身に覚えのないメールの大量送信といえば、ロシアをはじめとする東欧諸国を拠点とする「ビジネス」の世界では常套手段とされています。ここ数年、非常に重宝されてきた手法はボットネットを利用したスパムメールの送信で、その理由はコストがほとんどかからないからです。ESETでは、この種のスパム活動を定期的に監視しています。メールは警戒心の薄いユーザーをターゲットとしており、各種の不正な製品やサービスへのリンクを記載しているのが通常です。
ところが最近になって、新たな手口のスパム活動が見られるようになりました。宣伝用のフォーラムを利用したタイプですが、疑わしい製品などを宣伝する投稿がフォーラムに次々と掲載されているのです。送られてくるメール自体は何の変哲もなく、さまざまなトピックやコンテンツを記載しているのですが、リンクをクリックするようしきりにすすめてきます。
表示されているリンクをクリックすると、フォーラムに掲載されている投稿にリダイレクトされます。例えばあるページには、若くて綺麗な女性の顔写真と個人情報が、「パートナー募集中」とのコメント付きで表示されています。これは俗に言う「ロシアの花嫁」詐欺の典型的な例です。コメントを読んだ貧しくも純真なユーザーは「ついに運命の人に出会えた」と思い込み、早速メール交換を申し込みます。すると、「運命」の彼女は「あなたに会いたい」と切り出し、渡航費用を送金してもらえないかと持ちかけてきます。そして入金を確認すると、お役御免とばかりに急に連絡を断ち切られてしまうのです。
さて、フォーラムにはどのような投稿があるのか気になったわたし達は、さらに調査を進め、投稿内容の分析に着手しました。するとまず判明したのは、フォーラムそのものがあらゆるスパム活動の助長が目的で使用されているという事実でした。
分析や他のフォーラムとの比較を進めていくと、この種のフォーラムのほとんどが調査直前の週末に作成されている点に気付きました。また、いずれの投稿もコンテンツは怪しげなサイトからの製品やサービスの紹介のみが掲載されています。一日だけでも、投稿のために作成された大量のメッセージを確認できます(わたし達が調査したフォーラムの1つでは、わずか3日分の投稿で50ページが埋め尽くされていました)。宣伝されている製品は例を挙げるまでもありません。偽バイアグラや、ハンドバッグまたはレプリカ腕時計といった高級品など、いずれも莫大な儲けを生み出す典型的な粗悪品です。
それにしても、この「フォーラム型スパム」の作成者は金脈を掘り当てたと認めざるを得ません。フォーラムを独自に作成することは、今では決して難しくありません。作業の手間を省く自動処理機能や必要なリソースが揃っており、犯罪を企てる輩にとって絶好の舞台です。今後、短期間に膨大な数の悪質なフォーラムが作成されると予測されます。
ESETのラボはOntinet.comで、このようなメッセージを受け取っても掲載されているリンクをクリックせず削除するようユーザーに呼びかけています。また、信頼できるフォーラムで似たようなメッセージを発見した場合、フォーラム運営者に問い合わせて投稿の削除を依頼するのが賢明です。マルウェア感染を拡大させるこの種のスパム活動に歯止めをかけるには、しらみつぶしに処理する以外の対処法はなさそうです。
「怪しげなサイトさえ避ければ、ユーザーはまずネット上でトラブルに巻き込まれたりはしないだろう」。先日あるジャーナリストがこのように仰っていました(怪しげなサイトとは通常、アダルトサイトや海賊サイトを意味します)。これまでも同じような意見をたびたび耳にしました。実際に目の当たりにしたかどうかを問わず、悪意のあるコードのインジェクションやドライブバイダウンロード、トロイの木馬について何年もユーザー教育を実施してましたが、一部ではいまだに、怪しいサイトにさえアクセスしなければ安全だという思い込みが根深く浸透しているようです。しかしわたし達は最近、危険はもはや怪しげなサイトのみならず、安全だと完全に信じ込んでいるサイトにも及んでいる可能性があることを改めて思い知らされました。
ESETの研究者であるAryeh GoretskyとRandy Abramsは2月の初め、Microsoftが発端と見られるトロイの木馬の問題についてブログ記事を執筆しました。というのも1月下旬、「ESET NOD32 Antivirusはモバイルユーザーのコンピュータをトロイの木馬への感染から保護しているが、MicrosoftのUpdateカタログがその感染源になっている」とする報告が寄せられたのです。Microsoftに直接の原因はないとはいえ、同社のドライバ更新のページでは多くのサードパーティドライバの更新も可能で、トロイの木馬が侵入する状況を作ったのは間違いありません(詳細はAryehのブログをご覧ください)。Randy Abramsは、Microsoftがサードパーティ製品を保持する理由や今回のような事例が遍在している理由、Microsoftがトラブルを回避できなかった理由をさらに深く掘り下げています。
それから間もなくして、デジタルラジオのBBC6のホームページがさまざまなマルウェアをダウンロードさせる不正リンクに苦しめられているという報告を受けました。さらに、自然派化粧品メーカーのLushのホームページがハッキングされ、顧客データが盗まれました(詳細はESETの研究者David Harleyのブログをご覧ください)。Davidはまた、図書館の共用PCでハードウェア型のキーロガーが発見され、利用者の入力情報が盗み出された問題についてもブログで取り上げています (詳細はブログ「Keyloggers in the Library」、およびSC Magazineに掲載されたDan Raywood氏の記事「Keyloggers found plugged into library computers」をご覧ください)。
Win32/Yimfoca.AAやWin32/Fbphotofakeをはじめとする大量のワームに関する報告を基に、ESETのMarek PolesenskyはFacebookの脅威に関するレポートを寄稿しています。Win32/Yimfoca.AAにいたっては最近数週間、多くのヨーロッパ諸国で、ThreatSense.Netによるマルウェアランキングのトップテンにランクインしています。
さらには金融機関も標的にされました。アイルランドでは、国内大手銀行のテンプレートを使用したフィッシング詐欺がいまだに多数発生しているばかりか最近では、納税者に税金の還付を受けろと煽る税務当局からと称するフィッシングメールも出回っています。他の地域では、Trusteerがオンラインバンキングセッションをオープンに保つトロイの木馬の出現を報告しています。これはユーザーがログアウトした後でも犯罪者が詐欺行為を働けるようにする新たなマルウェアです。
前述した脅威は至る所、たとえ知名度も安全度も高いとされる機関のサイトにも潜んでいる現実に目を背けず、「怪しげなサイトを避ければ後は問題ない」という慢心を改めてください。名のある組織のサイトであればセキュリティ上の問題は解消されていると思いたくもなりますが、 必ずしもそうとは言い切れないのは明白です。実際、ESETアイルランドのブログで報告されているように、アイルランドの企業の5分の1が過去1年間にデータ侵害に遭遇しており、英国企業のサイバー犯罪による年間被害額は200億ポンドを超えています。また、このデータを裏付けるかのように、EU統計局はEUのネットユーザーの3人に1人がコンピュータウイルスに感染していると報告しています。
ESETのようなアンチウィルスベンダーは、自社製品の売上を促進するために必要以上に不安を煽っているとメディアから非難されることもしばしばあります。しかし、毎日飛び込んでくるニュースの見出しを追ってみれば、事実であるか誇張であるかははっきりします。侵害や詐欺、マルウェアなどに関するさまざまな記事が見つかるはずです。被害がなかったケースや無視しても支障のないケースなどほとんどないのが実情です。このレポートも基本的に事実に即した内容で、作為的な要素は一切ありません。おそらく今日では、サイトの名前だけで安全かどうか判断してしまう傾向があるため、メディアと一般ユーザーのどちらも、実際のサイバー犯罪による被害状況に対して違和感を覚えてしまうのでしょう。現実世界での犯罪の発生が物騒な地域に留まらなくなったのと同様に、サイバー犯罪も活動範囲を従来の怪しげなWebサイトから外へ外へと広がり始めています。それどころか、セキュリティ機能の向上に伴い悪意のあるサイトの発見、削除の成功率が高くなるにつれ、セキュリティ対策も十分だと信じ込まれている有名なサイトをターゲットにする犯罪者が増えているのです。
Stuxnetの問題はようやく一段落ついたと思っている人もいるかもしれません。しかし、レポート「Stuxnet under the Microscope」の執筆を担当したチームは警戒の目を休めていません。今もなお、Stuxnetを取り巻く環境は目まぐるしい展開を見せ、有意義な報告や興味を引く意見など日々さまざまな情報が入ってきます。
SF作家のWilliam Gibson氏は2月1日、Stuxnetを25年前に誕生したブレインウイルスと照らし合わせた興味深い文章を発表しました。わたし達は全体的に楽しく拝読させていただきました。同じく月の初め、イランは、Stuxnetによる核開発計画の妨害に関する報道は誇張されており悪意すら感じると主張し続ける一方で、第2のチェルノブイリ事故に発展する可能性があるとするロシア大使の発言を持ち出し、調査の必要性はあると認めました。
セキュリティ業界の多くの関係者は、さまざまな視点から現在の状況について独自の見解を示しています。
U0vdのCEOであるNima Bagheriはイランの視点から、なかなかバランスの取れた意見を発表しました。
謎のハッカー集団「Anonymous」が、Stuxnetのコードを入手(おそらく一部)したという噂が立ちました。とはいえ、デコンパイルされたStuxnetのコードは確かにネット上で入手できますが、これで事態が大きく進展するかどうかは別問題です。セキュリティベンダーは現在、サンプルとコードを監視し、計画を策定しています。
WiredのKim Zetters氏の記事にあるとおり、SymantecはStuxnetの標的がイランの5組織だったとするStuxnetレポートの最新版を公開しました。Eric Byres、Andrew Ginter、Joel Langillの3氏も、読み応えのあるホワイトペーパーを執筆しています。
Tofino Securityも、Eric Byres氏とScott Howard氏が共同執筆したホワイトペーパー「Analysis of the Siemens WinCC / PCS 7 “Stuxnet” Malware for Industrial Control System Professionals」の改訂版を公開しました。ダウンロードにはユーザー登録が必要ですが、なかなか興味深い資料が揃っています。
Joel Langill氏も皆さんが関心を持つようなStuxnet関連のリソースをストックしています。
一方で1月下旬には、Tom Parker氏がBlack Hat DCカンファレンスで情報満載のプレゼンテーション「Stuxnet Redux: Malware Attribution & Lessons Learned」を発表しましたが、あまり注目されていないのが残念に思えます。また、ESETの一連のブログでもStuxnetの最新情報を確認できます。
ESETのシニアリサーチフェローのDavid Harleyは4月に、Infosec EuropeでStuxnet、およびSCADA業界との関連性について講演を行う予定です。
Business Strategy Theatre
4月19日(火)、PM12:00
AMTSO(Anti-Malware Testing Standards Organization)は毎年、RSA年次カンファレンスからほど近いサンフランシスコのベイエリアで最初のワークショップを開催しています。今年最初のワークショップは、Webrootのわたし達の同志が中心になって準備されました。開催に向けて尽力してくれたJong Purisima氏には特に感謝したいと思います。いつものように活発な議論が繰り広げられたわけですが、中でも注目が高かったのは、AMTSOがその理念を効果的にアピールするにはどうすればよいかという点でした。
今回承認されたガイドラインはありませんでした(AMTSOとEICARが現在共同プロジェクトを検討しているため、EICARテストファイルに関する論文は差し当たり撤回されました)。しかし、テスト手法や統計情報に付きまとう混乱に対処する論文では大きな進歩が見られました。統計情報の妥当性が向上すれば、比較テストの有用性などの改善につながります。サンプルの選択や分類、検証に関する論文や、ベンダーがテストの容易性を高めるための代替手段は、順調に進展しています。
一方で、多くの関心を集めた議題は会費20ドルの新しい会員資格と公開フォーラムについてでした。いずれも近日中に実現されなければなりません。
AMTSOワークショップは次回、5月にチェコのプラハで開催されます。次回のCAROワークショップの開催前後(同日ではなく)に予定されています。
ESETはまた、サンフランシスコのMosconeセンターで開催されたRSAカンファレンスとエキスポにも深く関与していました。Randy Abramsによるプレゼンテーション「Learning from giant security blunders remembering the past so that we don’t repeat it」でも示されたESET北米チームの新しい方針には、多くの関心が寄せられました。プレゼンテーションではここ数十年に発生した驚愕かつ興味深い、いくつかのセキュリティ関連のトラブルに焦点が置かれました。David Harleyは、英国の公共図書館でインターネット接続されたPCにキーロガーが発見された問題について、SC MagazineのDan Raywood氏のインタビューで引き合いに出しています。今回のトラブルは異例のインシデントであるかというRaywood氏の質問に対し、Davidは次のように回答しています。
「RSAカンファレンスでESETが発表したプレゼンテーションの1つで、本件と関係があるインシデントをいくつか取り上げています。例えば、2007年のRSAカンファレンスで利用可能だった共用のキオスクPCはXP搭載で完全な管理者権限を有していましたが、無償のアンチウイルス製品以外に保護機能を備えていませんでした。また、2010年のAusCERTカンファレンスのIBMブースで配られていたUSBスティックがAutorunに感染していたという例もあります。このような状況下では高いセキュリティなど期待できないでしょう」。
「本当の問題は、あらゆるプライバシーやセキュリティ保護の局面で、みな他人任せにしている点にあります。共用PCやアクセスポイントの管理者がだれしも、利用者を保護するために適切な対策を実施できるほどの十分な責任や知識を備えているわけではないのです」。
この問題についてはDavidのブログ「Keyloggers in the library」と「Public Access PCs Booby Trapped」もご覧ください。ブログには次のように書いています。「全貌を把握しているわけではないが、今回のケースは、技術スタッフを配置していない場合が多い小規模組織や、大規模組織の出先機関でよく見られる問題だと思う。しかし、図書館側がキーロガーの存在に気付いて対処する前に、すでに1つがPCから取り外されていたのは気がかりだ。単純に見つかっていないだけなのだろうか? それとも、どうしようかと司書同士が話し込んでいる隙を狙って、犯罪者がこっそり取り外したのだろうか?」
前回の順位:2位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:4位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:6位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。
autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。
前回の順位:35位
Java/TrojanDownloader.OpenStream.NAUは、インターネットから別のマルウェアをダウンロードしようとする、Javaで記述されたトロイの木馬です。Javaアーカイブファイル(.JAR)内の悪意あるクラスファイルを参照して、悪意あるWebサイトにアクセスすると発生する可能性があります。
悪意ある.JARアーカイブが処理されると、Javaクラスコンポーネントは悪意あるWebサイトからダウンロードするファイルのURLを入手します。
前回の順位:9位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
前回の順位:8位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
不正なスクリプトやiframeは、マルウェアへの感染手段として最も多く用いられている手法の1つです。そのため可能な場合には、Webブラウザー、そしてPDFリーダーのスクリプト機能を初期設定で無効にするようにしてください。例えばFirefoxでは、NoScriptというオープンソースの拡張機能を使用することで、JavaScriptなど攻撃者に利用される可能性のある要素をサイトごとに有効/無効に設定することができます。
前回の順位:6位
Win32/Bflient.Kはリムーバブルメディア経由で感染を広げるワームです。バックドアの機能を備えており、 リモートからコントロールすることが可能です。このワームは、感染メディアがPCに挿入されるたびに自身が実行されるよう設定を変更します。
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年2月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.53%を占めています。