2009年8月 世界のマルウェアランキング

この記事をシェア
2009年8月の月間マルウェアランキング結果発表
 
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年8月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち8.56%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
 
2009年8月の結果グラフ
 
1. Win32/Conficker [全体の約8.56%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしMicrosoftは、Windows 7でこの機能を無効にすると発表しています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。


エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードが削除されているようですが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。

 
2. Win32/PSW.OnLineGames [全体の約8.28%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESET Malware Intelligenceチームが詳しく解説しています。
 
3. INF/Autorun [全体の約7.80%]
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。

 
4. Win32/Agent [全体の約3.57%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。

ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。


エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
 
5. INF/Conficker [全体の約1.76%]
前回の順位:6位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
 
6. Win32/Pacex.Gen [全体の約1.66%]
前回の順位:7位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。

エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。

とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。

 
7. Win32/TrojanDownloader.Swizzor [全体の約1.39%]
前回の順位:ランク外
Win32/TrojanDownloader.Swizzorは主に、感染先のPCに追加コンポーネントをダウンロードしてインストールするために使用されるマルウェアファミリーです。

Swizzorは、感染先のホストに複数のアドウェアコンポーネントをインストールすることが確認されています。Swizzorファミリーの一部の亜種は、ロシア語のシステムでは動作しないように設定されています。


エンドユーザーへの影響
以前から指摘しているように、純然たるマルウェアとアドウェアなどの迷惑プログラムとを明確に区別することは通常困難です。しかし、広告活動のためにマルウェアが用いられることは少なくありません。かつてのウイルス作者は、金銭とは関係なくいたずらや報復目的でウイルスを作成していましたが、現代のマルウェア作者の多くは金銭的な利益を得ることを目的としています。 特定言語のシステムに感染しないように設定されているマルウェアが存在するのは、マルウェアに感染させただけで訴追される可能性がある国の法律に抵触しないようにするためではないかと、ESETのPierre-Marc Bureauは推測しています。Confickerの最初期の亜種は、ウクライナ語のPCへの感染を防ぐために複数の手法を用いていました。このようなテクニックは、攻撃者の国籍を類推するヒントになるかもしれません。
 
8. Win32/Qhost [全体の約0.93%]
前回の順位:9位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。

エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
 
9. Win32/TrojanDownloader.Bredolab [全体の約0.81%]
前回の順位:21位
この名称で検出されるのは、感染プロセスの仲介役として機能するアプリケーションです。このマルウェアは、実行中のプロセスに自分自身を挿入し、いくつかのセキュリティプロセスを停止しようとします。また、自分自身を<systemfolder>wbem\grpconv.exeとしてシステムフォルダにコピーし、システムが起動するたびに自身が実行されるようにするレジストリキーを作成する場合があります。さらに、HTTP経由で指令(C&C)サーバーと通信します。

エンドユーザーへの影響
システムにインストールされ実行されるダウンローダの最大の(場合によっては唯一の)目的は、リモートサイトからマルウェアをダウンロードすることですが、ダウンローダは、その成功確率を高めるために、前述のようなシステムの設定変更を行う場合があります。また、ベンダーによっては、このマルウェアの亜種の種類を示す接尾辞(.G、.HWなど)が異なる場合がありますが、使用されている検出アルゴリズムはベンダーごとに異なるため、すべての亜種で接尾辞が完全に一致するということはまずありません。
 
10. WMA/TrojanDownloader.GetCodec [全体の約0.78%]
前回の順位:8位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。

エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
 
近況
 
INF/Autorun対策の特効薬?
 
すべてのセキュリティ関係者の方に朗報です。WindowsのAutorun機能(ESETのRandy Abramsいわく「Autoinfect(自動感染)」機能)に起因する問題に対処すべく、Microsoftが新たな施策を打ち出しました。少し前に同社は、Windows 7ではAutorun機能を初期設定で無効にすると発表していましたが、Windowsの既存バージョンで同機能の動作を変更するためのパッチをリリースしたのです。詳細とパッチの入手先については、 Randy Abramsのブログ記事をご覧ください。
 
ESETラテンアメリカに拍手
 
この8月には、ESETラテンアメリカのチームが大活躍をしました。まずはSebastian Bortnikが、「slideshare.netが偽のアンチマルウェアソフトウェアをはじめとするマルウェアの配布に悪用されている」との情報を寄せてくれました。この犯人は、アカウントが停止されるまでの間に、悪質なリンクを埋め込んだPowerPointスライドをなんと2,473件も同サイトに投稿していたのです(なお、同サイトの名誉のために述べておきますが、われわれがこの問題について報告したとき、彼らは極めて迅速に対処してくれました。その対応の早さは、称賛に値するものがありました)。この事件の詳細については、8月4~5日にかけてのブログ記事(この件についての最終記事は こちら)をご覧ください。またCristian Borghelloは、ギリシャのアテネで発生した山火事についての情報をエサにして偽のセキュリティソフトウェアをダウンロードさせようとするマルウェアについて報告してくれました。さらにSebastian、Cristian、そして筆者とで、その珍しい感染手法が大きな注目を集めたウイルス「Win32/Induc.A」についてのFAQを作成しました。FAQは こちらで公開されていますが、このウイルスがもたらす影響についてはまだあまり理解されていないようなので、改めて要約版のFAQをここに示しておくことにします。DelphiをPCにインストールしている方は、この要約版ではなく上記の完全版をご覧ください。
 
Win32/Induc.AのFAQ
 
  1. あるファイルがWin32/Induc.Aとして検出されました。これは何を意味していますか?

    Win32/Induc.Aとして検出されるファイルには、開発ツールのDelphiに関連するファイルを改ざんするためのルーチンを含んだコードが埋め込まれています。Win32/Induc.Aに感染すると、Delphiでコンパイルするすべてのアプリケーションに同じウイルスが埋め込まれます。
     
  2. Delphiとはどのような開発ツールですか?

    Delphiは、プログラムをPascalで記述し、コンパイルするためのビジュアル開発環境です。皮肉なことに、Delphiは多くのマルウェア作者にも愛用されており、FAQ 6で説明しているように、Win32/Induc.Aに感染したトロイの木馬も確認されています。
     
  3. 感染ファイルを実行すると、システムにどのような被害が生じますか?

    エンドユーザーのシステムの場合、直接的な被害が生じることはありません。ただし、アンチウイルスソフトウェアが感染プログラムを検出した場合、そのプログラムを実行できなくなる可能性があります。Delphiがインストールされたシステムの場合、その影響は甚大なものとなります。感染後にDelphiでアプリケーションをコンパイルすると、そのすべてのアプリケーションにウイルスが埋め込まれます。これらのアプリケーションが配布された場合、Delphiがインストールされたほかのシステムにも感染が広がるほか、当該アプリケーションがウイルスとして検出された場合にそのアプリケーションを実行できなくなるなどの問題が生じます。
     
  4. Win32/Induc.Aはシステムにどのような改変を加えますか?

    Delphiがインストールされていない場合、システムの改変は行われません。ただし、感染ファイルが存在することで、何らかの不具合が生じる可能性は残ります。DelphiがWin32/Induc.Aに感染している疑いがある場合は、 FAQの完全版をご覧ください。
     
  5. Win32/Induc.Aに感染したDelphiでコンパイルされたアプリケーションを修復するにはどうすればよいですか?

    Win32/Induc.Aに感染したDelphiでコンパイルされたアプリケーションを修復することはできないため、感染を駆除したDelphiで再コンパイルする必要があります(詳細については、 FAQの完全版をご覧ください)。正規のアプリケーションがWin32/Induc.Aに感染しているとされたが、Delphiまたはソースコードが手元にないという場合は、感染していないバージョンのアプリケーションを改めて入手する必要があります。アプリケーションのコンパイル時に感染が行われるという性質上、再コンパイルを行う以外に感染を解消する方法はありません。ウイルスコードを削除したりパッチを適用したりといった方法では、予期せぬ動作をするなどの不具合が実行可能ファイルに残る恐れがあります。
     
  6. どれくらいの数のプログラムが感染しているのですか?

    Randy Abramsがブログで述べていますが、Win32/Induc.Aに感染したDelphiでコンパイルされたトロイの木馬が数千単位で確認されています。また正規のプログラムの中にも、Win32/Induc.Aに感染しているものが確認されています。さらには、ベンダーやソフトウェア配布サイト(海賊版ソフトウェアの配布サイトを含む)、P2Pネットワークなどを通じて、感染が発覚しないまま直接広まっているものも相当数あると考えられます。 このウイルスの影響を直接的に受けるシステムの数はそれほど多くありません。しかしその一方で、直接の影響を受けないシステムに多くの感染ファイルが存在している可能性もあります。感染プログラムは通常、セキュリティソフトウェアに検出されると、削除されるか実行が禁止されます。そのため、Win32/Induc.Aに感染しないシステムでも問題が生じる恐れがあります。
     
  7. ほとんど無害であるのなら、何も気にしなくてよいのではないですか?

    たとえDelphiがインストールされていないシステムであっても、特定の状況下においてはシステムの機能に影響が生じる可能性が十分にあります。例えば、正規のプログラムがインストールされており、このプログラムがシステムに変更を加えたとします。その後、このプログラムがWin32/Induc.Aに感染しているとして検出され、削除しなければならなくなった場合、システムに加えられた変更は元に戻せなくなってしまいます。
     
  8. つまり、これはコンセプト実証型のウイルスではないということですか?

    「おそらく、破壊的な活動を行うことは意図していない」という点において、Win32/Induc.Aは典型的なコンセプト実証型のウイルスであるように思われます。ただし、意図して破壊的な活動を行う、あるいはバックドアとして機能するなど、より悪質な活動を行うためにこのウイルスが利用される可能性は否定できません。もし犯罪者たちがこの手法を用いて利益を得る方法を考えついた場合、おそらくはそのように悪用されることになるでしょう。
     
 
新着ホワイトペーパー
 
ESET Webサイトのホワイトペーパーページに新しいペーパーが追加されています。
  • 「Playing Dirty」(Cristian Borghello著):

    ESETラテンアメリカのWebサイトで公開されているスペイン語によるホワイトペーパーの英訳版です。犯罪者たちがオンラインゲームのアカウント情報やアイテムをどのように盗み出し、金銭に換えているかを詳しく解説しています。
     
  • 「Social Security Numbers: Identification is Not Authentication」(David Harley著):

    最近のブログ記事を基に執筆されたホワイトペーパーです。米国における不適切な社会保障番号(SSN)の使われ方、そのセキュリティ上の問題点と深刻さを解説しています。
     
  • 「Keeping Secrets」(David Harley/Randy Abrams共著):

    「いかにして強力なパスワードを作るか」という厄介な問題について解説するとともに、パスワードの管理方法について述べています。
     
 
Macに搭載されたアンチマルウェア機能
 
先ごろリリースされたMac OS Xの最新バージョン「Snow Leopard」に簡単なトロイの木馬検出機能が搭載され、話題となっています。しかしこれは、本格的なアンチウイルス機能ではありません。その実体は、File Quarantineユーティリティを拡張して2つのトロイの木馬(RSPlugとiServices)を検出できるようにしただけのものです。このような機能拡張自体は悪いことではありませんが、Macユーザーがこのユーティリティの効果を過信したり、汎用的なアンチマルウェア機能を備えていると誤解したりすることが懸念されます。この問題については、David HarleyとAryeh Goretskyが以下のブログ記事で詳しく解説しています。

http://www.eset.com/threat-center/blog/2009/08/25/mback-to-the-future

http://www.eset.com/threat-center/blog/2009/08/26/mad-macs-beyond-blunderdome

http://www.eset.com/threat-center/blog/2009/08/27/snow-leopard-and-malware
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!