2010年2月 世界のマルウェアランキング

この記事をシェア
2010年2月の月間マルウェアランキング結果発表
 

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2010年2月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち9.62%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。

 
2010年2月の結果グラフ
 
1. Win32/Conficker [全体の約9.62%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。


エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。

 
2. INF/Autorun [全体の約7.24%]
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsのブログ記事も参考にしてください。

 
3. Win32/PSW.OnLineGames [全体の約6.20%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
 
4. Win32/Agent [全体の約3.57%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。

ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。


エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
 
5. INF/Conficker [全体の約1.71%]
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
 
6. Win32/Pacex [全体の約1.15%]
前回の順位:6位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。

エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。

とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”:Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008、“The Game of the Name:Malware Naming, Shape Shifters and Sympathetic Magic” by David Harley)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。

 
7. Win32/Packed.Autoit [全体の約0.89%]
前回の順位:10位
これはスクリプト言語のAutoItで作成されたマルウェアであり、ヒューリスティック技術によって検出されます。スクリプトは、UPXコンプレッサーを使用することにより自己解凍形式の実行可能ファイルとしてコンパイルできます(UPXはオプションでありデフォルトではありませんが、多くのマルウェア作者が利用しています)。

エンドユーザーへの影響
言うまでもありませんが、AutoItはマルウェアの作成を目的とした言語ではありません。それにもかかわらずマルウェア作者の間で広く利用されているのは、使い勝手が良く、また単純なシグネチャ技術ではパッキングされた実行可能ファイルを誤検出なしで正しく検出することが困難であるためです(特にオンデマンドスキャナの場合)。実行可能ファイルがパッキングされていると、既知のマルウェアであっても実際に実行されるまでは検出できない場合があります。このツールは幅広いマルウェアで使用されているため、特定の対策だけで対応することはできません。そのため、「自ら要求したのではないリンクやファイルに注意する」、「アプリケーションにパッチを適用する」、「管理者アカウントを日常的に使用しない」、「安全でないファイルを実行させようとするソーシャルエンジニアリングの手法に注意する」、といったことが重要となります。
 
8. Win32/Qhost [全体の約0.85%]
前回の順位:7位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。

エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
 
9. Win32/Spy.Ursnif.A [全体の約0.63%]
前回の順位:19位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。

エンドユーザーへの影響
Windowsのレジストリ設定に精通しているユーザーであれば、Win32/Spy.Ursnif.Aがシステムに存在するかどうかはさまざまな方法で確認することができますが、新しいアカウントが作成されたことを確認する方法を知らない一般ユーザーがこのスパイウェアの存在に気づくことは難しいでしょう。いずれにしても、このマルウェアが使用する設定の細かい部分は、その進化の過程で変更されていくものと予想されます。この種のスパイウェアへの感染を防ぐためには、アンチウイルスソフトウェアをはじめとするセキュリティソフトウェア(パーソナルファイアウォールなど)を導入および実行し、常に最新の状態に維持するだけでなく、最新のパッチを確実に適用し、意図しないファイルのダウンロードやリダイレクト、添付ファイルに注意するというあたりまえの対策を実施することが最も重要となります。
 
10. WMA/TrojanDownloader.GetCodec [全体の約0.58%]
前回の順位:9位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。

WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。


エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
 
近況
 
カンファレンス情報(偽カンファレンスには注意)
 
北半球では春の気配が訪れる中(各地を襲った大寒波を考えると信じられないようなことです)、2010年最初のカンファレンスやワークショップ、展示会の開催が始まっています。

2月に開催されたMacWorldでは、ESETのMac OS X向け製品がベータ版ながら大きな注目を集めました(この製品の詳細については、こちらをご覧ください)。ここのところMacは、ESETの研究者にとって大きな関心事となっています。Pierre-Marc BureauとDavid HarleyはAndrew Leeとともに、5月に開催されるEICARカンファレンスでMacのセキュリティについての論文を発表します。Davidはさらに、4月のInfoSecurity UKで同じテーマについてのプレゼンテーションを行う予定です。また、Davidが以前から運営している独立系サイトMac Virusも突如として大きな注目を集め始めています(最近の同サイトでは、MacマルウェアだけでなくiPhoneなどのモバイルデバイスについての話題も同程度に取り上げられるようになっています)。

カンファレンスとは関係ありませんが、Randy AbramsもApple関連のセキュリティ問題にかかりきりとなっています。ブログ「The iPhone Survey Final Results」では、iPhoneのセキュリティに関する簡単なアンケート調査の結果が発表されています。この問題の全容に興味がある方は、ブログ「The iPhone Survey」ブログ「Are You As Smart As Your Phone?」ブログ「Patching an iPhone」もご覧ください。iPhone問題については、David Harleyもブログ記事を投稿しています(ブログ「iPhishing - gathering iPhone data」ブログ「iPhones, jailbreaking and blocked Apple IDs」)。

本稿執筆時点の数日後(2月25日~26日)には、米国カリフォルニア州サンタクララでAMTSO(Anti-Malware Testing Standards Organization)ワークショップが開かれます。このワークショップでは、テスターおよび製品ユーザー向けのリソースについての作業が行われる予定ですが、白熱した議論になることはまちがいないでしょう。ワークショップのアジェンダはこちらでご覧ください。その次のAMTSOワークショップは、5月にCARO 2010ワークショップミーティングと続けて開催される予定です。

3月初めには、RSAエキスポ/カンファレンスが開催されます。いくつかのイベントにESETのスタッフが多数参加する予定です。

ESETのリサーチチームのメンバーはカンファレンスでプレゼンテーションを行うことには慣れていますが、料金さえ支払えばどのような論文でも受け付けると思しき「カンファレンス」についてのスパムや詐欺的メールを目にしたときには驚いていました。この詐欺的メールについてはこちらでも取り上げられています。

ESET Webサイトのホワイトペーパーページには、ホワイトペーパーが2本追加されています。
そのうちの1本はDavid Harley著『Ten Ways to Dodge CyberBullets』です。
概要には次のようにあります。
 
年末から新年にかけては、ありとあらゆる種類のトップ10が発表されます。例えば、「セレブによる最もお馬鹿な発言トップ10」、「フレンチプードルのワースト10ドレッサー」、「最も恥ずかしい政治家の演説トップ10」などです。ESET LLCのリサーチチームは、2008年の終わりに「悪意のある行為から自分自身を守るためにユーザーができることトップ10」を発表しましたが、本書はその最新版となります。

もう1本はSebastian Bortnik著『Conficker by the numbers』です。
概要には次のようにあります。
 
本書は、ESETラテンアメリカがスペイン語で発表した文書(こちらを参照)をESET LLCが英語に翻訳したものです。
 
Google Buzz騒動
 

プライバシーに対するGoogleの姿勢について論じたブログ記事で、RandyはGoogleのCEOであるEric Schmidt氏を批判しました。Randyが矛先を向けたのは、Schmidt氏があるインタビューの中で「人に知られたくないことは、最初からするべきではないのでは」と述べたことです。Googleはその後、TwitterやFacebookに似たGoogle Buzzというサービスを開始しましたが、このことは、いかに同社がユーザーのプライバシーを軽んじているかを如実に示す結果となりました。Randyは、GmailをはじめとするGoogleの各種サービスを利用している多くのユーザーと同じように、Google Buzzが初期状態で有効になっていたこと、そしてプロファイルを作成していたすべてのユーザーのプロファイルが公開されたことを不快に感じています(ブログ「Is Gmail Spyware?」ブログ「Worth Reading」ブログ「Google the Buzz Bomber」)。

米国フロリダ州在住のEva Hibnick氏は、3,100万の米国人Gmailユーザーを代表して集団訴訟を起こし、Google Buzzの追加はプライバシー侵害であると訴えています(こちらを参照)。

このGoogleの失態がかき立てた不安感をさらに刺激したのが、「Please Rob Me(私に強盗を働いてください)」というオランダのWebサイトです。このサイトは、Foursquareに興じる人々がTwitterやFoursquareにポストした現在地データを収集して公開しています(ブログ「PleaseRobMe」ブログ「A Bit More on PleaseRobMe」)。 ソーシャルネットワークサイトを利用して押し込み先を探す強盗がいるなどという話は、都市伝説のように聞こえるかもしれません。しかし、保険会社はこれを信じているようであり、もしデイリー・テレグラフ紙の記事が正しければ、ソーシャルネットワークサイトのユーザーには少なくとも経済的な影響が及ぶことになりそうです。 そしてこのことは、ソーシャルネットワークサイトを利用していることを理由に保険金請求を拒否されることにつながっていくでしょう。「企業は顧客をそんな風に扱うほど冷酷ではない」と考える純真な方もいるかもしれませんが、チップ&PIN技術に関するケンブリッジ大学の研究(「EMV対応の盗難クレジットカードは、偽のPINまたはランダムなPINで利用できてしまう可能性がある」というもの)を、銀行やクレジットカード会社がまともに取り合おうとしないのはなぜでしょうか。この問題についてDavid Harleyは、ブログで「PINで認証された取引は、正当な取引か顧客に瑕疵があって成立した取引かのどちらかだ、と主張する銀行は、そのプロセスが妥当なものであることを証明できる必要があるだろう」と述べています(AVIENブログブログ「PIN Money」もご覧ください)。

 
マルウェアについて注意喚起する偽メール
 

ランキングでは相変わらずConfickerが幅を利かせていますが、Confickerに関する情報の中には真実でないものも存在します。その1つが、Confickerに関する注意喚起と称して流通している電子メールです。このメールには、「無償駆除ツール」であるとするファイルが添付されています。
 

Subject: Conflicker.B Infection Alert(Conflicker.Bへの感染についての注意喚起)
Date: Thu, 18 Feb 2010 20:15:30 +0900

Dear Microsoft Customer,(Microsoftのお客さま各位)

Starting 12/11/2009 the ?Conficker? worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected. (2009年12月11日より、Microsoft製品をご利用のお客さまの間でConflickerワームへの感染が急拡大しています。このたびMicrosoftでは、お客さまがご利用のインターネットサービスプロバイダから「お客さまのネットワークがConfickerに感染している」との連絡を受けました。)

To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
(これ以上の感染拡大を防止するため、アンチスパイウェアプログラムを使用してConfickerを駆除していただけますようお願いいたします。Microsoftでは、Confickerに感染しているすべてのWindowsユーザーさまに、感染ファイルを修復するための無償スキャンツールを提供しています。)

Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
(添付ファイルをインストールするとスキャンを行うことができます。この処理には1分ほどかかりますが、これにより感染ファイルを修復することができます。ご協力のほど、よろしくお願い申し上げます。)

Regards,(敬具)
Microsoft Windows Agent #2 (Hollis)
Microsoft Windows Computer Safety Division

言うまでもなく、この添付ファイルはトロイの木馬です(Microsoftが、パッチやシステムツールを一方的に添付ファイルで送ってくることはありません)。ESETのThreatSenseエンジンでは、この添付ファイルはWin32/Kryptik.CLUとして検出されます。 またこれは一部の地域だけで発生した問題ですが、Neweggで販売されたHabey製品に同梱されているシステムドライバCDに、マルウェアに感染した実行可能ファイルとHTMLファイルが含まれていたことが明らかになりました。これらのファイルに感染していたのは、Win32/Viking.CH、Win32/Xorer.NAJ、Win32/Xorer.AWなどです(ブログ「Infected Drivers CD?」ブログ「Infected CD: update」)。

 

 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!