2011年1月 世界のマルウェアランキング

この記事をシェア
2011年1月の月間マルウェアランキング結果発表
 
目次
 
 
特集記事: 薄れゆくサイバー犯罪への危機感
Urban Schrott、ITセキュリティおよびサイバー犯罪担当アナリスト、ESETアイルランド
 

ここ数ヵ月、Stuxnetワームが世間の注目を一心に集めています。「一体何があったの?」、「だれが作成したんだ?」、「その目的は?」、「アメリカとイスラエルの共謀じゃないのか?」、「黒幕は中国じゃないか?」、「いやいや、どこぞの国際犯罪組織のしわざだろう」、「そういえば、イランの核施設のトラブルはStuxnetが原因だったのか?」、「イスラム原理主義との関係は?」、「ついにサイバー戦争時代の到来だ」、「サイバーテロ国家はどこだ?」など、あらゆる疑問や憶測が飛び交っています。あるいは、「これでこの世もおしまいだ」と嘆いている方もいるかもしれません。なにせ私たちは崖っぷちに追い詰められているような世界が日常ですから。

さて、ESETの研究者であるDavid Harleyは、一部始終を詳しく把握したいと希望する熱心な読者諸氏のために、ESETによる包括的な分析レポート「Stuxnet Under The Microscope」の付属資料として、Stuxnet関連のあらゆる情報ソースをESETのブログで紹介しています。

こちらに目を通してもらえれば、私たちが事態をいかに深刻に受け止め、入念な調査を重ねているか理解していただけると思います。

一方で、Stuxnetの台頭は決して楽観視できない状況も生み出しています。実は、Stuxnetはその話題性にばかり目を向けられ、本来注目すべき本質的な部分は注目されていません。流行に飛びつく風潮が今に始まったことではないとはいえ、この関心の低さこそStuxnetの問題で最大の懸念事項であるのは間違いないでしょう。

Stuxnetは今や、ITセキュリティ上の妥当な分析対象という地位から、一般社会における「詳しくは知らないがよく耳にする言葉」にまで上り詰めました。大衆の興味を駆り立てるミステリー要素を十分に備えているため、メディアで大きく取り上げられたり、陰謀説を巡って白熱した議論が繰り広げられたりしていますが、その反面、サイバー犯罪の実態や本当の目的、攻撃方法についてはないがしろにされる傾向にあります。

結果として、一般ユーザーの間で「サイバー犯罪やハッキング事件は難解なミステリー」という方程式がまたしても成立するようになります。さらに「自分は絶対に大丈夫だ」という慢心が、セキュリティを軽視する姿勢に一層の拍車をかけています。どうやら、狙われるのは政府や銀行、企業などの大物と決めてかかっており、富も名声もない一介のユーザーに過ぎない自分には目もくれないだろうと考えているようです。

では、みなさんの目を覚ます事実をお伝えしていきましょう。ある記事ではサイバー犯罪の経済モデルについて解説されており、別の記事ではサイバー犯罪で被る損失額が算出されています。またこちらの記事には、「サイバー犯罪はもはや麻薬密売よりも金になる」と書かれています。いずれにせよ、真っ先に狙われているのは間違いなくユーザーの財布だとする点は共通しています。さらに、政府や金融機関に対し損失額の正確な金額の公表を要求する動きもあります。

同様にESETでも長文のレポートを公開しているのですが、その読者のほとんどは業界内外の研究者や、Stuxnetのコードについて技術的に理解できる高い知識を備えたごくわずかなジャーナリストたちに限られている有様です。はたして、エンドユーザーは自分には影響がないと考えていてよいのでしょうか。もちろんそんなことはありません。不正なコードによる影響は最終的にエンドユーザーを直撃します。どんなに興味深くても所詮は推測に過ぎないとStuxnetの問題を深刻に受け止めず、魔の手が何らかの形で自分にも忍び寄ってくることへの警戒を怠ると、次の被害者になってもおかしくありません。

確かにStuxnetの例のように、政府や企業レベルのユーザーが標的にされることもありますが、最大の被害者は別にいます。では、サイバー犯罪者にとって簡単にお金を巻き上げられる一番の「お得意様」はだれでしょう。実はその大半は一般家庭や中小企業です。サイバー犯罪者による不正活動への認識が甘い傾向にあるため、狙われやすいのです。

国際政治における陰謀、またはスマートフォンからのクレジットカード情報の盗難、日々の生活ではどちらが強く影響するか考えてみてください。ESETのアウェアネスコーディネータのSebastian Bortnikは最近のブログで、「ユーザーの代名詞とも言えるサイバー犯罪に対する無知は、自らみすみす火種を撒くようなものだ。(中略)十分に知識を備えていれば、トラブルを回避できる可能性は高くなる」と書いています。Stuxnetワームに潜む陰謀説を予感させるトピックばかりが脚光を浴び、重要な情報のほとんどが日の目を見ずに埋もれたままになっているのです。

 
Twitterユーザーを狙う新たなワームが登場
 

Richard Adhikariは今月、Tech News WorldにTwitterのユーザーを狙ったワームに関する記事を書いています(ESETのDavid Harleyの発言も引用されています)。Google独自の「goo.gl」ドメイン名によるURL短縮サービスを利用して、ユーザーをスケアウェア(偽のセキュリティソフトウェア)のサイトにリダイレクトするというものです。詳しくは、こちら(Scareware Scam Has Tweeters Atwitter)をご覧ください。この場合、短縮したURLは、一連のリダイレクトを介してスケアウェアのサイトにつながっています。サイト名は、メッセージがTwitterの文字制限に収まるようにするためではなく、リダイレクト先のウクライナのWebサイトで難読化手法が用いられるために短くされます。また、ユーザーが正しいリンク先であるかどうか確認しようとプレビュー機能を使用したときに、疑わしいURLとすぐにバレないようにリダイレクトは複数回行われます。surl.co.ukではユーザーが実際にURLをクリックしない限り正しいか判別できませんが、TinyURLのような一部のURL短縮サービスでは、リンク先に問題がないか確認できるプレビュー機能を提供しています。Joshua Longが執筆した、TinyURL、bit.ly、is.gdなどのURL短縮サービスが提供するプレビュー機能に関する記事では、各プレビュー機能や同様の機能を備えるFirefoxアドオンについての情報がふんだんに盛り込まれています。

短縮URLは、しばしば危険信号になります。厄介な点は、有害、無害問わず短縮URL自体が大量に使用されていること、そして複数回のリダイレクトがプレビュー機能の妨げになっていることです。

信頼できる送信元からでもURL(特にgoo.glで短縮されたリンク)しか表示されていない場合は、いかなるツイートであれ無視する方が賢明です。説明するテキストもないURLのみの表示は、電子メールやFacebookなどでは、たいてい罠と決まっています。いずれはFacebookなどのソーシャルネットワークサイトで広く蔓延しているソーシャルエンジニアリングの手法を活用した詐欺も普及するかもしれませんが、メッセージを盛り込んだ悪質な短縮URLが先駆けて登場するとみられます。そのためユーザーには、しっかりと見極める目と一層の警戒心が求められるでしょう。もちろん、Twitterのようなソーシャルメディアをあまり信用していない場合は、被害に遭遇する可能性も低くなります(そもそも、送信元がだれであれ、短縮URLしか表示されていないツイートをなぜ信用してしまうのでしょうか)。信頼できる送信元からのツイートを見たら警戒心をすぐに解いてしまうユーザーが多いので、不審なURLを流通させるために乗っ取られるアカウントはそれほど多くはありません(Facebookにおけるアンケート詐欺やマルウェア攻撃の場合と比べてみてください)。

 
フィッシング攻撃の有効性
 

ESETラテンアメリカのリサーチチームは、典型的なフィッシング攻撃をサンプルにして、その有効性を調査しました。すると、悪意のあるWebサイトにアクセスしたユーザーの5人のうち1人は、個人情報を送信していることが判明しました。

攻撃は典型的なソーシャルエンジニアリング手法で始まりました。ラテンアメリカの某大手銀行と明記した電子メールをユーザーに送り、メール内のリンクから偽のWebページに誘導して、銀行の口座情報の入力を要求する、という手口です。

ディレクトリを解析したところ、ユーザーの情報を格納したデータファイルが同じ偽のサーバー上で確認できました。次いで、ユーザーが送信したデータを含んでいるテキストファイルを解析すると、次のようなことが明らかになりました。

  • サイトへの最初のアクセスは1月20日の10時01分(下の図を参照)、最後に記録されたアクセスは同日の15時24分。したがって、攻撃は約5時間以上にわたりアクティブだった。
  • その間に偽のサイトにアクセスしたユーザーは164人で、1時間当たり平均およそ30人。2分おきにユーザーがアクセスしたことになる。
  • 164人中、35人が有効なクレジットカード情報を提供した。つまり、全体の21%が罠にかかった。

フィッシング攻撃はここ最近、着実に増加しています。今回の調査で明らかになったように、サイバー犯罪者にとっては高い確率でユーザーを騙して荒稼ぎできる攻撃手段になっています。

今回の調査の詳細については、こちらをご覧ください。

 
相次ぐAMTSOへの批判
 

次のAMTSOの会議は、2月10日、11日にカリフォルニア州サンマテオで開催されます。毎年最初の会議は例年通り、RSAカンファレンスの日程に合わせて予定されています。仮の議題など、会議の詳細情報については、こちらをご覧ください。

AMTSO(Anti-Malware Testing Standards Organization)は、アンチマルウェアテスト手法の客観性や品質、妥当性の向上を求める世界的な要請に応えることを目的に、2008年5月に設立された国際的な非営利組織です。

その理念は合理的で賞賛に値すると私たちは認識していますが(ESETは積極的かつ精力的に組織の活動に参加しています)、残念なことにAMTSOは昨年、多くの批判を受けました。テストのレベルを全般的に引き上げようとするAMTSOの取り組みについて、一部のテスト機関が疎ましく思ったり、自分の組織でテストを実施する上で弊害となると考えたりするのは理解できます。また、独立性の侵害とみなす意見もわかります。おそらく、幅広い消費者製品のテスト雑誌やテスト機関は顔をしかめているでしょう。しかし、対処すべき問題とその対処方法の複雑性という観点から考えると、デジタル一眼レフカメラやDTPソフトなどの比較的込み入った製品でさえ見られないテストにおける困難さが、セキュリティ製品では発生してしまうのは仕方がないことかもしれません。「AMTSOはベンダーとテスト機関の連合体ではなく、アンチウィルス業界における一匹狼だ」という認識が広く浸透してしまい、その結果AMTSOに対する不信感が募ってしまうのはまだ頷けますが、信頼できるテスト手法に必要な専門知識の大部分が、数少ないセキュリティ研究者とさらに少ない専門のテスト機関の間に集中している現状は何とも嘆かわしく思います。

さらには、AMTSOの高額な会費(残念ながら組織の運営上、避けられません)についても一部から批判の意見が寄せられました。高額な会費と、技術的な問題と専門知識の重視の姿勢に対して、「(認めたくはありませんが)AMTSOはエリート主義的だ」と受け止め、AMTSOの議論への参加に背を向ける人はかなりの数に上ります。AMTSOの理事でESETのリサーチフェローのDavid Harleyは、「AMTSOが正しく理解されていなくても、ここ数年にわたる自分達の取り組みには自信を持っている。それよりも、ユーザーの組織への参加率の低さの方が問題だ。テスト手法が改善されれば、ユーザーにとっては大きなメリットになるはずだが」と述べています。もし不満を表に出して直接的な話し合いができていたら、非難はここまで大きくならなかったかもしれません。

昨秋ミュンヘンで開催されたAMTSOのワークショップでは、個人や小規模企業がもっと参加しやすいように、会費を抑えた会員資格の導入やWebフォーラムの開催など、前向きな措置が承認されました。次回のワークショップでは参加者の増加がある程度見込めそうです。AMTSOの活動に参加して得た知識を活用して、参加者のみなさんがセキュリティソフトウェアの選定時に参考にするテストの精度を正しく評価できるよう願っています。

 
マルウェアランキングトップ10
 
1. Win32/Conficker [全体の約5.38%]
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。

 
2. INF/Autorun [全体の約5.30%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。

 
3. Win32/PSW.OnLineGames [全体の約2.17%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。

 
4. Win32/Sality [全体の約1.82%]
前回の順位:4位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。

また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。

 
5. INF/Conficker [全体の約1.39%]
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。

 
6. Win32/Bflient.K [全体の約1.19%]
前回の順位:8位
Win32/Bflient.Kはリムーバブルメディア経由で感染を広げるワームです。バックドアの機能を備えており、 リモートからコントロールすることが可能です。このワームは、感染メディアがPCに挿入されるたびに自身が実行されるよう設定を変更します。
 
7. Win32/Tifaut.C [全体の約1.09%]
前回の順位:6位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。

autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。

 
8. HTML/ScrInject.B [全体の約0.84%]
前回の順位:7位
HTML/ScrInject.Bというのは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。

不正なスクリプトやiframeは、マルウェアへの感染手段として最も多く用いられている手法の1つです。そのため可能な場合には、Webブラウザー、そしてPDFリーダーのスクリプト機能を初期設定で無効にするようにしてください。例えばFirefoxでは、NoScriptというオープンソースの拡張機能を使用することで、JavaScriptなど攻撃者に利用される可能性のある要素をサイトごとに有効/無効に設定することができます。

 
9. Win32/Spy.Ursnif.A [全体の約0.83%]
前回の順位:9位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
 
10. Java/TrojanDownloader.Agent.NCA [全体の約0.76%]
前回の順位:7位
Java/TrojanDownloader.Agent.NCAは、インターネットから別のマルウェアをダウンロードしようとします。Javaで記述されており、Javaアーカイブファイル(.JAR)内の悪意あるクラスファイルを参照して、悪意あるWebサイトにアクセスすると発生する可能性があります。

悪意ある.JARアーカイブが処理されると、Javaクラスコンポーネントは悪意あるWebサイトからダウンロードするファイルのURLを入手します。

 
 
マルウェアランキングトップ10(グラフ)
 

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年1月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.38%を占めています。

 
2011年の結果グラフ
 
ESET社について
 
ESETは、セキュリティソフトウェアのグローバルプロバイダです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。
 
ESETが提供するその他の情報源
 
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
 
 
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!