クリスマスはサイバー犯罪者にとっても待望のイベントといわれています。なぜなら毎年この時期は一年で最もオンラインショッピングが賑わうため、荒稼ぎできる絶好の「カモ」がそこかしこに溢れかえっているからです。彼らからしてみると、一年を通して犯罪活動に精を出してきた自らへのクリスマスプレゼントのつもりなのでしょうが、 サンタクロースから盗みを働くとはなんとも卑劣な行為です。
クリスマスシーズンにはさまざまなサイバー犯罪が発生しますが、そのほとんどが、犯罪者が(事前に個人情報を入手していない)オンライン購入者から金銭をだまし取るケースと、購入者に支払いを仕向けるケースのいずれかに分類できます。1つ目は主に、PayPalやAmazonのパスワードなどオンラインで買い物する際の認証情報や、クレジットカード情報を盗み出すというもので、 具体的には、感染したコンピュータにインストールされたスパイウェアを介して情報を盗み出す、あるいは正規のサイトを装った偽のサイトにユーザーを誘導してログイン情報を入力するよう仕向けるといった手口が主流です。一見ショッピングサイト風に作成されていても、商品は届かず請求書だけ送られてきたり、価値のない物品が届けられたりするよう設定されています。この種の詐欺としてはブラックハット検索エンジン最適化(BHSEO)も広く普及しています。ショッピング関連のキーワードで検索したユーザーを悪質なサイトにリダイレクトし、偽のアンチウイルスソフトウェアを配布してマルウェアに感染させようとします。最近では英国王室の吉報や朝鮮半島情勢に便乗した悪質なSEOも見受けられますが、クリスマスショッピングをターゲットとする詐欺は年々巧妙化しています。サイバー犯罪者は個人データを入手すると、本物、偽物問わず商品の購入に利用して一儲けを企てます。今春アイルランドの消費者を対象に実施された調査によると、消費者の76%がネット詐欺の標的となっていることが明らかになっており、被害は特にクリスマスシーズンに集中すると予測されています。
さらには、慈善事業を装った手口を用いる不謹慎極まりないサイバー犯罪者も存在します。彼らは慈愛に満ちたクリスマスの心情を手玉に取り、積極的に募金活動に協力しようとする人々をオンラインの偽の慈善事業に呼び込むのです。また、災害が発生すると詐欺被害も顕在化することが明らかになっており、例えばハイチ地震やアジアを襲った津波、中国の炭鉱事故の際には支援活動と称した詐欺事件が多数報告されています。グローバルな経済危機もサイバー犯罪者にとっては絶好のネタとなり、貧しい国、地域の人々を助けるふりをして、資金援助を呼びかけるという悪質な詐欺行為も大量に発生しています。慈善活動を止め立てするつもりはありませんが、参加する際は知名度もあり信頼できる団体を選ぶ、支援する相手を入念に検討するなど十分に注意してください。米連邦取引委員会で公開しているような慈善活動をする際のチェックリストも参考になります。
詐欺被害に遭わないために次のような点にも留意してください。
- オンラインでギフト検索をする場合は、リンク先のサイトを確認する。サイトへのアクセス方法はURLの入力が常に安全であり、表示されているリンクをクリックすると明らかに不審なサイトに誘導される可能性がある。
- 人気商品、ブランド名、コンピュータゲーム、セール、売買などをキーワードとして検索すると、悪用された検索エンジンを介して偽のサイトに誘導される可能性がある。
- 安全な「https」接続のショッピングサイトを選ぶ。
- 思い当たる節のない出費が発生していないかPayPalやクレジットカードの残高を定期的に確認する。疑わしい引き落としがあったらすぐにカードの支払いを停止する。
- 注文していない商品の発送情報や請求書がメールで送られて来た場合は慎重に対処する。感染ファイルや悪質なサイトへのリンクを含んでいる場合がある。
- ログイン情報の入力を求められるサイトではそれぞれ異なるパスワードを設定する。これにより、仮にパスワードを1つ盗み取られたとしても被害が別のサイトに及ばずに済む。
- 常識を忘れずに落ち着いて、サイバー犯罪の最新の動向とその対策法を把握しておくことが何よりも大切です。
Andrew Leeは、Virus Bulletinのセミナーでユーザー教育をテーマにユーモアと有益な情報をたっぷり盛り込んだ講演を行いました。中でも、自ら実施したある実験では興味深くも不安を駆りたてる結果が示されました。
セキュリティ研究者のほとんどは、発表当初からFacebookに不信感を抱いています。もっとも、正確にはソーシャルメディアはどれも疑わしい、ということなのかもしれません。Facebookの場合、創設者のたび重なる失言や不親切なシステム、管理体制も手伝って特に信用度が低いのですが、とりわけ評価を下げる要因となったのがビジネス情報の共有と流出防止をバランスよく両立できていると考えるFacebook側の認識です。それでは本当にFacebookは適切に対応できているのでしょうか。おそらくだれしもノーと答えるでしょう。それでもなお一部の研究者はFacebookのアカウントを所有しています。なぜ利用しているのかと聞いてみたら、Facebookが今抱えている問題の研究、セキュリティや製品情報の通知、他の研究者との予備の連絡手段など、理由をいくつも挙げる人もいるでしょう。まさかと思うかもしれませんが、一般ユーザーさながらに友人や家族とのやり取りに使う人さえいます。もちろん彼らは立場上、だれよりもセキュリティやプライバシーに注意を払っているだろう、とお考えかもしれません。確かにほとんどはその通りですが、 どんな場合にも例外はあるようです。
Andrewが実験に使用したのが、その穴だらけのFacebookの登録システムでした(その問題については今さら触れませんが、いずれにせよ早急に改善されると予測しています)。彼はある人物の名前でアカウントを内緒で作成し(アンチウイルス業界では著名人)、 そのアカウントから大勢に友達リクエストを送信しました。そして講演途中に、偽のリクエストを受け入れて登録したセキュリティ専門家の数を実際の画面で示しました。すると、講演の聴衆の中にもまんまと乗せられた人がいることが判明したのです。
Andrewは講演の序盤に、ソーシャルエンジニアリングで付け込まれる人間の「心の弱さ」について取り上げ、「不安」、「信用」、「強欲」について説明しました。この実験は確かに、ユーザーが軽はずみに相手を信用してしまうことを示すよい例でしょう。そして承認するユーザーが増えれば増えるほど、共通の友人を確認できるようになり、リクエストを受けたユーザーの警戒心もますます薄れていく可能性があります。彼はまた、「好奇心」も簡単に相手を受け入れてしまう一因であると指摘しています。好奇心については、David Harleyが執筆したEICARで発表されたソーシャルエンジニアリングに関する論文において人間が抱える「7つの悪徳(Seven Deadly Vices)」の1つとして取り上げられています。まさか、なりすましをしているとは予想もしていないわけですから、「ついに彼もFacebookを始めたのか」と好奇心を抱いてその著名人とやり取りを交わしてみようと考えても不思議ではありません。
もちろんこれはあくまでも実験ですので、招待者達に被害はありません。また、結果がどうであれ、セキュリティやプライバシーの専門家の間では今後、Facebookをはじめとするセミオープン型ネットワークでのデータ掲載、共有については一層警戒を強めていくとみて間違いないでしょう。システム上の欠陥にしても、既に述べたとおり、いずれ改善されることが見込まれます。しかし、犯罪者達はあの手この手を使ってソーシャルネットワーキング上で個人のなりすましを画策します。それでは被害を最小限に食い止めるにはどのような対応策が有効なのでしょうか。
今回の場合では、信頼できる「別チャネル」から招待状が本物であるか確認するのが適切です。例えば、一般公開されているアドレス宛てにメールやインスタントメッセージを送信したり、あるいは(恐れ多くも)電話を掛けてみたりするのも効果的といえます。それでもメールアドレスや電話番号も悪用される可能性があることに注意してください。あらゆる通信手段が犯罪者の手に落ちるなんてことはさすがにないだろうと思うかもしれません。でももし、そのまま自分が攻撃のターゲットにされていたとしたら、他のだれかへの攻撃の道具として利用されていたとしたらどうでしょうか。政府組織やSCADAシステムを標的とする犯罪者チームはたいてい、牙城を崩すには十分な知識と技術力を持ち合わせています(Stuxnetがその例です)。
第13回AVAR(Association of anti Virus Asia Researchers)カンファレンスが11月17日から19日にかけて、インドネシアのバリで開催されました。AVARの年次カンファレンスは、Virus Bulletin、EICARと並んでアンチマルウェア研究者にとって年に一度の一大イベントです。ESETはスポンサーとして協力したほか、テクニカルエデュケーション担当ディレクターのRandy AbramsとシニアリサーチフェローのDavid Harleyが講演を行い、シニアセキュリティエバンジェリストのJeff Debrosseがパネルディスカッション「Rogue, Anything Rogue?!?」のパネリストを務めるなど、演壇でもその存在感を発揮しました。DavidがEddy Willems、Lysa Myersと共同執筆した「Test Files and Product Evaluation: The Case for and against Malware Simulation」は、ホワイトペーパーページで近日公開予定です。また、Randyの講演「Which Part of the Prickly Pear is the Endpoint?」はBitpipeからポッドキャストが視聴可能です。
詳細については、Jakarta Post、Chip、PC Plusの各サイトをご覧ください。
しかし世界中のセキュリティ専門家が一堂に会してから数日で、開催地のインドネシアでセキュリティ問題が発覚したのは残念なことでした。11月26日付けのJakarta Globeで、ユドヨノ政権の災害管理および社会問題顧問Andy Arief氏のTwitterアカウントがハッキングの被害にあったとの報道がありました。ハッカーは「明日ジャカルタに津波が押し寄せる」と警告するツイートを政治への関心が高い多数のフォロワーに広めたのです。
2004年大津波で最大規模の被害を受けたことを考えればインドネシア国民の津波に対する意識が高いのも頷けますが、自ら組んだ特集記事の中でUrbanも触れているように、デマメールや救済活動を装った詐欺事件が当時大量に発生しました。デマメールの実態についてはDavidとRandyがVirus Bulletin 2009で発表した「Whatever happened to the Unlikely Lads?」でも詳述されており、 ホワイトペーパーページ からご覧いただけます。
Virus Bulletinカンファレンスといえば、アンチマルウェア研究者であれば絶対に欠席しない重大イベントですが、ESETは光栄にもVirus Bulletinセミナーにもスポンサーとして協力できました。ロンドンで開催されたこの一日限りのイベントは、小規模ながらカンファレンスに引けを取らないほどの素晴らしい講演者達が会場を盛り上げました(実際、講演者のうち数名は、Alex Shipp、Martin Overton、Graham Cluley、Andrew Leeなどカンファレンスでもおなじみの顔ぶれでした)。ESETからはJuraj Malchoが壇上に立ち、ESETによるStuxnetの分析結果をまとめたホワイトペーパー『Stuxnet Under the Microscope』(http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf )』に基づいて講演を行いました。概要を含むセミナーの詳細は、 http://www.virusbtn.com/seminar/index よりご覧いただけます。いくつかの講演の内容についてはVirus Bulletinのウェブサイトに今後掲載される予定です。
セミナーの途中には、Sky Newsから、Stuxnetのコードが闇市場で売買されており、今後世界中のインフラが次々に壊滅に追いやられていくという驚きのニュースが飛び込んできました。しかし、Paul Ducklin、David Harley、Roger Thompsonらセキュリティ業界の重鎮達は、この報道を別の視点からとらえています。詳しくはDavidのブログ「Stuxnet Code: Chicken Licken or Chicken Run?」をご覧ください。
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
3. Win32/PSW.OnLineGames [全体の約2.54%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:4位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
前回の順位:6位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。
autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:29位
JS/Exploit.CVE-2010-0806.Aは、CVE-2010-0806の脆弱性を悪用するための細工が施されたJavaScriptファイルの検出名です。このトロイの木馬は通常、ほかのマルウェアの一部として使用されます。この脆弱性を悪用し、リモートから脆弱性のあるシステム上で任意のコードを実行する可能性があります。
前回の順位:8位
Win32/Bflient.Kはリムーバブルメディア経由で感染を広げるワームです。バックドアの機能を備えており、 リモートからコントロールすることが可能です。このワームは、感染メディアがPCに挿入されるたびに自身が実行されるよう設定を変更します。
前回の順位:10位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
前回の順位:7位
HTML/ScrInject.Bというのは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
不正なスクリプトやiframeは、マルウェアへの感染手段として最も多く用いられている手法の1つです。そのため可能な場合には、Webブラウザー、そしてPDFリーダーのスクリプト機能を初期設定で無効にするようにしてください。例えばFirefoxでは、NoScriptというオープンソースの拡張機能を使用することで、JavaScriptなど攻撃者に利用される可能性のある要素をサイトごとに有効/無効に設定することができます。
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2010年11月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.75%を占めています。
