2009年6月 世界のマルウェアランキング

この記事をシェア
2009年6月の月間マルウェアランキング結果発表
 
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年6月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち11.08%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
 
2009年6月の結果グラフ
 
1. Win32/Conficker [全体の約11.08%]
前回の順位:2位
2008年の終わりに登場したWin32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性(現在では修正済み)を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしMicrosoftは、Windows 7でこの機能を無効にすると発表しています。)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。


エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードが削除されているようですが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。

 
2. INF/Autorun [全体の約8.33%]
前回の順位:1位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。

 
3. Win32/PSW.OnLineGames [全体の約8.24%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESET Malware Intelligenceチームが詳しく解説しています。
 
4. Win32/Agent [全体の約2.55%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。

ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。


エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
 
5. INF/Conficker [全体の約2.10%]
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
 
6. Win32/Pacex.Gen [全体の約1.44%]
前回の順位:9位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。

エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されているため、オンラインゲームユーザーを狙った脅威も、PSW.OnLineGamesではなく共通の特徴を持つPacexとして検出される場合があります。したがって、PSW.OnLineGamesに分類される脅威の割合は、すでにかなりの水準となっている現在の数値よりもさらに大きくなる可能性があります。とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。
 
7. WMA/TrojanDownloader.GetCodec [全体の約1.01%]
前回の順位:7位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。

エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
 
8. Win32/Autorun [全体の約0.95%]
前回の順位:10位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。

エンドユーザーへの影響
この脅威についてエンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
 
9. Win32/Qhost [全体の約0.80%]
前回の順位:8位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始し、DNSを介して指令サーバーと通信します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。

エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
 
10. Win32/TrojanDownloader.Bredolab.AA [全体の約0.77%]
前回の順位:ランク外
この名称で検出されるのは、感染プロセスの仲介役として機能するアプリケーションです。このマルウェアは、実行中のプロセスに自分自身を挿入し、いくつかのセキュリティプロセスを停止しようとします。また、自分自身を<systemfolder>wbem\grpconv.exeとしてシステムフォルダにコピーし、システムが起動するたびに自身が実行されるようにするレジストリキーを作成する場合があります。さらに、HTTP経由で指令(C&C)サーバーと通信します。

エンドユーザーへの影響
システムにインストールされ実行されるダウンローダの最大の(場合によっては唯一の)目的は、リモートサイトからマルウェアをダウンロードすることですが、ダウンローダは、その成功確率を高めるために、前述のようなシステムの設定変更を行う場合があります。また、ベンダーによっては、このマルウェアの亜種の種類を示す接尾辞(.G、.HWなど)が異なる場合がありますが、使用されている検出アルゴリズムはベンダーごとに異なるため、すべての亜種で接尾辞が完全に一致するということはまずありません。
 
近況
 
6月が終わり、2009年も半分が過ぎたところで、この半年に起きた注目すべき出来事を振り返ってみたいと思います。また、ESETのブログでも、リサーチチームが考える重要なトピックを取り上げていますので、こちらもご覧ください。
 
Conficker問題
 
2008年12月の終わりから2009年1月にかけて、われわれは「世界のセキュリティ脅威年間レポート」の内容に関連する一連の記事をブログで発表してきました。 しかし、年明け早々からは、2008年11月に登場したConfickerの話題を再三取り上げることとなりました。 Confickerは、2009年の前半を通じて必要以上に取りざたされましたが(もちろん、それ自体深刻な脅威ではあります)、Confickerをブログで取り上げるにあたり、われわれは大局的な視点を保つように努めました。 ESETのRandy Abramsが指摘しているように、Confickerの本当の問題は、Conficker自体にあったのではなく、あまりにも多くの人々が基本的なセキュリティ対策(パッチを適用するなど)すら実施していないことにあったからです。また、この当時に出現していた亜種では、WindowsのAutorun機能が初期設定で有効にされていたことも被害を広げる1つの要因になりました(ただし、Microsoftはこの機能を将来的に無効にすると表明しているため、今後はこの機能が問題になることは少なくなると考えられます。また、Confickerの一部の亜種ではAutorunを悪用する機能はすでに取り除かれています)。

さらに、Confickerボットネットが次にどのような攻撃を仕掛けてくるかという懸念も、セキュリティ研究者のみならず、多くの一般ユーザーを不安にさせました(とりわけ、2009年4月1日にConfickerがアップデートされることが判明したときには大きな騒ぎになりました)。このときわれわれは、人々の不安をあおり立てることなく、有用な情報だけを発信するように努めました。4月1日に至るまでの間、ESETのブログのアクセス数は普段のほぼ10倍に増加しましたが、それはこうした姿勢が評価されてのことだったかもしれません。その後は、Nine BallやWin32/Waledacといった脅威がメディアをにぎわせていますが、本レポートの前半部を見ていただければわかるように、Confickerは依然として活発に活動しており、ESETのマルウェア監視システムであるThreatSense.netでは最も多く検出され続けています。
 
Twitterを悪用する脅威
 
2009年上半期で注目すべき出来事のほとんどは、ソーシャルネットワーキングサイトに関連しています。FacebookとMySpace経由で感染を広げるKoobfaceなど、ソーシャルネットワーキングサイトを狙うマルウェアも興亡を繰り返していますが、Twitterユーザーも一風変わった脅威に遭遇しています。

今年1月、作家で俳優、そしてテレビ番組の司会者でもある「知的セレブ」のスティーブン・フライは、いくら頭が切れる人でも「ここをクリック」というタイプのマルウェアやフィッシングに引っかかる場合がある、ということを証明してしまいました。しかし、Twitter上で直ちにその間違いを明らかにしたことで(同氏には膨大な数のフォロワーがいるので、これは相当数の人々の知るところとなりました)、彼のフォロワーのみならず、Twitterの管理者に対しても、非常に効果的な注意喚起を行う結果となりました。このほかには、歌手のブリトニー・スピアーズやバラク・オバマ米大統領といった著名人のアカウントもハッキングの被害に遭っていますが、それ以上にたちが悪いのが、Mikeyyという少年が作成した非常に煩わしい4つのTwitterワームです。これらのワームは、多くのTwitterユーザーを不快な気分にさせ、メディアでも大きく取り上げられました。しかし幸い、彼自身のWebサイトがおそらくは「Daniel Destruction」と名乗る何者かにハッキングされてからは、彼もおとなしくなっているようです(余談ですが、2人とも一体どこからこのような知性の感じられない名前を思いついたのでしょうか)。
 
厄介なパッチ問題
 
パッチ問題は、2009年も引き続き大きな課題となっています。自社の文書ファイル形式がスピアフィッシングなどの攻撃に相次いで利用されたAdobeはようやく、自社ソフトウェアのアップデート方法を改善し、Microsoftの「Patch Tuesday」と同様の仕組みを導入することを決断しました。またMicrosoftが、Excelの複数のバージョンだけでなく、その文書ビューアにも影響する脆弱性を修正するのに時間がかかったことにも批判が集まりました。ESETでは、ユーザーを可能なかぎり保護するべく、これらの脆弱性を狙った攻撃を検出できる汎用シグネチャを製品に追加しましたが、その一方でわれわれは、正規ソフトウェアに含まれる脆弱性の保護をアンチウイルスソフトウェアに頼るべきではないと重ねて主張してきました。なぜならこの種の手法は、決して万能な対策にはならないからです。
 
偽セキュリティソフトウェア
 
詐欺的なセキュリティソフトウェアも引き続き数多く登場しており、ユーザーを悩ませています。これらのソフトウェアは、ユーザーに「身代金」を要求するさまざまな方法を編み出しており、例えば、ありもしないマルウェア問題を解決するため、あるいは(同じ犯罪者グループの)別のマルウェアによって暗号化されたデータを復号化するためといって金銭を要求します。これらの偽セキュリティソフトウェアは、エンドユーザーにとっての問題に留まりません。本物と偽物の境界を曖昧にし、われわれの信頼をおとしめようとする偽セキュリティソフトウェアは、アンチマルウェア業界にとっても頭痛の種となっています。また、この種のソフトウェアの作者は、法的措置をちらつかせ、セキュリティソフトウェアベンダーが偽ソフトウェアを不正プログラムとして検出しないよう牽制するなどの行為も行います。
 
AMTSOの活動
 
ESETが深く、そして積極的に関与しているAMTSO(Anti-Malware Testing Standards Organization)は、非常に有用なドキュメントをいくつか策定するとともに、公開されたレビューやテストを専門家の目で分析するよう依頼できるレビュー分析プロジェクトを立ち上げました。
 
その他
 
英国のBBC(British Broadcasting Corporation)は、ボットネットの脅威を明らかにすることを目的に、コンピューター不正使用法に抵触する可能性も顧みず、ボットネットを購入して実際に使用し、盗まれたクレジットカード情報を購入するという行為に出て、セキュリティ研究者から批判を浴びました。BBCは訴追を免れ、さらに謝罪も一切行わずに済ませましたが、調査報道の限界に挑む次なる取り組みには、さすがに慎重な態度で臨んだようです。

Macマルウェアは、Windowsを狙うマルウェアに比べると依然として大海の一滴のような存在ですが、その数は着実に増加しており、小規模ながら有効に機能するMacボットネットも確認されています。

ESET製品はVirus BulletinのVB100テストにおいて(いつもと同じように)好成績を記録し、またESETのPierre-Marc BureauとDavid Harleyは同誌でいくつかの記事を執筆しました。

ESETは、9月に行われるカンファレンスで3つの論文を発表します。執筆者は、Juraj Malcho、Randy Abrams、Jeff Debrosse、そしてDavidです。またAVARでは、少なくとも1本の論文を発表する予定です(こちらの執筆者は、われわれの同僚であるオーストラリア人のCraig Johnstonです)。すでに終了したカンファレンスでは、Pierre-MarcがCAROワークショップ(ハンガリーのブダペスト)で講演を行い、非常に高い評価を受けたほか、ドイツのベルリンで開かれたEICARカンファレンスではDavidとRandyが共同で論文の発表を行いました。
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!