ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年11月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち9.64%を占めています。ほとんどの脅威の順位は変化していませんが、「Win32/FlyStudio」がトップ100の下位付近に逆戻りし、「Win32/Injector」が急上昇して一気に第10位にランクイン、そして「WMA/TrojanDownloader.GetCodec.Gen」が第8位にランクアップしています。しかしながら、全体に占める割合という点では、特に目を引くような変動はありませんでした。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
1. Win32/Conficker [全体の約9.64%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年の秋に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年の秋に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。
2. INF/Autorun [全体の約7.80%]
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94、http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsのブログ記事も参考にしてください。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94、http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsのブログ記事も参考にしてください。
3. Win32/PSW.OnLineGames [全体の約7.63%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
4. Win32/Agent [全体の約2.98%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。
エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。
エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
5. INF/Conficker [全体の約2.08%]
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
6. Win32/Pacex.Gen [全体の約1.31%]
前回の順位:8位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。
とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008、The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic by David Harley)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。
前回の順位:8位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。
とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008、The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic by David Harley)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。
7. Win32/Qhost [全体の約1.12%]
前回の順位:7位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
前回の順位:7位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
8. WMA/TrojanDownloader.GetCodec.Gen [全体の約0.78%]
前回の順位:10位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。
WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
前回の順位:10位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。
WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
9. Win32/Autorun [全体の約0.78%]
前回の順位:9位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。
エンドユーザーへの影響
この脅威についてエンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
前回の順位:9位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。
エンドユーザーへの影響
この脅威についてエンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
10. Win32/Injector [全体の約0.66%]
前回の順位:68位
Win32/Injectorというのは、実行中のプロセスにコードを挿入するあらゆるマルウェアに適用される可能性のある汎用名です。多くの場合、これらのマルウェアは自身の存在を隠ぺいするためにコード挿入を行いますが、その他の目的で正規プロセスの傍受、ピギーバック(別のプロセスへの便乗)、改ざんを行う場合もあります。この種のマルウェアの多くは、Webブラウザのプロセスにコードを挿入することで、ファイアウォールによる防御をすり抜け、ボットネットの指令(C&C)サーバーと通信しようとします。
エンドユーザーへの影響
「injector」という名称は、特定のマルウェアファミリーを指すのではなく、攻撃メカニズムの種類を指しています。この種の脅威への感染を防ぐのに有効な個別の予防策というものはなく、「安全のための慣習」を実践するしかありません。「Win32/Conficker」の項で説明している安全のための慣習を実践するほかには、アンチウイルスプログラムやファイアウォールプログラムが動作しているか、プログラムが正しく更新されているかを定期的に確認することをお勧めします。このタイプのマルウェアの多くには、これらのプロセスに干渉するという共通の特徴があるからです。
また、ふだんは特権を持たない一般アカウントを使用し、どうしても特権アクセスが必要なときだけ管理者アカウントを使用する、という対策も有効です。一般アカウントを使用すると、マルウェアが自分自身をインストールすることを防げる可能性があるだけでなく、上位レベルの権限が必要なプロセスにマルウェアがコードを挿入しにくくなるという効果があります。
前回の順位:68位
Win32/Injectorというのは、実行中のプロセスにコードを挿入するあらゆるマルウェアに適用される可能性のある汎用名です。多くの場合、これらのマルウェアは自身の存在を隠ぺいするためにコード挿入を行いますが、その他の目的で正規プロセスの傍受、ピギーバック(別のプロセスへの便乗)、改ざんを行う場合もあります。この種のマルウェアの多くは、Webブラウザのプロセスにコードを挿入することで、ファイアウォールによる防御をすり抜け、ボットネットの指令(C&C)サーバーと通信しようとします。
エンドユーザーへの影響
「injector」という名称は、特定のマルウェアファミリーを指すのではなく、攻撃メカニズムの種類を指しています。この種の脅威への感染を防ぐのに有効な個別の予防策というものはなく、「安全のための慣習」を実践するしかありません。「Win32/Conficker」の項で説明している安全のための慣習を実践するほかには、アンチウイルスプログラムやファイアウォールプログラムが動作しているか、プログラムが正しく更新されているかを定期的に確認することをお勧めします。このタイプのマルウェアの多くには、これらのプロセスに干渉するという共通の特徴があるからです。
また、ふだんは特権を持たない一般アカウントを使用し、どうしても特権アクセスが必要なときだけ管理者アカウントを使用する、という対策も有効です。一般アカウントを使用すると、マルウェアが自分自身をインストールすることを防げる可能性があるだけでなく、上位レベルの権限が必要なプロセスにマルウェアがコードを挿入しにくくなるという効果があります。
近況
再びサイバー犯罪の認知度調査について
10月度のレポートでも簡単に触れたように、Competitive Edge Research and Communication Inc.は先ごろ、ESETが協賛している Securing Our eCityプロジェクト の委託を受けて、ある調査を実施しました。これは、サイバー犯罪、MacとPCの安全性、アンチウイルスソフトウェアの利用状況と要望、インターネットおよびオンラインバンキングの安全な利用方法などについて尋ねた調査で、約1,000人が回答しています。
先月お約束した通り、Randy Abramsがこの調査についての見解をブログ( http://www.eset.com/threat-center/blog/2009/11/16/once-upon-a-cybercrime%e2%80%a6 、 http://www.eset.com/threat-center/blog/2009/11/18/so-you-think-you-are-smart )に投稿しましたので、ぜひご覧ください。
先月お約束した通り、Randy Abramsがこの調査についての見解をブログ( http://www.eset.com/threat-center/blog/2009/11/16/once-upon-a-cybercrime%e2%80%a6 、 http://www.eset.com/threat-center/blog/2009/11/18/so-you-think-you-are-smart )に投稿しましたので、ぜひご覧ください。
iPhoneと「Jailbreak」
11月は、iPhoneマルウェアがだれも想像しなかったほどの飛躍的進化を遂げた月となりました。
Appleは、iPhone/iPod Touchで魅力的なセキュリティモデルを採用しており、それはシンプルでありながら「ある程度までは」効果的に機能します。すなわち、ユーザーは、Appleによって承認され、 App Storeで公開されているアプリケーションしかインストールすることができないのです。しかし、「ある程度までは」と述べた通り、この制約はある簡単な細工を施すだけで回避することができ、これによって任意のアプリケーションをiPhoneにインストールすることが可能になります。「Jailbreak」(「脱獄」の意)と呼ばれるこのロック解除行為は、Appleとのライセンス契約に違反する行為であるため、ロックを解除したiPhoneはおそらく ユーザーサポートを受けられなくなりますが、ロック解除を行っているiPhoneユーザーの数は決して少なくありません。この問題は、うまく運用できれば効果的に機能するホワイトリスト方式がそれほど普及していない理由を明確に示しています。つまり、利便性や娯楽性を高める方法があるのなら、多くのユーザーは、それを実現するために進んでセキュリティを犠牲にしてしまうということです。
ロック解除されたiPhoneには、Appleの承認を受けていないながら、コンセプトとしては極めて妥当なアプリケーションをインストールすることができます。そのうちの1つに、SSHのiPhone向け実装があります。SSHは、(認証という意味で)安全なチャネルをシステム間で確立し、セキュアなプロトコルを用いてファイルを含むデータ転送を行うためのプログラムです。あるとき、1人のオーストラリア人学生が、「iPhoneをロック解除してSSHをインストールし、デフォルトのパスワードを変更していなければ、そのiPhoneは、外部から特権アクセスされる可能性がある」ということに気づきました(このことに気づいたのは、おそらく彼1人ではないでしょう)。そして、iPhoneの壁紙を変更する簡単なワームを作成し、しばらくの間そのソースコードを公開したのです。そのあとすぐ、iPhone内のデータを別のiPhoneやコンピュータに転送する機能を備えたマルチプラットフォーム対応のハッキングツールが登場し(このツールは、誤ってウイルスと報道されました)、続いて、iPhoneをボット化するワームが出現しました。これらはいずれも、同じ攻撃コードに基づいて作成されています。
このiPhoneワームに関連するインシデントはほかにも数件起きていますが、基本的な流れは上記の通りです。この問題に関して、わたし達は特に以下の点が重要であると考えています。
この騒動については、ESETのマルウェアインテリジェンス担当ディレクターであるDavid Harleyと同テクニカルエデュケーション担当ディレクターであるRandy Abramsが、ブログにも詳細な論考を投稿しています。ぜひご覧ください。
http://www.eset.com/threat-center/blog/2009/11/10/iworm-ikee-sex-and-drugs-and-rick-and-roll
http://www.eset.com/threat-center/blog/2009/11/10/ikee-iphone-iworm-iyukkkkk
http://www.eset.com/threat-center/blog/2009/11/11/hacker-tool-exploits-vulnerability-in-jailbroken-iphones
http://www.eset.com/threat-center/blog/2009/11/11/iphoneprivacy-a-a-bit-more-info
http://www.eset.com/threat-center/blog/2009/11/12/iphone-hack-tool-a-postscript
http://www.eset.com/threat-center/blog/2009/11/13/when-is-a-worm-not-a-worm
http://www.eset.com/threat-center/blog/2009/11/22/ibot-mark-2-go-straight-to-jail-do-not-pass-go
http://www.eset.com/threat-center/blog/2009/11/23/ibot-revisited-briefly
http://www.eset.com/threat-center/blog/2009/11/25/whitelisting-and-the-iphone
Appleは、iPhone/iPod Touchで魅力的なセキュリティモデルを採用しており、それはシンプルでありながら「ある程度までは」効果的に機能します。すなわち、ユーザーは、Appleによって承認され、 App Storeで公開されているアプリケーションしかインストールすることができないのです。しかし、「ある程度までは」と述べた通り、この制約はある簡単な細工を施すだけで回避することができ、これによって任意のアプリケーションをiPhoneにインストールすることが可能になります。「Jailbreak」(「脱獄」の意)と呼ばれるこのロック解除行為は、Appleとのライセンス契約に違反する行為であるため、ロックを解除したiPhoneはおそらく ユーザーサポートを受けられなくなりますが、ロック解除を行っているiPhoneユーザーの数は決して少なくありません。この問題は、うまく運用できれば効果的に機能するホワイトリスト方式がそれほど普及していない理由を明確に示しています。つまり、利便性や娯楽性を高める方法があるのなら、多くのユーザーは、それを実現するために進んでセキュリティを犠牲にしてしまうということです。
ロック解除されたiPhoneには、Appleの承認を受けていないながら、コンセプトとしては極めて妥当なアプリケーションをインストールすることができます。そのうちの1つに、SSHのiPhone向け実装があります。SSHは、(認証という意味で)安全なチャネルをシステム間で確立し、セキュアなプロトコルを用いてファイルを含むデータ転送を行うためのプログラムです。あるとき、1人のオーストラリア人学生が、「iPhoneをロック解除してSSHをインストールし、デフォルトのパスワードを変更していなければ、そのiPhoneは、外部から特権アクセスされる可能性がある」ということに気づきました(このことに気づいたのは、おそらく彼1人ではないでしょう)。そして、iPhoneの壁紙を変更する簡単なワームを作成し、しばらくの間そのソースコードを公開したのです。そのあとすぐ、iPhone内のデータを別のiPhoneやコンピュータに転送する機能を備えたマルチプラットフォーム対応のハッキングツールが登場し(このツールは、誤ってウイルスと報道されました)、続いて、iPhoneをボット化するワームが出現しました。これらはいずれも、同じ攻撃コードに基づいて作成されています。
このiPhoneワームに関連するインシデントはほかにも数件起きていますが、基本的な流れは上記の通りです。この問題に関して、わたし達は特に以下の点が重要であると考えています。
- 冒頭で「iPhoneマルウェアが飛躍的な進化を遂げた」と述べましたが、これは必ずしもiPhoneを巡る状況が大きく変わるとか、パンドラの箱が開いたとかそういうことを意味するわけではありません。近い将来、iPhoneマルウェアが大量に出現するということもおそらくないでしょう。わたしの知るかぎり、これは例外的な問題であり、影響を受けるのも、ロックを解除し、SSHをインストールして、パスワードを変更していないユーザーだけと、ごくわずかです。また、ここ数週間で問題が大きく報道されたことにより、被害を受ける可能性のあるユーザーの多くも、必要な対策を施したのではないかと思われます。数百種類出現しているSymbian OSを狙う既知のマルウェア(これは、Windows Mobile/CEを対象とする既知のマルウェアとほぼ同じ数です)と比べると、iPhoneを狙うマルウェアの影響力は微々たるものに過ぎません。
- それでも、このようなワームが登場したという事実は、良くない兆しであると言わざるを得ません。今回出現したワームは、iPhoneを狙う初めてのマルウェアというわけではありませんが、まちがいなく最も注目を集めたマルウェアであり、それに値するマルウェアです。攻撃手法が、英国人歌手Rick Astleyの壁紙を貼る「 リックローリング 」からiPhoneのボット化へと高度化しているということは、(名誉と職を得ようとする単なる目立ちたがり屋ではなく)本物の犯罪グループが新たに登場するマルウェアに目を光らせ、それらに多少の手を加えることで新たな収益源を得ようとしている、ということを意味しています。もし新たな「例外」が登場し、それが(最も熱心なMacファンでさえ認めざるを得ないほどに)実用的なものであれば、犯罪グループはそのマルウェアを活用しようとすることでしょう。
- 少なくとも当面の間、この問題の解決をアンチウイルスソフトウェアに頼ることはできないでしょう。Appleは、自社製品にセキュリティ問題など存在しないと考えており、iPhone用のアンチマルウェアアプリケーションを承認する姿勢をまったく見せていません(これは将来的に変わることもないでしょう)。また、信頼できるベンダーがロック解除したiPhoneをサポートすることもおそらくないため、一部のiPhoneユーザーは、偽のアンチウイルスソフトウェアや性能が不十分なアンチマルウェアプログラムに手を出してしまうかもしれません(Mac OS Xが登場するはるか前には、正規のセキュリティソフトウェアでありながら品質が不十分であったために、Macユーザーの間で問題を引き起こしたソフトウェアがありました)。
この騒動については、ESETのマルウェアインテリジェンス担当ディレクターであるDavid Harleyと同テクニカルエデュケーション担当ディレクターであるRandy Abramsが、ブログにも詳細な論考を投稿しています。ぜひご覧ください。
http://www.eset.com/threat-center/blog/2009/11/10/iworm-ikee-sex-and-drugs-and-rick-and-roll
http://www.eset.com/threat-center/blog/2009/11/10/ikee-iphone-iworm-iyukkkkk
http://www.eset.com/threat-center/blog/2009/11/11/hacker-tool-exploits-vulnerability-in-jailbroken-iphones
http://www.eset.com/threat-center/blog/2009/11/11/iphoneprivacy-a-a-bit-more-info
http://www.eset.com/threat-center/blog/2009/11/12/iphone-hack-tool-a-postscript
http://www.eset.com/threat-center/blog/2009/11/13/when-is-a-worm-not-a-worm
http://www.eset.com/threat-center/blog/2009/11/22/ibot-mark-2-go-straight-to-jail-do-not-pass-go
http://www.eset.com/threat-center/blog/2009/11/23/ibot-revisited-briefly
http://www.eset.com/threat-center/blog/2009/11/25/whitelisting-and-the-iphone
古いタイプの脅威も健在
脅威は再利用され、巡り回っています。脅威に関しては、残念ながら因果応報というわけには行かないようです。
David Harleyは次のように述べています。「もう思い出せないほど以前から、毎年この時期になると、ロシアで冬を越すための経済的援助をしてほしいと求める電子メールが送られてきます。差出人の名前や年齢、性別、住所は毎回違いますが、転職したりプロバイダを変更したりして、わたしが何度メールアドレスを変更しようとも(この種のメールから逃れようとしているわけではありません!)、遅かれ早かれ同じ内容のメールが送られてくるのです。しかし、今年のメールは少し様子が違いました。直接的な経済的援助を求めてくるのではなく、廃棄された鋳鉄製ストーブがあれば、それをモスクワから175キロ離れた某所に送ってほしいというのです。もしそのようなストーブがあれば、提供すると申し出てどのような返事が返ってくるかをぜひ確認したかったところです」
「しかし、フィッシングメールだけでなく、419などの詐欺メールも相変わらず送られてきています。デマメールやチェーンメールの類はあまり見なくなりましたが、かといって完全に消えてなくなったわけではありません。休戦記念日や復員軍人の日、英霊記念日曜日と間接的に関係するものや、イラクやアフガニスタンに派遣されている合衆国や中米、英国、英連邦諸国の軍隊に直接関連するものなど、この11月にも多数のチェーンメールが確認されています。この問題については、ブログでも簡単に触れています( http://www.eset.com/threat-center/blog/2009/11/18/great-hoax-from-little-acorns 、 http://avien.net/blog/?p=73 )。 また、ホワイトペーパーでも近々この問題を取り上げる予定です」
DavidとRandyがVirus Bulletin 2009カンファレンスの会報で発表した、デマメールについてのホワイトペーパーがESET Webサイトのホワイトペーパーページ で公開されています。このほかに最近公開されたホワイトペーパーとしては、Juraj Malchoの「Is there a lawyer in the lab?」があります。また数日中には、Jeff DebrosseとDavid Harleyによる「Malice Through the Looking Glass: Behaviour Analysis for the Next Decade」も同ページに掲載される予定です。さらに、David HarleyとRandy Abrams、David Harley、Craig JohnstonそれぞれによるAVAR関連ペーパーも公開予定となっています。
David Harleyは次のように述べています。「もう思い出せないほど以前から、毎年この時期になると、ロシアで冬を越すための経済的援助をしてほしいと求める電子メールが送られてきます。差出人の名前や年齢、性別、住所は毎回違いますが、転職したりプロバイダを変更したりして、わたしが何度メールアドレスを変更しようとも(この種のメールから逃れようとしているわけではありません!)、遅かれ早かれ同じ内容のメールが送られてくるのです。しかし、今年のメールは少し様子が違いました。直接的な経済的援助を求めてくるのではなく、廃棄された鋳鉄製ストーブがあれば、それをモスクワから175キロ離れた某所に送ってほしいというのです。もしそのようなストーブがあれば、提供すると申し出てどのような返事が返ってくるかをぜひ確認したかったところです」
「しかし、フィッシングメールだけでなく、419などの詐欺メールも相変わらず送られてきています。デマメールやチェーンメールの類はあまり見なくなりましたが、かといって完全に消えてなくなったわけではありません。休戦記念日や復員軍人の日、英霊記念日曜日と間接的に関係するものや、イラクやアフガニスタンに派遣されている合衆国や中米、英国、英連邦諸国の軍隊に直接関連するものなど、この11月にも多数のチェーンメールが確認されています。この問題については、ブログでも簡単に触れています( http://www.eset.com/threat-center/blog/2009/11/18/great-hoax-from-little-acorns 、 http://avien.net/blog/?p=73 )。 また、ホワイトペーパーでも近々この問題を取り上げる予定です」
DavidとRandyがVirus Bulletin 2009カンファレンスの会報で発表した、デマメールについてのホワイトペーパーがESET Webサイトのホワイトペーパーページ で公開されています。このほかに最近公開されたホワイトペーパーとしては、Juraj Malchoの「Is there a lawyer in the lab?」があります。また数日中には、Jeff DebrosseとDavid Harleyによる「Malice Through the Looking Glass: Behaviour Analysis for the Next Decade」も同ページに掲載される予定です。さらに、David HarleyとRandy Abrams、David Harley、Craig JohnstonそれぞれによるAVAR関連ペーパーも公開予定となっています。