2009年9月 世界のマルウェアランキング

この記事をシェア
2009年9月の月間マルウェアランキング結果発表
 
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年9月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち8.76%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
 
2009年9月の結果グラフ
 
1. Win32/Conficker [全体の約8.76%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしMicrosoftは、Windows 7でこの機能を無効にすると発表し、それより前のWindowsで同機能を無効にするための情報も提供しています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。


エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが昨年10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードが削除されているようですが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです(第2位の「INF/Autorun」の説明もご覧ください)。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。

 
2. INF/Autorun [全体の約7.53%]
前回の順位:3位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。

 
3. Win32/PSW.OnLineGames [全体の約6.36%]
前回の順位:2位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESET Malware Intelligenceチームが詳しく解説しています。
 
4. Win32/Agent [全体の約3.46%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。

ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。


エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、「すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用する」、「最新のパッチを適用する」、「Autorun機能を無効にする」という対策が必要になりますが、これに加えて「安易にリンクをクリックしない」ということも非常に重要となります。
 
5. INF/Conficker [全体の約1.99%]
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
 
6. Win32/Qhost [全体の約1.42%]
前回の順位:8位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。

エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
 
7. Win32/Pacex.Gen [全体の約1.34%]
前回の順位:6位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。

エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。

とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。

 
8. Win32/TrojanDownloader.Swizzor [全体の約1.13%]
前回の順位:7位
Win32/TrojanDownloader.Swizzorは主に、感染先のPCに追加コンポーネントをダウンロードしてインストールするために使用されるマルウェアファミリーです。

Swizzorは、感染先のホストに複数のアドウェアコンポーネントをインストールすることが確認されています。Swizzorファミリーの一部の亜種は、ロシア語のシステムでは動作しないように設定されています。


エンドユーザーへの影響
以前から指摘しているように、純然たるマルウェアとアドウェアなどの迷惑プログラムとを明確に区別することは通常困難です。しかし、広告活動のためにマルウェアが用いられることは少なくありません。かつてのウイルス作者は、金銭とは関係なくいたずらや報復目的でウイルスを作成していましたが、現代のマルウェア作者の多くは金銭的な利益を得ることを目的としています。

特定言語のシステムに感染しないように設定されているマルウェアが存在するのは、マルウェアに感染させただけで訴追される可能性がある国の法律に抵触しないようにするためではないかと、ESETのPierre-Marc Bureauは推測しています。Confickerの最初期の亜種は、ウクライナ語のPCへの感染を防ぐために複数の手法を用いていました。このようなテクニックは、攻撃者の国籍を類推するヒントになるかもしれません。

 
9. Win32/Autorun [全体の約0.78%]
前回の順位:17位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。

エンドユーザーへの影響
この脅威についてエンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
 
10. WMA/TrojanDownloader.GetCodec.Gen [全体の約0.77%]
前回の順位:10位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。

WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。


エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。この種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
 
近況
 
急増する偽のアンチマルウェアソフトウェア
 
脅威の細分化が進んでいる現在、偽のアンチマルウェアソフトウェアがランキングのトップ10に入ることはほとんどありませんが、この種のソフトウェアは決して侮ることができません。偽のアンチマルウェアソフトウェアはすでに大量に出現しており、Microsoftが、このようなソフトウェアの開発ベンダーに対し法的措置を講じるなどの対策を実施しているにもかかわらず(こちらを参照)、その数と影響力は増大する一方となっているからです。偽ソフトウェアの開発ベンダーは、自らの「製品」をマルウェアとして検出する正規のセキュリティソフトウェアベンダーを「裁判に訴える」と脅迫しており、このようなベンダーを逆に訴えるという手段に出ることには一定の効果があると思われます。しかしその一方で、偽セキュリティソフトウェアの猛威はますます勢いを増しています。例えば先日は、New York Timesがその被害に遭って注目を集めました。閲覧者のWebブラウザーを乗っ取り、役に立たないセキュリティソフトウェアを売りつけようとするポップアップ広告が、New York TimesのWebサイトに表示されるという事件が発生したのです。また本稿執筆時点では、Twitterアカウントを自動的に作成し、Twitterの注目キーワードや「ReTweet」機能を使用して自動的につぶやきを投稿する行為が出現しているとの報道もなされています。

この9月にはさらに、偽のアンチマルウェアソフトウェアを配布するグループが悪質なSEO(検索エンジン最適化)ポイズニングを行うという事件が複数発生しました。SEOポイズニングとは、ユーザーがGoogleなどの検索エンジンを使って時事的な問題や有名人についての情報を検索したとき、スケアウェア配布サイトへのリンクを検索結果の上位に表示させる行為のことを言います(私たちはこの行為を「インデックスハイジャッキング」と呼んでいましたが、より扇情的な「SEOポイズニング」という名称の方が一般的になっているようです)。この問題で特に醜悪なのは、911の悲劇に関連する検索キーワードをターゲットにしていたことです。この話題の詳細については こちらを、SEOポイズニングについての別の観点からの記事についてはこちらをご覧ください。
 
アンチソーシャルネットワーキング
 
さまざまなセキュリティ問題に見舞われているTwitterですが、9月にはまた新たな問題が発生しました。詳細については、こちらのブログ記事をご覧ください。同月には、Twitter以外のソーシャルネットワーキングサイトにもセキュリティ問題が生じています。Facebook向けのアプリケーション「FanCheck」については、以前からその正体についての疑念が広まっており、このアプリケーションはマルウェアであるとの噂がささやかれていましたが、今回、犯罪者グループがこの噂を利用して偽のアンチマルウェアソフトウェアを配布していることが明らかになったのです(ここでもSEOポイズニングの手法が使われています)。この問題については、ブログ記事でも取り上げています。http://www.eset.com/threat-center/blog/2009/09/08/fan-check-fretting-about-facebookhttp://www.eset.com/threat-center/blog/2009/09/09/fan-check-checks-in-againをご覧ください。
 
新着ホワイトペーパー
 
今回で3回目の開催となるCFET2009(サイバー犯罪フォレンジックの教育とトレーニングに関する国際カンファレンス)で発表されたDavid Harleyの論文が、ESET Webサイトのホワイトペーパーページに掲載されました。

そのホワイトペーパー「The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic」では、難読化手法、サンプル数の増加、そしてプロアクティブな検出技術によって、「亜種単位で脅威を検出する」という手法がいかにして時代遅れに、そして非効率な手法になったかを解説しています。

シリーズ企画の第1回目となる「インターネットを安全に利用するための基本ガイド」も、今後1~2週間のうちにホワイトペーパーページに掲載される予定です。

またDavid Harleyが「Computer Weekly」に寄稿した、アンチマルウェアソフトウェアのテストとMacのセキュリティに関する記事へのリンクも同ページに追加されています。

さらに、ESETが協賛するコミュニティプロジェクト「Securing our eCity」のリソースページにも、ESETラテンアメリカのCristian Borghelloが執筆したソーシャルエンジニアリングについての論文をはじめ、すぐれたホワイトペーパーが数本掲載されています。
 
幅広い活動を展開したESET
 
ESETはこの9月、さまざまな活動に取り組んでいました。その内容は、大きな注目を集めた米国カリフォルニア州サンフランシスコでのマーケティングキャンペーンから、同サンディエゴで開催されESETが協賛したISOI 7(Internet Security Operations & Intelligence)ミーティング、そしてスイスのジュネーブで開かれたVirus Bulletin 2009(VB2009)に至るまで、非常に多岐にわたります。とりわけVB2009では、昨年に引き続きESETのメンバーが大きな存在感を示しました。Juraj Malcho、Randy Abrams、Jeff Debrosse、David Harleyがプレゼンテーションを行ったほか、David Harley/Randy AbramsとPierre-Marc Bureauによる論文発表も行われました。
 
Win32/Induc.A
 
Win32/Inducがどの程度の影響力を持つかに関して、メディアの間では引き続き懐疑的な論調が一定の割合を占めています(この問題については先月のレポートでも取り上げ、ブログに掲載したFAQへのリンクを紹介しました)。しかし実際には、Win32/Inducは多くの人々窶買Zキュリティ専門家を含む窶狽ェ考えるよりも強い影響力を持ち、その活動はいまだ終息していません。詳細については、こちらのブログ記事をご覧ください。
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!