2010年8月 世界のマルウェアランキング

この記事をシェア
2010年8月の月間マルウェアランキング結果発表
 
目次
 
 
特集記事: Facebookが持つもう1つの「顔」
Urban Schrott、ITセキュリティおよびサイバー犯罪担当アナリスト、ESETアイルランド
 

ソーシャルネットワーク、とりわけその最大手で5億人以上のユーザーを擁するFacebookは、多くのWebサイトやポータルサイト、オンラインフォーラムがこれまで絵空事として夢見ていた状況を、この数年で現実にしました。何千万、何億という数のユーザーが定期的に互いのサイトにアクセスし、友人や知人と交遊する場の1つとして(あるいは唯一の場として)サイトを利用するようになったのです。しかし、夢をかなえたのはソーシャルネットワークの創設者や広告主だけではありません。漁船のあとを追うカモメのように、さまざまな犯罪グループも活動の足がかりを得る格好の場としてソーシャルネットワークを利用しているのです。

急成長を遂げるサイバー犯罪は、分業化、標的の個別化、洗練化が進んでいます。オンライン詐欺師らも同じ手段にいつまでも安住していません。詐欺行為を成功させて利益を得るために、共同作業の手口を多様化させています。では、共同作業による詐欺行為と複数の犯罪活動の組み合わせは、ユーザーにどのような被害をもたらすのでしょうか。まず、スパムメールによってスパイウェアがPCにインストールされ、パスワードが盗まれます。次に、そのパスワードが不正使用されソーシャルネットワークのアカウントにアクセスされます。そして、ソーシャルエンジニアリングによる不正なリンクをソーシャルネットワーク上の友人がクリックすることになるのです。その結果、スパムやマルウェア、不正なURLの配信にPCが悪用されたり、クリック詐欺やアンケート詐欺にだまされたりといった、犯罪者の利益につながる損害を被る可能性が生じます。

以降では、これまでにESETが確認したFacebook関連の問題や不正行為を見ていきます。

 
本名や住所、誕生日を意図せず公開
 

最初にして最も単純な問題はFacebookの開始当初に発生したもので、同サービスのずさんなセキュリティ設定に起因しています(問題となっているセキュリティ設定はしばしば変更が加えられているにもかかわらず、今日に至っても依然として物議を醸しています)。ほぼだれでもランダムなユーザー検索が可能な状態で、ユーザーが個人情報を公開していた状況では、その収集も容易でした。住所を公開し、自宅を留守にする期間を明記しているようなごく一部のユーザーのケースでは、強盗などの直接的な犯罪被害が発生する可能性もありました。特に多かった被害としては、個人情報窃盗、パスワード破り(家族やペットの名前をパスワードに使っている場合、公開情報から推測できます)、検証可能な情報を用いてメールが本物であると思い込ませる標的型(スピア)フィッシングが挙げられます。このような詐欺行為の中で特に悪質なのは、おそらく「ロンドニング」と呼ばれるフィッシングでしょう。標的となるユーザーの友人を装い、「旅先で強盗に遭ったので、当座の金を工面してほしい」と依頼する詐欺がロンドニングです(こちらをご覧ください)。また「研究者」を名乗るRon Bowes氏は、Facebookユーザー1億人分のデータを収集して注目を集めました。すべて、公開している情報の種類に無頓着であったり、設定により個人情報が守られていると誤解しているユーザーです。Bowes氏はご丁寧にも、BitTorrentの検索・ダウンロードサイトであるPirate Bayに全データをアップロードし、接続環境さえ整っていればだれでもダウンロードできるようにしています。このため該当するFacebookユーザーは、今からセキュリティ設定を厳しくしても、自分の情報を犯罪グループから守ることは困難な状況となっています(こちらをご覧ください)。ESETのRandy Abramsは先ごろ、このFacebookデータをだれがダウンロードしているかについて興味深いブログ記事(「Who is Downloading the Facebook Data?」)を執筆していますので、ぜひご覧ください。意外な組織がこのデータを有用と見なしているようです。

 
フィッシング
 

「パスワードが正しくありません」「セキュリティパスワードを追加設定してください」などとユーザーに通知するフィッシングメールも、Facebook初期から存在する不正行為の1つです。この種のフィッシングでは、Facebookそっくりのサイトに現在のパスワードを入力するよう要求されます。セキュリティ業界が継続的に注意喚起を行っているにもかかわらず、この種のメールにだまされてパスワードを盗まれたユーザーは驚くほど多く、その状況は今でも変わっていません。Facebook関連のデマや詐欺は数多く存在しており、ESETのDavid Harleyが自身のブログ「Facebook hoaxes and scams」でその関連リンクをまとめていますので、ぜひご覧ください。

 
パスワードの使い回しによる二次被害
 

大多数のユーザーは複数のサービスで同じパスワードを使用している、という事実はすでによく知られています。フィッシングによってFacebookアカウントのパスワードを取得した詐欺グループは、Facebookアカウントに加えてそのユーザーが使用するほかのサービスに対しても同じパスワードで不正アクセスを試みます。また、本名や住所、母親の旧姓などをFacebookのプロフィールで公開している場合、このような情報もほかのサービスへのアクセスに利用されます。

 
Koobfaceワーム
 

「Koobface」とは、その名の由来であるFacebookをはじめ、Bebo、MySpace、Twitterなどの各種ソーシャルネットワークで広まる脅威ファミリーの名前です。この脅威は2008年に出現し、感染先アカウントからその友人に送信されるメッセージを通じてFacebook内で感染を広げました。Koobfaceは今年の春にも再登場しており、この新バージョンでは、「動画を再生するには専用のコーデックが必要です」という巧妙にクリックを誘うリンクを介して感染を広げます。Koobfaceについては、ESETのRandy Abramsがブログ「What is Koobface?」で、Aryeh Goretskyが「Another Look at Koobface: How It Infects Facebook Users」でそれぞれ解説しています。Koobfaceに関するすべてのブログ記事はこちらからご覧いただけます。また、Koobfaceの亜種に関する技術的な詳細については、「Win32/Koobface.NBH」「Win32/Koobface.NCF」をご覧ください。

 
スパム
 

Facebookの広告は、怪しげなWebサイトや明らかな不正サイトにユーザーを誘導するために何度か悪用されたことがあります。筆者の知るかぎりでは、その後何らかのチェックシステムが導入されたため、犯罪グループからすると手間と費用のかかる、最善とはいえない手段になっているはずですが、Facebookの広告は依然として攻撃経路に利用されています。

 
アプリケーション
 

アプリケーションも、Facebookの傷口を広げる原因となっています。Facebookのアプリケーションは、だれでも開発・追加が可能です。Facebookは、これらのアプリケーションによって生じた一切の損害について責任を負わない立場をとっていますが、それでも多くのユーザーがアプリケーションを利用しています。ほとんどのアプリケーションでは、利用条件として全てのプロフィール情報の提供が求められます。この行為が、いずれユーザーのプライバシーが完全に失われる事態を招来することは火を見るよりも明らかです。つまり、メールアドレスはスパム配信業者のリストに掲載され、個人情報はフィッシング詐欺グループの手に渡り、趣味や関心事に関する情報はソーシャルエンジニアリングを得意とする犯罪者の元に送られる恐れがあるのです。そしてその後、さらなる個人情報を洗いざらい入力させようとするフィッシングメールがユーザーの元に届くことになります。

 
ボットネット
 

最近では、Facebookでユーザーの予期しない動作や意図しない動作が行われるという報告が増加しています。例えば、友人を装って勝手に送られるアプリケーションの招待やリンクがこれに該当します。これらの招待状やリンクは、「いいね!」ボタンをクリックしたりアプリケーションを追加したりしなくても、メッセージを開くだけで感染し複製される場合があります。このことは、サイバー犯罪者がFacebookとその機能を操作する独自のソフトウェアを開発して、不正活動に利用している実態を示しています。この複雑な詐欺の詳細については、Randy Abramsがブログ「Is Facebook Making a Funny Face?」「Multi-level Cybercrime」で解説しています。

 
Facebookに対する信頼
 

ここで紹介している問題の多くの原因は、ユーザーがFacebookを信頼し、「自分達は安全であり、Facebook上のデータを閲覧できるのは自分自身と許可済みの人たちだけである」と考えがちな点から来ています。多くのユーザーは、送られてくるメッセージやリンク、アプリケーションはすべて本当の友人からと信じており、それらが偽物かもしれないと疑うことはほとんどないようです。Facebookの創設者であるMark Zuckerberg氏が古くからの友人と交わしたとされる以下のチャットの内容は、まさにこのようなユーザーの姿勢を示しています(Zuckerberg氏のこの発言は、Facebookの企業文化を象徴するものであり、一部のFacebookユーザーにとっては目を覚ますよい機会になったかもしれません)。

Zuck: ハーバード大学の学生についての情報がほしかったら、
Zuck: いつでもいってくれ。
Zuck: 4,000人ぶんの電子メール、画像、住所、SNS情報を持ってるぞ。
友人: どういうことだ? なぜそんな情報を持ってるんだ?
Zuck: 向こうから差し出してくるんだ。
Zuck: なぜかは知らない。
Zuck: 彼らは僕を「信用」しているんだ。
Zuck: 愚かな奴らだよ。
(出典:『The Register』の記事

確かにZuckerberg氏のとおり、われわれユーザーはFacebookを利用するほど「愚か」なのかもしれません。しかし、プライバシー設定を変更し続け、ユーザーをバカにするFacebookの姿勢も同じく「愚か」と言えるでしょう。IBMの研究者であるMatt McKeon氏は、Facebookのプライバシーポリシーの変化について述べた秀逸な論考(こちらをご覧ください)を公開しています。ここに含まれるグラフを見れば、Facebookにおける個人情報の公開度がどんどん高まってきている流れは一目瞭然です。

ESETブログでは、David Harley、Randy Abrams、Aryeh Goretsky、Charles Jeterといった専門家が執筆する、Facebook関連の詳細な記事をほかにも多数公開しています。ぜひこちらからご覧ください。

またESETアイルランドでは、そのFacebookにアカウントを開設し、Facebookを安全に利用するためのヒントを紹介していますので、こちらもご覧ください。

 
マルウェアに感染したスパンエア機
 

スペインの新聞「El Pais」紙が、2年前の墜落事故で154人が死亡したスパンエア機JK 5022便に搭載されていた記録用コンピューターは事故当時、マルウェアに感染していたとするレポートを公開しました。このシステムは、航空機で異常が3回記録された場合に警告を発するという機能を担っていましたが、同システムはトロイの木馬に感染しており、一部の異常が正しいタイミングで記録されていなかったと、レポートの中で調査官は示唆しています。

一部では、「トロイの木馬が航空機を墜落させた」との報道もなされていますが、マルウェア感染が事故の直接的な原因になったと断定する十分な証拠は見つかっていません。しかしこれは、航空機などのクリティカルなシステムもホームコンピューターと同じマルウェア問題を抱えており、重要性の高いコンピューターを運用している企業はこのようなリスクを看過できない、という事実を明確に示す教訓となりました。マルウェア感染がホームコンピューターや企業のクライアントマシン、サーバマシンに影響を及ぼしたという話はよく耳にしますが、クリティカルなシステムも同じように感染します。都市の電力システムや複雑な医療機器、ここで取り上げたような航空機のシステムもマルウェアに感染するのです。

スパンエア機の事故原因の真相が明らかになることはないと思いますが、マルウェアが原因で人命が失われるという事態は十分に起こりえますし、おそらくすでに現実の脅威になっていることでしょう。

この問題の詳細については、次のリンクをご覧ください。

 
Stuxnetによるゼロデイ攻撃の概要
 

スパンエア機の墜落事故にマルウェアが何らかの関与をしたとしても、それはあくまでも偶発的、もしくは付随的なダメージに過ぎませんでした。しかし、今年の7月~8月にかけて発生した、StuxnetというマルウェアによるWindowsシェルの脆弱性を突く攻撃は、明確に、あるクリティカルなシステムをターゲットとしていました(Windowsが.LNKショートカットファイルを適切に解析できないことに起因するこの脆弱性の詳細については、「マイクロソフトセキュリティアドバイザリ(2286198)」をご覧ください)。さらにその後、同じ脆弱性を悪用する複数のマルウェアファミリーが出現しています。以下では、主にESETの視点から、このインシデントがどのような経緯をたどったかを時系列で簡単にまとめてみたいと思います。個々の出来事には、問題の詳細を記したリンクも付記します。Stuxnetは、特定の制御ソフトウェアを使用したSCADAシステムを攻撃するマルウェアです。標的となるのは、Siemens WinCCとPCS7を使用するシステムですが、Siemensのすべての制御ソフトウェアが影響を受けるわけではなく、またすべてのSCADAシステムがこの製品を使用しているわけでもありません。該当の製品を使用するシステムであっても、アクセス制御システムやセキュリティソフトウェアを導入していたり、適切なパッチの適用を怠らなければ、このマルウェアへの感染を防止できる可能性があります。

7月17日: ゼロデイの脆弱性が明らかとなる。
http://blog.eset.com/2010/07/17/windows-shellshocked-or-why-win32stuxnet-sux

7月20日: 引き続き、Win32/Stuxnetが高い感染力で被害を広げる。
http://blog.eset.com/2010/07/19/yet-more-on-win32stuxnet
http://blog.eset.com/2010/07/21/win32stuxnet-more-news-and-resources

7月21日: Microsoftがアドバイザリを更新し、感染リスクを軽減する回避策を追加。

7月23日: 同じ脆弱性を悪用する新たなマルウェアファミリーが出現。
http://blog.eset.com/2010/07/22/new-malicious-lnks-here-we-go

7月27日: 同じ脆弱性を悪用するSalityの新種が出現。
http://blog.eset.com/2010/07/27/more-lnk-exploits-by-jove

7月30日: Microsoftが定例外パッチのリリースを予告。
http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx

8月2日: Microsoftが、サポート対象システムの脆弱性を修正するパッチMS10-046を公開。
http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx
このパッチの詳細については、こちらもご覧ください。

Microsoftがサポートを提供しているWindows XP SP3以降のシステムについては、パッチを適用することで.LNKの脆弱性を修正することができます。しかし、Windows XP SP2以前やWindows 2000を使用している場合は、オペレーティングシステムをアップグレードするか、問題を回避する別の手法を検討する必要があります(ESET製品は、特定のマルウェアだけでなく、この脆弱性を狙う攻撃自体も検出可能です)。ESETでは、個別のマルウェアについての調査を継続するほか、多くの関係機関や利害関係者と協力して、パッチを適用することのできないシステムでこの問題を回避する方法を模索しています。

 
Zeus
 

ボットネットを管理するためのクライムウェアパッケージをZeusと呼びます。ボットネットはゾンビ化されたコンピューターで構成されるネットワークを意味し、フィッシングやDDoS攻撃、スパム送信などのさまざまな攻撃を行うために使用されます。Zeusの機能は、銀行口座などの金融関連情報を盗み出すトロイの木馬の作成、管理に特化しています。

Zeusには多数のバージョンがあり、オンラインのブラックマーケットでは、プライベートバージョンが3,000~4,000ドルという値段で売られています。Zeusについては、ジャーナリストの方々からいくつか問い合わせを受けていますので、同パッケージのバージョンごとの進化をここで簡単にまとめておきます。

第1世代と第2世代(1.1.x と 1.2.x)は、現在ではもう使用されていません。2010年になってから最新版がリリースされた第3世代と第4世代(1.3.x と 1.4.x)には、ハードウェアIDに関連付けられたシリアルナンバーを生成する機能が追加されています。これは、自身が最初に実行されたハードウェア上でのみ動作できるようにするための機能で、Zeusの解析を困難にすることを目的としています。

またマーケットでは、非公式のバージョンも多数販売されています。非公式バージョンはプライベートバージョンよりも安価ですが、多くの場合バックドアが仕掛けられており、犯罪者が犯罪者をだますという構図になっています。

 
ESETが参加するカンファレンス
 

以下では、ESETのチームが近々プレゼンテーションを行う国際カンファレンスを紹介します。

  • サイバー犯罪フォレンジックの教育およびトレーニングに関する国際カンファレンスで、今年で4回目の開催となる「CFET 2010」(9月2日~3日、英国カンタベリークライストチャーチ大学)では、David Harleyが「Antivirus Testing and AMTO: has anything changed」、「SODDImy and the Trojan Defence」と題する論文を発表します。これらの論文は、カンファレンス終了後まもなく、ESET Webサイトのホワイトペーパーページで公開される予定です。
  • 第20回「Virus Bulletin International Conference」(9月29日~10月1日、カナダのバンクーバー)では、ESETのメンバーが次の講演を行います。
     
    • 「Large-scale experiments malware, how and why so what?」(Joan Calvet、Jean-Yves Marion、Pierre-Marc Bureau、Jose M. Fernandez)
    • 「AV Testing Exposed」(Peter Kosin、Juraj Malcha、Richard Marko、David Harley)
    • 「Call of the WildList: last orders for WildCore-based testing?」(David Harley、Andrew Lee)
  • 第13回「Association of Anti Virus Asia Researchers International Conference」(11月17日~19日、インドネシアのバリ)では、David Harley、Lysa Myers、Eddy Willemsが「Files and Product Evaluation: the Case for and against Malware Simulation」と題する講演を行います。
 
マルウェアランキングトップ10
 
ランキングを熱心にご覧いただいている方であれば、普段はあまり変動がなく容易に予測できる順位が今月度は変化していることにお気づきかもしれません。理由の一端は、ESETのウイルスラボがランキングの集計プロセスに変更を加え、集計時に自動作成されるシグネチャの命名方法が変更されたことにあります。この変更によりESETでは、報告された脅威をより正確に判別し、お客さまからの問い合わせにより効率的に対応できるようになります。また同時期に、ThreatSense.Netによるデータレポーティングと、きめ細かな統計解析の実装方法を最適化しています。今後は、統計情報のより容易かつ正確な把握が可能となりました。
 
1. INF/Autorun [全体の約7.76%]
前回の順位:2位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。

 
2. Win32/Conficker [全体の約4.89%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。それにもかかわらず、依然として600万台以上のマシンがConfickerに感染しているとConficker Working Groupは推定しています。

 

3. Win32/PSW.OnLineGames [全体の約3.82%]
前回の順位:4位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。


 

4. Win32/Tifaut [全体の約2.56%]
前回の順位:20位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。

autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。

 
5. INF/Conficker [全体の約1.61%]
前回の順位:7位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。

 
6. Win32/Agent [全体の約1.25%]
前回の順位:3位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。

ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。

この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。

 
7. JS/TrojanClicker.Agent.NAZ [全体の約1.20%]
前回の順位:18位
このマルウェアは自分自身を複製しないトロイの木馬で、通常はほかのマルウェアの一部として使用されます。

このマルウェアはURLのリストを保持しており、各URLは広告のクリック操作をシミュレートするリクエストの送信先として使用されます。これはクリック詐欺と呼ばれ、金銭的な利益を得ることを目的としています。

 
8. HTML/ScrInject.B [全体の約1.12%]
前回の順位:6位
HTML/ScrInject.Bというのは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。

不正なスクリプトやiframeは、マルウェアへの感染手段として最も多く用いられている手法の1つです。そのため可能な場合には、Webブラウザー、そしてPDFリーダーのスクリプト機能を初期設定で無効にするようにしてください。例えばFirefoxでは、NoScriptというオープンソースの拡張機能を使用することで、JavaScriptなど攻撃者に利用される可能性のある要素をサイトごとに有効/無効に設定することができます。

 
9. Win32/AutoRun.IRCBot.CX [全体の約0.87%]
前回の順位:29位
Win32/AutoRun.IRCBot.CXはリムーバブルメディア経由で感染を広げるワームで、 ボットネットの一部としてリモートからコントロールされます。このワームでは、rootkitで使用されているのと同様の技術が使用されています。

このワームは、IRCプロトコルを使用して、感染先のPCからインターネット上のホストへデータやコマンドを送信します。感染経路は、Autorun機能を悪用するほかのマルウェアとほぼ同じです。したがってこのワームへの感染を防ぐためには、むやみにファイルを開くことはせず、Autorun対策を実施することが重要となります。このワームに感染したPCはボットとして動作するようになりますが、 通常その活動はユーザーに気づかれないように行われます。

 
10. Win32/TrojanDownloader.Bredolab [全体の約0.75%]
前回の順位:N/A
このトロイの木馬は、コード内に埋め込まれた命令に従って密かに別のドメインへの接続を確立し、感染先のPCに別のマルウェアをダウンロードして実行します。自分自身を複製することはありません。Bredolabの各亜種は、さまざまなペイロードと二次感染の仕組みを持つ多種多様なマルウェアをダウンロードしようとします。
 
 
マルウェアランキングトップ10(グラフ)
 

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2010年8月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち7.76%を占めています。

 
2010年8月の結果グラフ
 
ESET社について
 
ESETは、セキュリティソフトウェアのグローバルプロバイダです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。
 
ESETが提供するその他の情報源
 
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
 
 
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!