2009年10月 世界のマルウェアランキング

この記事をシェア
2009年10月の月間マルウェアランキング結果発表
 
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年10月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち8.85%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
 
2009年10月の結果グラフ
 
1. Win32/Conficker [全体の約8.85%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。


エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年の秋に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。

 
2. INF/Autorun [全体の約7.73%]
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsのブログ記事も参考にしてください。

 
3. Win32/PSW.OnLineGames [全体の約7.29%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
 
4. Win32/Agent [全体の約2.41%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。

ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。


エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
 
5. INF/Conficker [全体の約1.99%]
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
 
6. Win32/FlyStudio [全体の約1.94%]
前回の順位:46位
Win32/FlyStudioは、ユーザーがWebブラウザーで入力した内容を改ざんする脅威です。検索キーワードを改変し、特定の広告をWebブラウザーで表示させようとします。Win32/FlyStudioは、中国のユーザーをターゲットにしているものと考えられます。

エンドユーザーへの影響
FlyStudioは、中国国内で開発ツールとして広く利用されているスクリプト言語です。ただし、Win32/FlyStudioは北米など中国以外の地域でも検出されています。このことは、Win32/FlyStudioが別のマルウェアファミリーによって拡散された可能性があることを意味しています。
 
7. Win32/Qhost [全体の約1.58%]
前回の順位:6位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。

エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
 
8. Win32/Pacex.Gen [全体の約1.25%]
前回の順位:7位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。

エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。

とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008、The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic by David Harley)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。

 
9. Win32/Autorun [全体の約0.83%]
前回の順位:9位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。

エンドユーザーへの影響
この脅威についてエンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
 
10. WMA/TrojanDownloader.GetCodec.Gen [全体の約0.70%]
前回の順位:10位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。

WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。


エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
 
近況
 
テスト目的でマルウェアを作成することの是非
 
10月の初め、ESETの一部メンバーはチェコのプラハで行われたAMTSO(Anti-Malware Testing Standards Organization)のワークショップに参加してきました。今回のワークショップはいつにも増して活発な会議となり、とりわけテスト目的でのマルウェア作成についてのホワイトペーパーを巡っては白熱した議論が繰り広げられました。アンチマルウェア業界は、テスト目的でマルウェアを作成することについては一貫して原則反対の立場をとってきましたが、これまでその立場を明確に表明することはありませんでした。このホワイトペーパーはすでにAMTSOのメンバーによって承認されており、近日中にAMTSOのWebサイトで公開される予定です。

ESETのマルウェアインテリジェンス担当ディレクターで、このホワイトペーパーの共同執筆者であるDavid Harleyは次のように述べています。
「アンチマルウェア業界の基本的な立場は、『テスト目的でマルウェアそのものを作成することは、倫理的な観点からも実用上の観点からも正当化されない』というものです。とはいえテスト機関が、アンチマルウェア製品が未知のマルウェアを検出できるかどうか検証したいと考えることも理解できます。このホワイトペーパーは、許容されるプロアクティブなテスト手法についての具体的なガイドラインを示すものではありませんが、プロアクティブなテストの実施方法を適切に判断するための一助にはなるはずです」。

AMTSOのドキュメントは、継続的に精査されることになっています。テスト目的でのマルウェア作成は、まだ明確な結論の出ていない論争中の問題であるため、このホワイトペーパーも、今後の議論の行方に応じて適宜改訂されていくことになるでしょう。このほかには、ネットワークベースの製品のテストに関するホワイトペーパーも承認されています。

ワークショップでは、「AMTSO準拠」の定義を巡っても熱い議論が交わされました。最近では、多くのテスト機関がAMTSOの「Fundamental Principles of Testing」ガイドラインに準拠していると主張するようになっています。しかし実際には、テストの妥当性はAMTSOにテストの分析を依頼しなければ検証することができません。

近々、AMTSOで初となるテスト分析が実施されます。「AMTSO準拠」の厳格な定義はまだ定められていませんが、例えAMTSOのメンバーが実施したテストであっても、その妥当性が自動的に認められるわけではないのは言うまでもありません。
 
「不正な変更操作に対する強さ」は製品の優秀さの尺度になるか
 
ESIEA Laval(Ecole Superieure d'Informatique, Electronique et Automatique)が主催したFirst International Workshop on Aggressive Alternative Computing and Securityにおいて、研究者のChristopher氏とSamir氏が興味深い調査結果を披露しました。

その調査とは、管理者権限でPCにログオンしたとき、NOD32を含む各種のアンチウイルススキャナをどの程度の時間で無効にできるか、というものです。この調査について、ESETのアンチマルウェア研究者であるPierre-Marc Bureauは次のように述べています。
「マルウェアがスキャナを無効にするためには、コードを実行する必要があります。スキャナがマルウェアを検出した場合、そのマルウェアはコードを実行できなくなるため、スキャナのプロセスが停止されることはなくなります。その意味で、ESETのプロアクティブな検出技術は、スキャナを無効にしようと試みるマルウェアに対する最大の防御策であると言えます」

David Harleyも同様の意見を述べています。
「もしPCに管理者権限でアクセスされた場合、それはPCを乗っ取られたのとほとんど同じことを意味します。ディスク上のサポートファイルを改変するだけで無効化できてしまう製品があったのに対し、NOD32がこの種の不正な変更操作に比較的強いことが判明したのは喜ばしいことです。しかし率直に言って、もしわたしが2分で無効にされてしまう製品を使っていたとしても、この調査結果を理由に別の製品に乗り換えることはおそらくないでしょう。それは、このテストに限らずリークテストについても同じです。アンチマルウェア製品の良し悪しは、このようなテストだけで計れるものではないからです」

ここで、Defcon 16で行われた悪名高き「Race to Zero」コンテストを思い出された方もいらっしゃるかもしれません。しかしESIEAは、これまでにも貴重な調査を数多く行っていますし、このテストも本物のマルウェアやリバースエンジニアリングを用いずに行われているようです(EICARテストファイルをマルウェアと見なす人はいないでしょう)。いずれにせよ、このテスト結果を製品の改善に利用できるかどうかを知るためにも、より詳細な情報が公開されることを期待したいと思います。

ESETの上級研究者であるAryeh Goretskyは、このテストが物理的にPCにアクセスできる状況を想定していることから、NTFS-3GをサポートするLinuxディストリビューションが格納されたUSBフラッシュドライブやLive CDを使えば、もっと早く、そして簡単にコンピューターを起動できると指摘しています。また、パスワードを強力なものにしたりディスクを暗号化したりすることで、この種の攻撃への耐性を高めることができるとも述べています。いずれにしても、このテストが興味深い試みであるのはまちがいありません。
 
サイバー犯罪の認知度調査
 
Competitive Edge Research and Communication Inc.は先ごろ、ESETが協賛しているSecuring Our eCityプロジェクトの委託を受けて、ある調査を実施しました。サイバー犯罪、MacとPCの安全性、アンチウイルスソフトウェアの利用状況と要望、インターネットおよびオンラインバンキングの安全な利用方法などについて尋ねた調査で、約1,000人が回答しています。詳細については近々ブログで紹介する予定ですが、この結果には興味深い点(そして驚くべき点)がいくつか含まれています。

特に気になったのは、サイバー犯罪の犯人像について尋ねた設問です。この設問では、63%が「個人のハッカー」と回答しており、「組織化されたグループ」と回答したのはわずか21%でした。2009年も終わりを迎えようという時期にあって、この数字はいささか心許ないものと言わざるを得ません。適切なセキュリティ対策を講じてさえいれば、サイバー犯罪者が個人であろうと組織であろうと個々のユーザーには関係ない、という意見もあるかもしれませんが、もし私たちが、脅威の特徴や性質を十分ユーザーに伝えることができていないとすれば、ユーザーはおそらく「適切なセキュリティ対策とは何か」も理解できていない、ということになってしまうからです。
 
ハロウィンに便乗するマルウェア作者
 
10月31日にはハロウィンが大変な盛り上がりを見せましたが、マルウェア作者は、このような機会を最大限ソーシャルエンジニアリングに利用しようとします。ESETのテクニカルエデュケーション担当ディレクターであるRandy Abramsはブログで、偽のeカードや動画を利用した攻撃が行われると予測し、ブラティスラバ(スロバキア)にある研究所の責任者であるJuraj Malchoは、SEO(検索エンジン最適化)ポイズニング(インデックスハイジャッキング)を使った偽のセキュリティソフトウェアが大量に出現すると警告していました。マルウェア作者は、このSEOポイズニングにより、ユーザーがGoogleなどの検索エンジンを使ってハロウィンに関連した用語(「ハロウィンの衣装」、「吸血鬼」、「カボチャの表情」といったものから、映画フランチャイズの「Halloween」についての検索ワード、さらには「ハロウィン キリマンジャロ 起源」といった意図がよくわからないものまで)を検索したときに、偽のセキュリティソフトウェアへのリンクが検索結果の上位に表示されるようにします。そして、コンピューターにマルウェアが存在していると偽の警告を表示して、マルウェアを削除するためにはこのソフトウェアを購入する必要があるとユーザーを脅します。

この種の攻撃については、David Harleyがブログで解説しています。また、Tasneem PatanwalaによるSEOポイズニングについての記事も参考になります。SEOポイズニング全般についてのその他の記事はこちら、偽のセキュリティソフトウェア全般についてのDavid Harleyの解説はこちらでご覧ください。

また偽のセキュリティソフトウェアについては、Cristian Borghelloによるホワイトペーパーも公開されています。
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!