ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2010年1月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち9.90%を占めています。
トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年の秋に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsのブログ記事も参考にしてください。
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。
エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:6位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。
とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008、“The Game of the Name: Malware Naming, Shape Shifters and Sympathetic Magic” by David Harley)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。
前回の順位:7位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。
エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
前回の順位:76位
このトロイの木馬は通常、悪意のあるWebサイトから実行されます。そして、ユーザーへの通知や同意なしで感染先のPCに追加ファイルをダウンロードして実行します。動作中は、自身のウィンドウをユーザーから隠ぺいします。この種のマルウェアは、ESET製品ではWin32/Agent(上記を参照)として汎用検出される幅広いマルウェアのダウンロードおよびインストール時に実行されます。
エンドユーザーへの影響
このタイプのトロイの木馬はさまざまなマルウェア(汎用名はWin32/Agent)との組み合わせで使用されるため、複数のマルウェアファミリーがこの名前で検出されることがあります。したがって、ある特定の対策だけでこのトロイの木馬に対処することは困難です(もちろん、すぐれたアンチマルウェアプログラムを使用することは有効な対策になります)。セキュリティソフトウェアを使用すること以外のダウンローダ対策としては、「最新のパッチを確実に適用する(ドライブバイダウンロードが行われる可能性を低くすることができます)」、「自分が要求したのではないリンクやファイルをむやみに開かない」、「このようなリンクやファイルはソーシャルエンジニアリングの手法を使って提示される場合があるという事実を認識する」、といったことが挙げられます。
前回の順位:8位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。
WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。
エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
前回の順位:21位
これはスクリプト言語のAutoItで作成されたマルウェアであり、ヒューリスティック技術によって検出されます。スクリプトは、UPXコンプレッサーを使用することにより自己解凍形式の実行可能ファイルとしてコンパイルできます(UPXはオプションでありデフォルトではありませんが、多くのマルウェア作者が利用しています)。
エンドユーザーへの影響
言うまでもありませんが、AutoItはマルウェアの作成を目的とした言語ではありません。それにもかかわらずマルウェア作者の間で広く利用されているのは、使い勝手が良く、また単純なシグネチャ技術ではパッキングされた実行可能ファイルを誤検出なしで正しく検出することが困難であるためです(特にオンデマンドスキャナの場合)。実行可能ファイルがパッキングされていると、既知のマルウェアであっても実際に実行されるまでは検出できない場合があります。このツールは幅広いマルウェアで使用されているため、特定の対策だけで対応することはできません。そのため、「自ら要求したのではないリンクやファイルに注意する」、「アプリケーションにパッチを適用する」、「管理者アカウントを日常的に使用しない」、「安全でないファイルを実行させようとするソーシャルエンジニアリングの手法に注意する」、といったことが重要となります。
また、David Harleyによる新着ホワイトペーパー「The Internet Book of the Dead」も公開されています。このホワイトペーパーはインタビューの形をとっていますが、このインタビューは実際には行われていません。予定されていたBBCによるDavidのインタビューがスケジュールの都合で実現しなかったのですが、そのテーマが興味深いものであったことから、このような形で取り上げることにしました。
Win32/Zimuseとブートセクタ感染型ウイルス(One HalfやStoned.Angelinaなど。ただし前者は、実際にはファイルとブートセクタの両方に感染します)の類似点については初出のブログ記事(ブログ「Bemused by Zimuse? (Dis is not one half)」、ブログ「We are not Zimused ? a few updates」)とプレスリリースで触れましたが、メディアなどの中にはZimuseの位置付けに困惑している向きもあったようです。Zimuseは、これら古典的ウイルスの最新版というわけではありません。フロッピーディスクのブートセクタに感染して拡散するのでなければ、ハードディスクのMBRにブートコードを書き込むわけでもありません。Zimuseは、ハードディスクの最初の50KBをゼロ(0×00)で上書きします。これによってMBRを上書きしてディスクから起動できなくしますが、それだけでなくディスクの同領域にあるすべてのデータを上書きします。One Halfとの共通点はペイロードが破壊的であるという点だけであり、コードの性質が似ているわけではないのです。
私たちがZimuseの存在に気づいたのは、スロバキア在住のユーザーが「ディスクが壊れたようだ」という報告を寄せてくれたことがきっかけです。最初に標的とされたのは、スロバキア中北部で活動するオフロードバイククラブと見られていますが、感染被害はその後、別の組織からスロバキア国外へと広がっていきました。そして、私たちがZimuseについての情報を公開した時点では、感染被害が最も多いのは米国という状況になっていました。なおESETでは、無償の駆除ツールを公開しています。
Win32/Zimuse.Aは、感染から10日後にUSB経由での拡散を開始し、40日後に破壊的ルーチンを実行します。亜種.Bでは、拡散開始までの日数が7日間に短縮されており、破壊的ペイロードを実行するまでの日数も同じく短縮されています。
デンマークのセキュリティ研究者であるPeter Kruse氏が、ある「ウイルス」についてのデマ/詐欺行為がFacebookで広まっていると警告しました。そのデマ/詐欺行為とは、Facebookのプロフィール画面に「Unnamed App」というタブを追加するウイルスが存在するというものでした。
このデマ/詐欺行為が広まった結果、詳しい情報を得ようと多くのユーザーが「Unnamed App」という語句をGoogleで検索しました。しかしこれは、実際には偽のセキュリティソフトウェアを売りつけようとする検索エンジン最適化(SEO)キャンペーンだったのです(その関連ファイルは、ESET製品ではWin32/Kryptik.BXJの亜種として検出されます)。
Yahoo Answersのあるスレッドでは、「Unnamed App」というのはおそらく、一部のFacebookユーザーのプロフィール画面に表示される「Boxes」タブのことだろうと指摘されていますが、Facebookの開発者向けサイトでは、「すでに発表されている通り(こちらを参照)、プロフィールの各ボックスと『Boxes』タブは2009年末~2010年初旬に廃止される」と述べられています。
しかし、この「Boxes」問題とは別に、名前のないアプリケーションが少なくとも1つ存在していることは確かのようです。このアプリケーションが実際に不正なものであるかどうかは定かではありませんが、開発者が名前を付ける手間を惜しんだか、あるいは単に運用を破棄したアプリケーションであるように思われます。
「Unnamed App」というのは見るからに総称的な名称です。この名前は「Boxes」タブの同義語ではないようですが、「Boxes」タブを指している場合もそうでない場合もあると思われます。「Unnamed App」は場合によっては不正なアプリケーションであるかもしれませんが、だからといってこれが常にウイルスであるということにはなりません。ここで重要なのは、「Unnamed App」をGoogle検索すると、まちがいなく悪意のあるサイトが検索結果に表示されるであろうということです。
このデマ(「詐欺行為」と表現した方がより適切かもしれません。今回の問題は、大量に流通することはあるものの単に不愉快さを感じるだけで済むチェーンメールというより、一般的なマルウェアの拡散に近いものがあるからです)は現在、英語だけでなくデンマーク語とフィンランド語でも広まっていることが確認されています。
そしてこの騒動の最中、Facebookのセキュリティページに次のようなメッセージが掲載されました。 一部のユーザーが、「アプリケーション設定」ページに「Unnamed App」というアプリケーションが表示されるという投稿をしています。これはバグであり、すでに修正されています。ユーザーのアカウントへの影響はありません。この問題を修正できると主張しているサイトにはご注意ください。悪意のあるソフトウェアを配布している可能性があります。