ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年12月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち9.85%を占めています。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
今月号は2009年最後のレポートですので、ランキングの後のセクションでは2009年に特に印象的だった出来事を振り返るとともに、2010年の展望を予測しています。そのため、通常のレポートよりもかなり長めの内容となっています。
1. Win32/Conficker [全体の約9.85%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年の秋に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年の秋に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。
2. INF/Autorun [全体の約7.58%]
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94、http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsのブログ記事も参考にしてください。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94、http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsのブログ記事も参考にしてください。
3. Win32/PSW.OnLineGames [全体の約7.16%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
4. Win32/Agent [全体の約2.55%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。
エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。
エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
5. INF/Conficker [全体の約2.18%]
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
6. Win32/Pacex.Gen [全体の約1.20%]
前回の順位:8位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。
とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008、The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic by David Harley)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。
前回の順位:8位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。
とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008、The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic by David Harley)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。
7. Win32/Qhost [全体の約1.19%]
前回の順位:7位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
前回の順位:7位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
8. WMA/TrojanDownloader.GetCodec.Gen [全体の約0.70%]
前回の順位:8位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。
WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
前回の順位:8位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。
WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
9. Win32/Autorun [全体の約0.68%]
前回の順位:9位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。
エンドユーザーへの影響
この脅威についてエンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
前回の順位:9位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。
エンドユーザーへの影響
この脅威についてエンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
10. Win32/Spy.Ursnif.A [全体の約0.56%]
前回の順位:23位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
エンドユーザーへの影響
Windowsのレジストリ設定に精通しているユーザーであれば、Win32/Spy.Ursnif.Aがシステムに存在するかどうかはさまざまな方法で確認することができますが、新しいアカウントが作成されたことを確認する方法を知らない一般ユーザーがこのスパイウェアの存在に気づくことは難しいでしょう。いずれにしても、このマルウェアが使用する設定の細かい部分は、その進化の過程で変更されていくものと予想されます。この種のスパイウェアへの感染を防ぐためには、アンチウイルスソフトウェアをはじめとするセキュリティソフトウェア(パーソナルファイアウォールなど)を導入および実行し、常に最新の状態に維持するだけでなく、最新のパッチを確実に適用し、意図しないファイルのダウンロードやリダイレクト、添付ファイルに注意するというあたりまえの対策を実施することが最も重要となります。
前回の順位:23位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
エンドユーザーへの影響
Windowsのレジストリ設定に精通しているユーザーであれば、Win32/Spy.Ursnif.Aがシステムに存在するかどうかはさまざまな方法で確認することができますが、新しいアカウントが作成されたことを確認する方法を知らない一般ユーザーがこのスパイウェアの存在に気づくことは難しいでしょう。いずれにしても、このマルウェアが使用する設定の細かい部分は、その進化の過程で変更されていくものと予想されます。この種のスパイウェアへの感染を防ぐためには、アンチウイルスソフトウェアをはじめとするセキュリティソフトウェア(パーソナルファイアウォールなど)を導入および実行し、常に最新の状態に維持するだけでなく、最新のパッチを確実に適用し、意図しないファイルのダウンロードやリダイレクト、添付ファイルに注意するというあたりまえの対策を実施することが最も重要となります。
2009年を振り返る
普段、このセクションでは前月の出来事を振り返っていますが、本レポートは2009年最後のレポートでもありますので、今回は12月についてだけでなく、2009年全体を回顧したいと思います。
1月
- 2008年の終わりから2009年の初めにかけて、わたし達は自己防衛のための一連のヒントをブログ(http://www.eset.com/threat-center/blog/2008/12、http://www.eset.com/threat-center/blog/2009/01)に投稿しました(近々、これらの記事の改訂版がホワイトペーパーとして公開される予定です)。
- この月に最も多く検出された脅威は、(相も変わらず)INF/Autorunでした。ホリデーシーズンということもあり、クリスマスプレゼントとして購入されることも多かったデジタルフォトフレーム経由でこの脅威に感染する危険性も指摘されました。
- 1月度のランキングでトップ10入りを果たした脅威のほとんどは、単一のマルウェアファミリーに対応するシグネチャではなく、アドバンスドヒューリスティックによって検出されたものでした。しかし、そうした傾向の中にあって、非常に有害なアドウェア型トロイの木馬であるVirtumondeも引き続き大量に検出されていました。
- 著名人のStephen Fry氏が詐欺に騙されたことを告白したことで、Twitterを舞台にしたフィッシングが大きな注目を集めました。ESETのマルウェアインテリジェンス担当ディレクターであるDavid Harleyが本格的にTwitterを使い始めたのもこのころです。12か月後の今、口では「まだ専門家というレベルではない」と言いながらも、Davidはブログアカウントと同じくらいの数のTwitterアカウントを開設するまでに至っています。興味のある方は、米国カリフォルニア州サンディエゴに拠点を置くリサーチチームのアカウントをフォローしてみてください。
- 英国では、警察当局の権限を強化することに対する懸念が話題となりました。この問題については、Craig JohnstonとDavid HarleyがAVAR 2009でのプレゼンテーションで取り上げています。
- ESETのテクニカルエデュケーション担当ディレクターであるRandy Abramsが、適切な(不適切な)パスワードの使用に関する記事をブログに投稿しました。この記事は、後にRandyとDavidの共同執筆によるホワイトペーパーに再録されています。
- Win32/Confickerは、トップ10にランクインする脅威の中でもとりわけ目立つ存在であり、Confickerに感染したPC数をおおざっぱに推定した数字がメディアで大きく取り上げられました。もちろん、Confickerは現在でも大量に検出されています。Confickerに関しては、ESETラテンアメリカのセキュリティアナリスト、Sebastian Bortnikが執筆したホワイトペーパーの英語版(「Conficker by Numbers」)が近々、ESET Webサイトのホワイトペーパーページで公開される予定となっています。
- 政府の補助金や米国税庁の還付金が受けられるとする詐欺が流行しました。その後この種の詐欺メールは、電子メールトラフィックの中で一定の割合を占めるようになっています。
- Googleで、検索結果のすべてのサイトについて「このサイトはコンピュータに損害を与える可能性があります」というメッセージが誤表示されるというトラブルが発生しました。インジェクション攻撃やクロスサイトスクリプティングが日常的に発生している今日、すべてのサイトにこのメッセージを表示したとしても、理屈のうえでは必ずしもまちがっていないかもしれません。しかし、これではエンドユーザーが不便ですし、Googleの信用にも傷が付きます。「偽陽性」という問題を抱えているのは、どうやらアンチウイルス製品だけではないようです。
2月
- 2月度もまた、INF/Autorun(およびその関連マルウェア)とパスワードを盗み出すトロイの木馬がランキングの1位と2位を占めましたが、最も大きな関心を集めたのはWin32/Confickerでした。アドウェアやPUA(Potentially Unwanted Application:ユーザーにとって好ましくない動作をする可能性のあるアプリケーション)は引き続き大量に出現し、ユーザーや企業を悩ませています。
- フィッシング詐欺師が、景気対策の還付金をエサにしてパスワードを盗み出そうとし始めました。2010年には、健康保険に関する法令がソーシャルエンジニアリングに利用されるようになると予想されます。
- Win32/Waledacの背後にいるグループが、バレンタインデーに乗じて「グリーティングカード」(その実体はマルウェア)を流布させました。
- 「Bill Gatesが資産を分配する」という奇妙なデマメールが、この種の話題には耐性があると思われるアンチウイルス業界の関係者にばらまかれました。
- Adobeがついに、PDF関連の深刻な脆弱性を警告するに至りました。Adobeにとっては不幸なことですが、同社製品はこの年、何度も攻撃を受ける羽目となりました。ESETのブログ執筆者も、Adobe関連の問題を警告する記事を多数投稿しています。
- 偽セキュリティソフトウェアの深刻さが、質量ともに増大し続けました。
- 人々の郷愁を誘うかのように、Microsoft Excelの脆弱性を突くマルウェアが数多く出現しました。
3月
- 3月の第1週は、オーストラリアの「ゾンビボットネット問題啓発週間」でした。しかし、ボットネットやゾンビPCについては、啓発週間だけでなく、常に意識することが重要であるのは言うまでもありません(http://www.eset.com/threat-center/blog/2009/03/03/zombies-down-under)。
- サイバースクワッティング(ドメイン名を転売目的で取得する行為)を懸念する人々にドメインを売りつけようとする詐欺が急増しました。
- 診断パッチを未署名でリリースするというSymantecが犯した些細なミスが、風評によって「同社がrootkitやバックドアを配布している」という都市伝説に発展しました。「都市伝説」と述べているように、これは単なるうわさであり真実ではありません。
- 英国のBBCが、2万2,000台のPCで構成されるボットネットを購入し、スパム送信とDDoS攻撃を実演してみせるという「犯罪行為」に手を染めました。ボットネットの活動内容を示すために犯罪者の懐をうるおす必要などまったくなかったはずですが、結果的にBBCは英国のコンピュータ不正使用法に基づく訴追を免れました。
- 「行方不明の子どもたち」についてのデマメールが大量に発生したことを受け、David HarleyとRandy Abramsがデマメールに関するホワイトペーパーをVirus Bulletin 2009で発表しました。
- 苦情申し立てに対するGoogleの消極的な姿勢が多くの注目を集めました。
- Virus Bulletinがアンチスパムのテストを開始しました。
- Psyb0tがボットネットとしての機能を強化し、PCではなくルータやDSLモデムをターゲットにするようになりました。
- Win32/Conficker.Cが4月1日に何らかの活動を開始するらしいという憶測が広まりました。その内容が事前に判明することはありませんでしたが、結局はインターネットをダウンさせるなどの大事件を引き起こすことはなく、通信プロトコルを変えただけでした。アンチウイルス業界の関係者の多くは、数週間にわたり「パニックにならないように」とブログで注意喚起していましたが、一部の批評家は「ベンダーが危機を煽った」と批判しました。
4月
- 4月にはそれほど大きな出来事はありませんでしたが、本格的なMacボットネットが登場し、DDoS攻撃に使用されるという事件が起きました。
- 標的型攻撃でOfficeソフトウェアが狙われるケースが急増しました。しかしMicrosoftは、この種の攻撃は影響範囲が狭く重要な問題ではないと考えているようであり、修正パッチの提供を急ぐことはしませんでした。
- ロシアのニュースサイトが、ConfickerがDDoS攻撃を行っていると報道しました。しかし、わたし達が社外の研究者と共同調査を行ったところでは、そのDDoS攻撃にConfickerが関与している証拠は一切見つかりませんでした。
- ロシアと中国のスパイが、米国の電力網システムに侵入しているとの報道がありました。
- W32/Conficker.AQと呼ばれるマルウェアが興味深い挙動を示しました。
- 自己顕示欲の高いMichael Mooneyという少年が作成したMikeyyワームが、Twitterに大混乱をもたらしました。David Harleyはこれに腹を立て、「こんなことをしてもセキュリティ業界に職を得ることはできない」とブログで述べています。
- Hexzoneボットネットが、不愉快なランサムウェアと関係があることが判明しました。
5月
- 「楽しき5月」には、ハンガリーのブダペストで重要なイベントが開催されました。攻撃手法と脆弱性に関するCAROワークショップと、2年目を迎えたAMTSO(Anti-Malware Testing Standards Organization)の年次ワークショップです。後者のイベントでは、レビュー分析委員会によるレビュープロセスが承認され、サンプルの検証方法とクラウド型セキュリティ製品のテスト方法がドキュメントとしてまとめられました。またEICARカンファレンスでは、DavidとRandyがテスト手法についての論文を発表し、EICAR、AMTSO、ICSALabsの代表者たちによるテスト手法をテーマとしたパネルディスカッションが行われました。
- ESETの上級マルウェア研究者であるPierre-Marc Bureauが、ポーランドのクラクフで開かれたCONFidenceカンファレンスに参加し、同イベントのすばらしさに感銘を受けていました。
- サンディエゴでは、ESETが協賛するコミュニティプロジェクト「Securing our eCity」がサイバー犯罪についての講演を無償で開催し、大きな成功を収めました。
- 英国では、データ漏えい事件を引き起こした国民保健機関(NHS)に対し、情報コミッショナーが厳しい姿勢を示しました。
6月
- 英国では、スコットランドの高齢者を標的とする電話詐欺が発生したほか、データ保護法が正しく理解されていないことに対する懸念の高まりから、新たな英国規格BS 10012が策定されました。
- スタンフォード大学に新設されたソーシャルメディアの修士課程を、MSNが「FacebookとTwitterの修士号」と評しました。
- メールアカウントを乗っ取り、そのアドレス帳にあるアドレス宛てに「強盗に遭ったので、帰国するためのお金を送ってほしい」というメールを送信する詐欺行為が頻発しました。
- Microsoftの無償アンチウイルスソフトウェアが登場し、アンチウイルス業界はもう終わりだと指摘する声が出てきました。しかし、このような見方は実態とは大きくかけ離れています。
- ある調査の結果、ビジネスパーソンの1/3は、会社のPCから不適切な内容のメールを送ったり、恋人に別れ話を持ちかけたり、別の会社に履歴書を送ったりした経験があることが判明しました。このような行動は、公私の区別が正しくなされていないことの表れであり、大いに懸念されます。
- 歌手のMichael Jackson氏が亡くなり、これに便乗したソーシャルエンジニアリングの手法で詐欺行為を行ったりマルウェアをインストールさせたりする不心得者が多数出現しました。
7月
- Waledacボットネットが、独立記念日に便乗したスパムメールの大量送信キャンペーンを仕掛けましたが、ESETの研究者は、その被害を最小限に食い止めるうえで重要な役割を果たしました。
- 英国の諜報機関の1つであるMI6の責任者の妻が、公にすべきでない情報をFacebookに大量投稿するという事件が発生しました。
- ESETラテンアメリカのSebastian Bortnikが、Waledacに感染したPCがどれほどのスパムメールを送信しているかを推定しました。それによるとWaledacに感染したPCは、1台につき1日あたり15万通ものスパムメールを送信していました。
- 米国政府のWebサイトが北朝鮮によるDDoS攻撃(複数のPCから分散して行われるサービス妨害攻撃)を受けている可能性があるとの報道がなされました。ただし、この推測を裏付ける証拠は見つかっていません。
- セキュリティ関連のブロガーやエクスプロイトコードの公開/配布サイトが、「Anti-sec」を名乗る何者かから「消去する」との脅迫を受けました。しかし、今のところわたし達はまだ「消去」されていません(http://www.eset.com/threat-center/blog/2009/07/11/orwell-double-think-and-anti-sec)。
- 社会保障番号を認証手段として利用することの危険性をDavid Harleyらが指摘しました。また、米国のシンクタンクPonemon Instituteが発表した「米国の組織の85%はデータ侵害を経験している」という調査結果について、Jeff Debrosseが長めの論考をブログに投稿しました。
- Win32/TrojanDownloader.Bredolab.AAがエンドユーザーに深刻な影響を及ぼしました。ESETのメインラボがあるスロバキアのESETスタッフからも情報が寄せられましたが、このマルウェアは特にヨーロッパで猛威を振るいました。ヨーロッパのESETスタッフはこのほかにも、無料のWi-Fiアクセスポイントを利用することの危険性について解説した有用なプレスリリースを発表しました。
- AdobeとMicrosoftのパッチが大きな話題となり、AppleはiPhoneを「Jailbreak」(「脱獄」を意味するロック解除行為)することの危険性を訴えました。
8月
- Slideshareが、スライドショーを閲覧したユーザーを偽セキュリティソフトウェアの配布サイトへ誘導するために悪用されていることをESETラテンアメリカのスタッフが発見しました。同サイトの担当者は、わたし達の報告にすばやく対応し、悪質なアカウントを直ちに削除してくれました。
- 「Delf」あるいは「Doneltart」と呼ばれる悪質なダウンロード型トロイの木馬に対抗すべく、アンチマルウェア研究者が一致団結しました。
- 英国の内閣事務局が、Twitterを利用したいと考える政府機関向けに驚くほどよくできたテンプレート文書を策定しました(さすがにこの文書を「140文字」以内に収めることはできなかったようですが)。
- コンパイラに感染し、さらにそのコンパイラによってコンパイルされたプログラムに感染するWin32/Induc.Aが、数か月にわたりアンチウイルス製品による検出を免れていたことが明らかになりました。この感染手法については、UNIXの開発者として知られるKen Thompson氏が1984年の講演「Reflections on Trusting Trust」で指摘したコンセプトとの類似性が指摘されています。
- Microsoftが、INF/Autorunによって悪用されているAutorun機能を初期設定で無効にする方法を公開しました。
- ESET LLCの上級研究者であるAryeh Goretskyが、Mac OS Xを狙う脅威がAppleでさえ無視できないほど増加していることをブログで指摘しました(その後David Harleyも、この問題について長めのブログ記事を投稿しています)。
9月
- 一部のMacユーザーは、セキュリティ対策はSnow Leopardが備える最小限のトロイの木馬対策機能で十分である(あるいは十分以上である)と考えていることが明らかになりました。
- Pierre-Marcが、ESETの無料オンラインスキャナで収集されたマルウェア統計に関する興味深い記事をブログに投稿しました。
- Aryehが、ソーシャルネットワーキングサイト利用時における自己防衛についての記事をブログに投稿しました。
- David Harleyによるマルウェアの命名についてのCFETカンファレンスペーパーがホワイトペーパーページで公開されました。
- 米国バージニア州在住の19才の少年が強盗の容疑で逮捕されました。逮捕に至った経緯は、強盗に押し入った先で被害者のノートPCを使用して自分のFacebookアカウントにアクセスし、ログアウトしなかったためだということです。
- スイスのジュネーブで開かれたVirus Bulletin 2009カンファレンスで、Juraj Malcho、Jeff Debrosse、Randy Abrams、そしてDavid Harleyが論文を発表しました。
10月
- 第6回目となる米国の「サイバーセキュリティ啓発月間」において、セキュリティ意識や自己防衛の重要性を啓発するためのイベントやプロジェクトが多数実施されました。
- SEO(検索エンジン最適化)ポイズニング(「インデックスハイジャッキング」とも呼ばれる)は決して新しい攻撃手法ではありませんが、2009年にはこの手法がさらに高度化しました。ESETのマルウェア研究者であるTasneem Patanwalaが、この種の攻撃に関するすばらしい分析記事をブログに投稿しています。
- Sebastian Bortnikが、HTTPSに関する問題をブログで警告し、その内容を実例するビデオを作成しました。ESET LLCのリサーチチームもその後、ブログでこの問題やSSLに関連する問題を取り上げました。
- Windows 7がリリースされました。
- 比較テストの実施者が「AMTSOに準拠している」などと勝手に主張する状況を受け、チェコのプラハで開かれたAMTSOミーティングでは、他の組織がAMTSOの信用をおとしめたりその意義を曲解したりすることを防ぐための方策について白熱した議論が交わされました(2月に開催される次回のワークショップでも同様のテーマが議論の中心となりそうです)。
- Windowsのパッチ適用を呼びかける偽のメールは決して目新しいものではありませんが、10月度にはこの種のメールが急増しました。現在、これらのメールでは、偽のパッチを添付するのではなく、メール本文に記載された不正URLにアクセスさせるという形を取るのが主流となっています。
11月
- 主に児童ポルノに関係する状況で、コンピュータ関連法違反の責任を逃れるために、責任を他人になすりつける「Some Other Dude Did It(SODDI:「だれかほかの奴がやった」の意)」やトロイの木馬のせいにする「Trojan Defense」と呼ばれる手法が用いられるようになりました。
- Jailbreak(ロック解除)されたiPhoneの脆弱性を攻撃する一連のマルウェアが登場しました。Appleは「それは自分たちの問題ではない」という態度を崩していませんが、長期的な観点では、このような姿勢はAppleコミュニティ全体に深刻な影響をもたらすものと見なされる可能性があります。
- オーストラリアのPCベンダーが「耐ウイルスPC」を発表しました。このベンダーは「耐ウイルス」の内容を明らかにしていませんが、どうやらWindows以外のOSを使用した強化パーティションのことを指しているようです。このPCを使用したユーザーの多くは、いつもの作業を行うには、たとえウイルスの問題があってもWindowsが必要だと改めて知ることになるでしょう。
- Securing our eCityの委託を受けて行われた調査の結果、サイバー犯罪およびセキュリティ問題についての地域住民の認識が心許ないものであることが明らかになりました。
- ESETは、ほかのベンダーの委託で実施されたパフォーマンステストにおいてすぐれた結果を残しました。しかし、Andrea Kokavcovaがブログ記事で指摘しているように、メモリ使用率の測定がより実際的なアプローチで行われていれば、さらによい成績が残せたことでしょう。
- 未だ開発途中のGoogle Chrome OSですが、特定のマルウェア攻撃を防げる可能性があるとして注目を集めました。
- 防衛技術企業Qinetiqによる特許技術が「ウイルス」問題に終止符を打つとして、New Scientist誌が歓迎の意を表しました。この技術を詳しく見てみると、確かに興味深いアイデアが盛り込まれているようではありますが、それでもわたし達がすぐに職を失うということはなさそうです。
12月
- RandyがPayPalに対し、「PayPalから送られてくる一部のメールはほとんどフィッシングだ」と指摘しました。PayPalからの返信には、そのメールは「確かにフィッシングである」とありましたので、Randyの指摘には同意してもらえたはずです。彼らは、一介のセキュリティ研究者のたわごととしてこの問題を処理しようとしましたが、セキュリティコミュニティの相当数の人々はRandyの意見に同意してくれています。
- ESETは、Mac OS XおよびデスクトップLinux向け製品のパブリックベータ版とマルウェアレポートポッドキャストの記念すべき第150話を公開しました。Randyのブログもご覧ください。
- David Harleyが、アンチマルウェア業界に関与して20周年というささやかな記念日を迎えました。
- MotorolaのDroidが「root化」されました。root化とは、ベンダーが定義するアプリケーションのホワイトリストを、iPhone/iPodにおけるJailbreakと同様の方法で回避する手法のことを言います。
- Facebookとプライバシーに関するさらなる疑問が提起されたほか、金融機関が、顧客がその機関に直接提供した情報だけでなく、「公になっているデータ」を認証に利用することの是非が話題となりました(http://www.eset.com/threat-center/blog/2009/12/14/your-data-and-your-credit-card)。
- ESETラテンアメリカとESET LLCの研究者が、イタリアのシルビオベルルスコーニ首相の襲撃動画に見せかけたマルウェアについての議論と分析を(いつものように)共同作業で行いました(http://www.eset.com/threat-center/blog/2009/12/15/fake-videos-of-berlusconi-attack)。
- Windows XP SP2のサポート期限が2010年7月に迫っていることを受け、それ以降もWindows XPのサポートを受けたければSP3に移行するようRandyが注意喚起を行いました。また、Howard Schmidt氏がホワイトハウスのサイバーセキュリティコーディネータ職に任用されたことについてもコメントしています。
- 11月のセクションで述べた「SODDI」が、Sarah Palin氏のメールアカウントハッキング事件でも用いられました(http://www.eset.com/threat-center/blog/2009/12/24/grasping-at-straws-did-malware-hack-palins-email-account)。
2010年の展望
ESETラテンアメリカとESET LLCのリサーチチームが顔を突き合わせ、セキュリティやサイバー犯罪、そして流行語にもなっている「サイバー戦争」を巡る状況が、今後12か月間でどう変化していくかを予測しました。2010年の予測については、Randyがその一部をブログで述べており、ESETラテンアメリカのスタッフもスペイン語のブログ記事を投稿していますが、ここでは、ESETラテンアメリカとESET LLCのスタッフが議論する中で得られた結論を概説します(両者の考えをまとめた英語版のホワイトペーパー「2010: Cybercrime Comes of Age」も、今後数週間のうちにhttp://www.eset.com/download/whitepapers.phpで公開される予定です)。
- ソーシャルエンジニアリング攻撃が引き続き流行する一方、安全性の高いオペレーティングシステムが普及するのに伴い、OSの脆弱性を突く攻撃はますます減少していく。アプリケーションの脆弱性を狙う攻撃は依然として深刻な脅威になっているが、ベンダーが品質管理を強化しパッチ提供方法を改善していくにつれ、これらの攻撃も減少していくものと予想される。またWindows 7の普及により、INF/Autorunおよびその関連脅威も徐々に力を失っていく。
- 祝祭日や最新ニュース(本物であるかねつ造であるかは問わない)、注目のイベント(ワールドカップなど)、人々の普遍的な関心事(国内外の経済など)といった話題のトピックが、ソーシャルエンジニアリング攻撃に利用される。
- JailbreakしたiPhoneは攻撃の対象になるという認識が広まるのに伴い、この攻撃の被害を受けるユーザーは減少していくが、モバイルデバイス全般で悪用可能な脆弱性探しが行われるようになり、モバイルデバイスを狙うソーシャルエンジニアリング攻撃も普及する。。
- 問題の修正が行われるまで感染PCを隔離する検疫システムの重要性が高まる。
- データ侵害の深刻さがさらに増大する。クラウド環境におけるセキュリティの強度に、(少なくとも短期的には)大きな差が出るようになる。
- 偽ソフトウェアを利用したゆすり行為が増加する。セキュリティソフトウェア以外のジャンルにも偽ソフトウェアが登場する。
- 「サービスとしてのマルウェア」に、正規のビジネスにおけるスペシャリストどうしの協業モデルがますます色濃く反映されていく。
- プラットフォーム間で悪意のあるコードを再利用できるようにするため、マルウェア開発において高級言語(特にスクリプト言語)の利用が増加する。
- ソーシャルネットワーキングサイトが、ソーシャルエンジニアリング攻撃と脆弱性を突く攻撃の対象としてこれまで以上に狙われるようになる。
- 仮想化環境の研究が進み、これらの環境に対する攻撃も増加するが、その影響はまだ限定的な範囲にとどまる。
- オンラインゲームユーザーに対するフィッシングと関連攻撃がますます大きなビジネスとなる一方、ゲームコンソールに対する攻撃では大きな成果を得られなくなる。
- 無線接続を不正操作する攻撃が引き続き流行する。
- 犯罪者と正規企業の双方が、ソーシャルネットワーキングサイト間の連携を利用して、より幅広いリソースからデータをマイニングするようになる。民間におけるデータ共有が大きな問題となり、主にヨーロッパの公共機関におけるデータ共有に適用されているデータ保護法のような規制の必要性が高まる。
- その収益性の高さから純然たるクライムウェアが大流行し、マルウェアの成功モデルとなる。
- 犯罪活動において、正規のWebサイトやソーシャルネットワークの乗っ取りが引き続き有効な攻撃手段として利用され続ける。このようなネットワークは、組織的犯罪ネットワークが使用する違法なインフラ(ボットネットなど)を管理するための手段として、あるいは不正広告などのより直接的な攻撃手段としてこれまで以上に利用されるようになる。
- 標的型攻撃(スピアフィッシング、幹部クラスを狙うホエーリング)が重大な脅威となるが、その危険性は正しく理解されない。