種の攻撃は、ここ数年日常的に発生しています。

これまでに何度も指摘してきたように、最近では従来型のマクロウイルスはほとんど見かけなくなっているものの、それとは別の方法で文書ファイルを悪用する脅威(パッチ未公開の脆弱性の悪用、実行可能ファイルの埋め込み、悪意あるリンクの使用など)が増加しています。文書ファイルの中でも、特に悪用されるケースが多いのはPDFファイルです(PDFファイルの悪用については、CAROワークショップでも繰り返し取り上げられています。下記の「春のカンファレンス」の項を参照)。その意味では、AdobeがようやくAdobe ReaderとAcrobatの最新の脆弱性の一部に対処したのは喜ばしいことです。また同社は、セキュリティアップデートを四半期ごとに定期公開する計画を発表しています。同社の予防的/事後対応的セキュリティチームの責任者を務めるBrad Arkin氏によると、この施策によってユーザーは、「インシデントに関する情報を適宜入手できるようになる」ほか、より迅速にパッチが提供される、脆弱性の影響を受ける複数のプラットフォームに対するパッチが同時に提供されるといったメリットを享受できるようになるということです。この施策がどれほどの効果を発揮するかはまだわかりませんが、少なくとも同社がパッチ問題の改善に向けて努力していることは確かといえます。これに加えて、われわれが以前からブログで指摘しているその他の問題にも同社が対処してくれれば、現在進行形で発生している非常に深刻な問題の影響もいくらか緩和されることになります。
 
春のカンファレンス
 
この5月は、リサーチチームにとってまたもや忙しい1か月となりました。まず4月末~5月始めにかけては、英国で開催されたInfosecカンファレンスに参加し、David Harleyが「Business Strategy」トラックでアンチマルウェアテストの良い慣習、悪しき慣習についてセミナーを行いました。翌週には、Pierre-Marc Bureauとスロバキアのラボに所属するJuraj Malchoが、ハンガリーのブダペストで開かれたCAROワークショップにおいて、Win32/Confickerをはじめとする多くのマルウェアに悪用されているMS08-067の脆弱性についてプレゼンテーションを行い、好評を博しました。このワークショップではほかにも、Microsoft製品とAdobe製品に見つかった脆弱性とそれらに対する攻撃についてのディスカッション、セキュリティベンダーが「クラウド」型の技術を使用することで生じる脆弱性問題についての(言葉が不適切かもしれませんが)刺激的なディスカッションも行われました。

CARO(Computer Antivirus Research Organization)は、アンチマルウェア研究の舞台裏ですでに20年近く活動を続けていますが、数年前からは専門家によるワークショップを年1回開催しており、アンチマルウェア研究コミュニティから大きな注目を集めています。このCAROと比べると、わずか1年前の2008年に正式発足したAMTSO(Anti-Malware Testing Standards Organization)ははるかに歴史の浅い組織ですが、アンチマルウェアテストを巡る状況を改善するための取り組みは大きな成果を上げつつあります。この2つの組織はいくつかの側面で密接に関係しており、CAROワークショップの翌日に同じ会場で行われたAMTSOワークショップには、多くのCAROワークショップ参加者が集まってきていました。

この2つのワークショップは、プレゼンテーションを通じて情報交換をすることよりも、共同作業によって何らかの成果を得ることを重視しています。今回のAMTSOワークショップでは、クラウド型セキュリティ製品のテスト方法についてと、サンプルの検証方法についての2つのベストプラクティス関連ドキュメントが新たに承認されました。この2つのトピックはどちらも、一般に考えられているよりも奥が深く、そして重要な問題を内包しています。

クラウド技術を使用する製品のテストを行うにあたっては、一部のテスト項目においてさまざまな実務上の問題に直面することになります。というのもこれらの製品では、テストを行う際にインターネット接続が必須となり、接続先をフィルタリングするなどの対策を講じることが必要になるからです。制限なしでインターネットに接続すると、多くの動的テストの場合と同様、悪意あるソフトウェアがテストラボから「流出」し、外部のユーザーやシステムに何らかの被害をもたらす可能性が高くなります。インターネット接続を制限するためには技術的な問題をいくつか解決する必要がありますが、未知の脅威のヒューリスティック検出をテストする際には、このような作業が不可欠となります。

またAMTSOでは、レビュー分析の依頼および処理に関する手続きについて定めたドキュメントも承認されました。これにより企業や個人は、あるテストやレビューがAMTSOのテスト原則に準拠しているかどうかの分析をAMTSOの専門家に依頼できるようになります。これは、テスターに対しテスト手法のベストプラクティスを採用するよう促すうえで重要な一歩となる一方、「自社製品の評価が低いレビューをおとしめるための手段をセキュリティベンダーに与えることになるのではないか」と懸念するテスターもいるかもしれません。実際問題として、このような行為を防止する策を講じることは非常に困難です。

しかし、ESETのマルウェアインテリジェンス担当ディレクターで、AMTSOのレビュー分析委員会のメンバーでもあるDavid Harleyは、次のように述べています。「もし委員会が、問題のあるテストを逐一チェックする必要があるとしたら、委員会はその作業に忙殺されることになるでしょう。…個人的には、そうしたセキュリティベンダーの代理人としてテスターに「復讐」したり、そのままではただ恥をかくだけのずさんなレビューを公表し、お粗末なテスターを必要以上に取り上げたりするようなことに関心はありません。わたしが期待したいのは、AMTSOのテスト原則に従っていないと指摘される前に、テスター自らが自身のテスト手法をAMTSOのテスト原則と照らし合わせて積極的にチェックするようになることです。うれしいことに、そのような兆しは徐々に現れつつあります」

AMTSOの承認済みドキュメントは、すべてこちらで公開されています。また 『Virus Bulletin』6月号には、David HarleyによるCAROおよびAMTSOワークショップの紹介記事が掲載される予定です。購読者の方はぜひご覧ください。 DavidとRandyは、ベルリンで開催されたEICAR 2009カンファレンスにおいて、「Execution Context in Anti-Malware Testing」と題するDavidの論文についてのプレゼンテーションを共同で行ってきました。同カンファレンスでは、アンチマルウェアテストに関する論文が多数発表されたほか、AMTSOとEICARの共同作業を約束するパネルセッションも開かれました。これは、アンチマルウェアテストの将来にとって重要な一歩となることでしょう。詳細については、こちらをご覧ください。

このほかにも、Randyはラスベガスで開催された大型トレードショー、Interopに参加し、Pierre-Marcはポーランドのクラクフで開かれたCONFidenceカンファレンス(小規模ながらリサーチ専門家にとっては非常に重要なイベント)に、Davidは英国のChannel Expoに参加しています(Davidは、ここでもアンチマルウェアテストについてのプレゼンテーションを行ったほか、チャネルパートナーや販売代理店の方々とも有意義な話し合いを持つことができたようです)。
 
Securing Our eCity
 
ESETは、米国カリフォルニア州サンディエゴで発足した「Securing Our eCity」という画期的なプロジェクトに協賛しており、ESETリサーチチームのメンバー数人が同プロジェクトに協力しています。同プロジェクトで提供されている各種リソースについてはhttp://www.securingourecity.org/resources.phpを、ニュースと情報についてはhttp://www.securingourecity.org/news.phpをご覧ください。ESETのテクニカルエデュケーション担当ディレクターであるRandy Abramsは、ブログで次のように述べています。「Securing Our eCity」は、ESETをはじめとする官民両セクターの組織が発足させたプロジェクトで、サイバー犯罪とその自衛策についての正しい知識を広めることを目的としています。…この合同プロジェクトはすでに、サイバー犯罪とその対策について学ぶことのできる無償の講座を開始しています。5月下旬から6月始めにかけては、われわれESETのメンバーもサイバー犯罪についての講演を行う予定です」。このプロジェクトは今後さらに規模を拡大し、サンディエゴ以外の都市でも活動を行う予定となっています。

ESETリサーチチームの詳細とこれまでの活動については、 Threat Centerブログをご覧ください。
 
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!