数ヵ月ほど前から、ESETアイルランドの技術サポート担当者やオンラインフォーラムを通じて、「一般ユーザーの元に妙な電話がかかってきている」との報告が寄せられるようになりました。 妙な電話とは、「PCサポート」や「PCドクター」、「オンラインPCリペア」といったごくありふれた名前のオンラインコンピューター修理サービス会社を名乗り、電話に出たユーザーにコンピューターの「修理」を申し出るというものです。 この種の詐欺は、2008年から小規模に行われていることが確認されていましたが、今年になって報告件数が急増しています。 特に報告が多いのは、いうまでもなく英語圏の国々ですが(英国、米国、オーストラリアでは、一部のサイトや犯罪対策機関による注意喚起がすでに行われています)、英語以外の公用語の各国からも報告が寄せられています。
基本的な手口はこうです。電話の主は、自分の会社にはマイクロソフト認定システム エンジニア(MCSE)やシスコ認定エンジニアがいると話し、「遠隔操作で問題を解決してコンピューターを快適に使えるようにする。マルウェアが見つかればそれも駆除する」と申し出ます。 「顧客」がためらっている場合には、「あなたのコンピューターにはワームやウイルスが大量に感染している可能性がある」と脅し、イベントビューアの開き方を教えてエラーや警告が出ていないか確認するよう指示してきます。 イベントビューアはレポートツールであるため、ありとあらゆるエラーや警告が多数表示されますが、そのほとんどは深刻なものではありません。しかしコンピューターに詳しくないユーザーは、たくさんのエラーや警告を見ただけで電話の声に耳を傾ける気になってしまいます。そして、何か重大な問題が起きていると吹き込まれ、アンチウイルスソフトウェアが機能していないと思い込まされてしまうのです。
ここで相手の話に乗ると、(脆弱性攻撃のターゲットとして狙われることの多い)Internet Explorerで特定のWebサイトに誘導され、コンピューターを遠隔操作で「修理」するために必要なコンポーネントをダウンロードするよう要求されます(これによって何が行われるかは皆さんご存知の通りです)。 そして追い打ちをかけるように、修理代金の支払いのためとしてクレジットカード情報を教えるよう求められ、さらに高額な「延長保証サービス」への加入を勧められます。報告事例の場合、このサービスの料金は、1年間で99ユーロ、2年間で189ユーロ、3年間で289ユーロとなっていました。
英国では、似たような事例が数多く報告されています。 その1つに、Microsoftの関連会社であるという「Support One Care」の社員を名乗る人物が電話をかけてきて、「アンチウイルスソフトウェアが期限切れとなっており、コンピューターがウイルスに感染している。79ポンドを支払えば、新しいソフトウェアをインストールして1年間のサポートを提供する」などと言ってくるケースがありました。 ここまではほかの事例と大差ありませんが、特徴的な点が1つあります。それは、聞いたこともない「魔法のソリューション」を使う前述の例とは違い、「ESETの製品をインストールする」と具体的な製品名を挙げることです(なお「Support One Care」というのはインドに実在する企業ですが、我々がコンタクトしてみたら「そのような電話はかけていない」との答えが返ってきました)。
ESET米国、アイルランド、および英国の研究者が、独立系研究者であるSteve Burn氏や捜査当局などと協力して調査を進めたところ、類似の事例が多数明らかとなり、そのほぼすべてがインドのコルカタに拠点を置く複数企業に関係していることが判明しました。 当然のことながら、この詐欺師たちがインストールするESETのソフトウェアはクラックされた海賊版(違法コピー)であり、正常には動作しません。 このため、ESETのサポートセンターには多数の問い合わせが寄せられることになりました。 正規ベンダーの製品をインストールする(あるいはインストールすると主張する)この種の詐欺がどれほど広まっているか、正確なところはわかりませんが、ベンダー各社のクラック製品を配布しているサイトは多数存在することから、ESETが把握している事例は巨大氷山の一角に過ぎない可能性もあります。
以上の事例、および類似する多数の報告から見て取れるのは、コンピューターを利用した犯罪活動は個人をターゲットとすることが多くなり、洗練度も増している事実です。 さらに、コールセンターを設置してオペレーターを雇い、あらかじめ用意した世界中の電話番号に勧誘電話をかけさせる手間も、サイバー犯罪者にとって経済的に元の取れる労力で実入りもある程度得られている、という実態を明確に示しています。 本質的に極めてローテクであり、技術的なリソースや投資をほとんど必要としないソーシャルエンジニアリングは、このような詐欺を防止する上で大きな問題となります。 詐欺師らは、ターゲットの無知につけ込み、そのコンピューターにアクセスしたりクレジットカード情報をだまし取ったりします。つまり、このタイプの詐欺からユーザーを保護するために、セキュリティベンダーができることはほとんどないのが実情なのです。せめてソフトウェアを最新の状態に維持して、詐欺師のWebサイトへのアクセスを遮断したり、詐欺師がターゲットのコンピューターにインストールするマルウェアを検出するくらいしかありません。
しかしこれに対し、ESETのDavid Harleyは、「この詐欺の被害者は、最新の状態に保たれた正規のセキュリティソフトウェアを使用していないか、クラックされた別の製品を自らの手で導入してしまっているので、いずれにしても我々にできることは限られています」と述べています。
通常、このような詐欺電話は、実情を把握することすら容易ではありません。電話を受けた人物が何か不審なものを感じたとしても、通報すべき組織が決まっているわけではないからです。警察に通報したりアンチウイルスベンダーのサポートセンターに連絡する人もいるでしょうし、すぐに電話を切ってそのことを忘れてしまう場合もあるでしょう。
Harleyはさらに、次のようにも述べています。
「アンチウイルスベンダーである我々は、このような詐欺行為について注意喚起すべく最大限の努力を払っていますが、すでにここ数年間ですっかり定着してしまった偽のアンチウイルスソフトウェアと同程度にまで広がってしまっています。 この詐欺で悪用されるアンチウイルスソフトウェアが、完全な偽ソフトウェアとなるのもおそらく時間の問題でしょう。 このような脅威はユーザーに被害をもたらすだけでなく、正規のセキュリティソフトウェアやシステムメンテナンスツールの信頼性も傷付けます」
この問題を多くの人々に周知するため、ESETアイルランドでは、月刊誌のコラムで最新のサイバー犯罪について解説し、コンピューターユーザーに警戒を促したり、コンピューターに関連して不審な出来事があった場合は追跡調査を行うために情報提供をしてもらえるよう呼びかけています。 このような啓発活動は、一般ユーザーに常日頃から脅威の最新動向を知っておいてもらうのに役立つだけでなく、読者から貴重なフィードバックを得て、自社が提供するセキュリティソリューションの改善点の把握にもつながります。 サポート詐欺について我々が読者に伝えたいメッセージはシンプルです。 もし、日頃から使っている製品のベンダーと日常的なやりとりが無いならば、サポート担当者を名乗る電話は詐欺とみて間違いありません。 サポート詐欺のいいなりに行動してしまうと、まったく素性の知れない者にコンピューターへのアクセスを許し、ファイルをコピーされ、Webサイトの閲覧履歴は丸見え状態、保存しているパスワードやキャッシュカード、クレジットカードに関する情報も盗み出される羽目となります。さらに、クレジットカード番号を教えてしまった場合には、最初に代金をだまし取られるだけでは済まないあらゆる被害が待ち受けているのです。
奸智にたけたサイバー犯罪者は、すでに多種多様な手口でこのサポート詐欺を行っています。以下に、サポート詐欺をさまざまな観点から詳しく解説したWebページを紹介しますので、ぜひ参考にしてください(なお、このリストの作成にあたっては、David Harley、並びにSteve Burn氏の協力を得ています)。 また現在、David Harley、Urban Schrott、Jan Zeleznakの3人がサポート詐欺についてのホワイトペーパーを執筆中であり、こちらも完成次第、こちらにて公開の予定です。
- ブログ記事 「Fake AV Support Scams」
- コラム 「Fake AV, Fake Support」
- ブログ記事 「Marketing Misusing ESET's Name」
- ブログ記事 「ALERT: metsupport.com - yet another telephone based fraud (aka SupportOnClick revisited - again)」
- ブログ記事 「techonsupport.com, click4rescue.com, pcrescueworld.com: SupportOnClick revisited」
- ブログ記事 「SupportOnClick: Phoned by Malwarebytes? BigPond? Anyone else?」
- ブログ記事 「SupportOnClick Update」
- ブログ記事 「supportonclick.com scamming you by telephone!」
- ブログ記事 「Fake tech support call scam - prefetch virus logmein123.com」
- フォーラムへの投稿 「New scam - They call you by phone!」
- 英国スタフォードシャー州の注意喚起 「Telephone computer support warning」(PDF)
- ニュース記事 「Cold call scam warns of virus infection」
- ニュース記事 「Scareware scammers adopt cold call tactics」
7月に入り、パッチ未公開の新たな脆弱性を突く新ワームが感染を広げ始めました。 このワームが悪用するのは、「マイクロソフトセキュリティアドバイザリ(2286198)」で解説されているWindows Shellの脆弱性です。 簡単に説明すると、Windowsオペレーティングシステムはショートカットファイル(.LNK)を適切に解釈できず、不正な細工が施されたショートカットアイコンを表示しただけで悪意のあるコードが実行される恐れがあります。このとき、ユーザーがアイコンをクリックする必要はなく、またAutorun機能を無効にしていても脆弱性の悪用を防ぐことはできません。
この脆弱性を悪用するのは、ESET NOD32では「Win32/Stuxnet」(汎用シグネチャでは「LNK/Autostart.A」、「LNK/Exploit.CVE-2010-2568」)として検出されるマルウェアです。 Win32/Stuxnetはrootkitの機能を備えたワームで、USBデバイス経由で拡散します。感染件数はすでに相当数に上っていることが確認されており、特に米国(ワームが出現してからの累計で57.71%)とイラン(30.00%)で感染が拡大しています。 回避策としては、ユーザーの権限を制限する(これは、本脆弱性への対策にかぎらず常に推奨されます)、ネットワーク共有やWebDAV、ショートカットの表示を無効にするなどの対策がありますが、残念ながら後者の方法は、一部のWindowsユーザーにとっては影響が大きすぎて実施は難しいかもしれません。 Microsoftは現在、パッチの開発を進めているところですが、先頃サポート期間が終了したWindows XP SP2とWindows 2000については、パッチは提供されない可能性が高いと思われます(訳注:対応するパッチはすでにMicrosoftより公開されています。こちらをご覧ください)。
見過ごせないもう1つの点は、Stuxnetは元々、国家レベルの重要インフラの管理に使用されるSCADAシステム(具体的にはSIEMENSの制御システム)を攻撃するために作成されたと考えられることです。攻撃の際には、開発元によってシステム内にハードコードされた既知のデフォルトパスワードが使用されます。
またESETは、Microsoftのアドバイザリが公開された数日後に、同じ脆弱性を別の方法で悪用する2つの新しいマルウェアファミリー「Win32/TrojanDownloader.Chymine.A」、「Win32/Autorun.VB.RP」を確認しました。 さらにその後、いわゆるZeusボットネットや「Win32/Sality」など、以前から存在するマルウェアについても、同様の攻撃手法を取り込んだ亜種が出現しているとの報告が寄せられています。
このパッチ未公開の脆弱性とその攻撃手法の特徴としては、同じ脆弱性を利用する複数のマルウェアファミリーの登場や、ある大手企業の世界中の顧客がワームの影響を受けていること、また感染率が非常に高くデジタル署名が悪用されていることが挙げられます。以上を踏まえると、Win32/Stuxnetは、7月に出現した脅威の中では最も危険性の高い存在であり、また今年全体で見ても特に注意が必要な脅威の1つといえるでしょう。
Win32/Stuxnetと.LNKの脆弱性の詳細については、以下のESETブログの記事をご覧ください。
今年の後半にかけて、ESETのメンバーは、さまざまな国際カンファレンスでプレゼンテーションを行う予定となっています。
すでに終了していますが、7月にはカナダのモントリオールで開催されたRECON 2010において、Pierre-Marc BureauとJoan CalvetがSwizzorについてのプレゼンテーションを行いました。Swizzorは、少なくとも2002年から拡散している古参のマルウェアファミリーです。 この脅威の詳細については、ESETのブログ「Swizzor for Dummies」をご覧ください。
9月には、次のように多数のプレゼンテーションが予定されています。
サイバー犯罪フォレンジックの教育およびトレーニングに関する国際カンファレンスで、今年で4回目の開催となる「CFET 2010」(9月2日~3日、英国カンタベリークライストチャーチ大学)では、David Harleyが「Antivirus Testing and AMTO: has anything changed?」、「SODDImy and the Trojan Defence」と題する講演を行います。
第20回「Virus Bulletin International Conference」(9月29日~10月1日、カナダのバンクーバー)では、ESETのメンバーが次の講演を行います。
- 「Large-scale experiments malware, how and why so what?」(Joan Calvet、Jean-Yves Marion、Pierre-Marc Bureau、Jose M. Fernandez)
- 「AV Testing Exposed」(Peter Kosin、Juraj Malcho、Richard Marko、David Harley)
- 「Call of the WildList: last orders for WildCore-based testing?」(David Harley、Andrew Lee)
第13回「Association of Anti Virus Asia Researchers International Conference」(11月17日~19日、インドネシアのバリ)では、David Harley、Lysa Myers、Eddy Willemsが「Files and Product Evaluation: the Case for and against Malware Simulation」と題する講演を行います。
この7月、ESETは新たに2本のホワイトペーパーを公開しました。これらのホワイトペーパーは、ESETのWebサイトからダウンロードできます。
『Twenty years before the mouse』:アンチウイルス業界の黎明期からこの世界に携わるESET LLCの上級研究者、Aryeh Goretskyによるホワイトペーパーです。 自身の過去を回想するという形で書かれたこのホワイトペーパーでは、当時のコンピューターウイルスと現在の脅威を比較するとともに、初期のアンチウイルス業界についても簡単に触れています。
『TDL3: The Rootkit of All Evil?』:Aleksandr MatrosovとEugene Rodionov(ESETのロシア国内におけるパートナー企業の研究者)の共著で、サイバー犯罪グループについての報告書であるこのホワイトペーパーでは、「TDL3」と呼ばれるrootkitの仕組みおよび流通状況と、「Dogma Millions」という犯罪グループの関与について詳細に考察しています。
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。それにもかかわらず、依然として600万台以上のマシンがConfickerに感染しているとConficker Working Groupは推定しています。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。
エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
4. Win32/PSW.OnLineGames [全体の約3.19%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:7位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
エンドユーザーへの影響
これは、自身が実行されたあと、感染の可能性を最大限に高め、できるかぎり長く潜伏できるようにするために幅広い手法を用いる典型的なマルウェアです。具体的には、ファイル感染、Autorunを利用した感染、ポリモーフィック技術、既知のセキュリティソフトウェアの停止、ドライブの列挙といった手法を使用します。セキュリティ関連のプロセスを無効にしようとするマルウェアは数多く存在するため、セキュリティソフトウェアが正常に動作しているかどうか定期的にチェックするようにしてください。Salityが登場から数年間も拡散し続けているという事実は、セキュリティ関連のプロセスを無効にするという戦略が非常にうまく機能していることを示しています。
前回の順位:10位
HTML/ScrInject.Bというのは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
エンドユーザーへの影響
不正なスクリプトやiframeは、マルウェアへの感染手段として最も多く用いられている手法の1つです。そのため可能な場合には、Webブラウザー、そしてPDFリーダーのスクリプト機能を初期設定で無効にするようにしてください。例えばFirefoxでは、NoScriptというオープンソースの拡張機能を使用することで、JavaScriptなど攻撃者に利用される可能性のある要素をサイトごとに有効/無効に設定することができます。
前回の順位:6位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:N/A
Win32/Dursg.Aはロシアが発祥と思われるトロイの木馬で、検索エンジンでの検索結果を、アドウェアがホストされたWebサイトにリダイレクトします。 使用される不正ファイルは、UPXランタイムコンプレッサーを使用して難読化されています。 このマルウェアは、Internet ExplorerやGoogle Chrome、Mozilla Firefox、Operaなどの一般的なWebブラウザーに設定されている主要なサービス(Google、Yahoo、MSN、Bing、YouTubeなど)に関する情報を改ざんします。これにより、検索頻度の高いキーワードで検索を行ったユーザーを、アドウェアがホストされたWebサイトにリダイレクトします。
エンドユーザーへの影響
検索がリダイレクトされるという現象が起きる場合、かなりの確率で何らかのマルウェアが関与していると考えられますが、検索を不正なサイトや好ましくないサイトにリダイレクトする手法はほかにも数多く存在します。 また、この脅威の感染経路は多岐にわたっており、例えば、ユーザーがダウンロードしたくなるようなファイル名を付けてファイル共有(P2P)ネットワークに流通させるなどの方法が用いられています。
詳細については、こちらをご覧ください。
前回の順位:9位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
エンドユーザーへの影響
Windowsのレジストリ設定に精通しているユーザーであれば、Win32/Spy.Ursnif.Aがシステムに存在するかどうかはさまざまな方法で確認することができますが、新しいアカウントが作成されたことを確認する方法を知らない一般ユーザーがこのスパイウェアの存在に気づくことは難しいでしょう。いずれにしても、このマルウェアが使用する設定の細かい部分は、その進化の過程で変更されていくものと予想されます。この種のスパイウェアへの感染を防ぐためには、アンチウイルスソフトウェアをはじめとするセキュリティソフトウェア(パーソナルファイアウォールなど)を導入および実行し、常に最新の状態に維持するだけでなく、最新のパッチを確実に適用し、意図しないファイルのダウンロードやリダイレクト、添付ファイルに注意するというあたりまえの対策を実施することが最も重要となります。
前回の順位:35位
Win32/Oficla.GNは、インターネットから別のマルウェアをダウンロードしようとするトロイの木馬ファミリーの亜種です。インストールされたトロイの木馬はリモートからコントロールされ、インターネットから不正プログラムをダウンロードして実行します。
エンドユーザーへの影響
この種のマルウェアファミリーへの感染を防ぐには、セキュリティソフトウェアを最新の状態に保つという基本的な対策のほか、ユーザーの権限を制限してプログラムのインストールや実行を行えないようにするという方法も有効となります。 ビジネスユーザーだけでなく、ホームユーザーの方も、普段は制限付きのアカウントを使用し、本当に必要なときにだけ管理者権限を使うようにすることをお勧めします。