MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2011年4月 世界のマルウェアランキング

この記事をシェア
2011年4月の月間マルウェアランキング結果発表
 
目次
 
 
特集記事:いまだ勢い衰えぬ419詐欺
Urban Schrott、ITセキュリティおよびサイバー犯罪担当アナリスト、ESETアイルランド
 

419詐欺、またはナイジェリア詐欺が世界中に蔓延するようになって数年(「スペインの囚人(Spanish Prisoner)」のような古い信用詐欺までさかのぼると数百年)、その筋書きに大きな変化は見られません。ユーザーは、この種の詐欺に対する認識度を高め、メールが送られてきても絶対に返信しない態度を身につけているでしょうか。しかし現実には、詐欺メールの流通が止む気配はありません。他のサイバー犯罪と同様に、この種の詐欺による実際の被害レポートには概算や推測が混在していますが、詐欺師にとっていまだ十分な見返りを期待できる犯罪活動であるといえそうです。

つい最近、リビア内戦というエサを撒いて「政府資金」という釣り針で獲物を引っ掛けようとする、まさしく典型的な419詐欺が発生しました。ご察しのとおり、どこぞの独裁者の追放や死亡に乗じて莫大な資金を不正に横領したという人物が現れ、ユーザーに巨額の謝礼をぶら下げて資金を引き出すための援助を求めてくるという内容です。

宝くじ詐欺も相変わらず出回っています。David Harleyのブログでも取り上げられていますが、ユーザーに宝くじに当選したと持ちかけ、その確認のため個人情報や少額の送金を要求するという手口で、こちらは大規模な被害は免れそうです。ブログでは、Bayron Javier Revelo Cabreraと名乗る人物がDavidに「Mega BO Promotion」という宝くじで75万ポンドに当選したと通知する詐欺メールについて紹介しています。メッセージの本文の前には、次の項目が記載されています。

  • 名前
  • 住所
  • 職業

もっともらしい情報には、正当で大量送信された通知ではないとターゲットを安心させる狙いがあるのでしょう (どうやらあまり効果はないようですが)。一方で、ユーザーを「信頼」させようと電話による通常とは異なる変わった手法が用いられる場合もあります。インドでは極めて有効とされているようです。

日本の津波被害者を支援する義援金を募る詐欺メールでもやはり、同じように古典的な手法が使用されていました。ユーザーの関心を引き付けるため最新のイベントや巷で話題のニュースを持ち出すのは常套手段で、騙す側からすれば賢明なやり方といえるでしょう。とはいえ、そのような古い手口にいまだ引っかかる人がいるのでしょうか。残念ながら、その被害は明らかです。こちらのサイトによると、419詐欺の被害者は44秒おきに発生しており、 またArs Technicaのレポートでは、2009年の419詐欺による被害額は93億ドルに達すると算出しています。

では、なぜ被害者がいまだ後を絶たないのでしょうか。やはり「ユーザーが愚かなのだからどうしようもない」の一言に尽きるのでしょうか。詐欺についてユーザーを教育する一貫したアプローチが無いためかもしれません。いずれにせよ、平均的なユーザーにとって、「ウイルス」や「ハッカー」、「スパム」、「詐欺」などは不可解な言葉であり、その認識も「まったく気にしていない」、「自分には関係がない」、「よく知らない」といったカテゴリーに該当しているのが現状です。

MicrosoftやYahoo、Western Union、Coca Colaなど一部の企業では既に、ユーザー教育を目的としたAdvance Fee Fraud Coalition(先払い詐欺対策連合)を通じて提携しており、オンライン詐欺に関する警告提案の普及に努めています。そして、さまざまな国家規模の犯罪取り締まり機関やセキュリティ業界全体、その他の関連機関による活動も、被害抑制のため協力し合う体制が求められています。しかし、この種の犯罪に起因すると見られる莫大な被害総額と照らし合わせると、その成果は不十分といわざるを得ません。

この種の詐欺にとりわけ深く関与する国々が、政府または法律レベルでより厳しく取り締まるようにならないと、事態の改善は見込めないでしょう。とりわけナイジェリアは、「Advance Fee Fraud(先払い詐欺)」や「ロンド二ング」をはじめとする詐欺と密接な関連があります。この「Advance Fee Fraud」という用語はしばしばナイジェリア詐欺、すなわち419詐欺を指すこともあります(419という数字は偽の取引情報による金銭などの窃盗を規制するナイジェリアの刑法第419条に由来)。この種のローテクな詐欺は、かなり前からアフリカ企業固有の問題の段階は過ぎ去り、今では世界中の企業が標的にされています。一方でナイジェリアでは最近、Cyber Crime Bill(サイバー犯罪対策法案)が否決され、混乱が生じています。この法案の目的は同国の経済財政犯罪委員会が最近提出した法案と類似していますが、承認されていれば事態の収束に貢献していたはずです。

Cyber Crime Billは同国のサイバー犯罪対策の一環として提案されたのですが、2005年のComputer Security and Critical Information Infrastructure Protection(コンピュータセキュリティおよび重要情報インフラ保護)などの法案と同じく廃案に終わる運命のようです。ロンドン大学の国際取引法のシニアティーチングフェローであるNnaemeka Ewelukwa博士によると、ナイジェリアで唯一のインターネット犯罪に特化した国内法であるAdvance Fee Fraud and other Fraud Related Offences Act 2006(2006年先払い詐欺および関連詐欺対策法)が規制しているのは、インターネットサービスプロバイダとサイバーカフェのみです。ないよりはましとはいえ十分でないのは明白です。ハッキングやスパミング、オンラインIDの盗難、スキミング関連の犯罪を現状のナイジェリア国内法で取り締まることはできないと博士は指摘しています。

 
Virus Bulletinに参加予定のESET研究者の論文
 

2011年10月5日~7日にかけて、スペイン、バルセロナのエスペリアタワーホテルで「VB2011 - the 21st Virus Bulletin International Conference」が開催されます。ESETはプラチナスポンサーとして参加します。

ESETの承認済みの論文の要約は次のURLからご覧いただけます。

 
次世代のTDSS
 

バックドアを作成するWin32/Olmarik(別名TDSS、TDL、Alureonなど)は、今までにはない興味深い進化を遂げています。その代表格がTDL4という亜種です。64ビット版のMicrosoft Windows Vistaおよび7に導入されているカーネルモードのコード署名ポリシーをすり抜けてシステムに不正なドライバが読み込まれるようにする能力と、カーネルモードのパッチ保護ポリシーが有効になっていてもカーネルモードのフックを実行する能力を備えています。

Eugene RodionovとAleksandr Matrosovは、ESETの新しいホワイトペーパー「The Evolution of TDL: Conquering x64」誌上で、活動を休止したサイバー犯罪グループ「DogmaMillions」に代わりTDSSを配布しているサイバー犯罪グループ「GangstaBucks」の動向を注視しています。また、ボットのインストールと実装や、カーネルモードコンポーネントとbootkitについて深く分析しているほか、Win32/Gluptebaに関連する情報も付属資料として提供しています。

また、旧世代のTDSSに関するホワイトペーパー「TDL3: The Rootkit of All Evil?」、および興味深いVirus Bulletinの記事「Rooting about in TDSS」(著作権を所有するVirus Bulletinにより閲覧が許可されています)もご覧いただけます。TDSS関連の一連の記事は、Infosec Instituteにまもなく(おそらく4月17日の週)掲載される予定です。Microsoftが公開したパッチの効果については、こちらのブログもご覧ください。

 
AMTSOの活動
 

AMTSO(Anti-Malware Testing Standards Organization)は、セキュリティ製品のテスト手法の改善を促進するため設立された国際組織です。昨年後半に決定した新しい会員資格の導入に引き続き、このたび新しいオンラインフォーラムを立ち上げました。ESETは、AMTSOの設立当初から非常に深く携わっています。ESETのCEOであるAndrew Leeは理事を務めており、現在は同シニアリサーチフェローのDavid Harleyも同じく理事に就任しています。

AMTSOは、アンチマルウェア製品のテスト基準はもっと厳しくあるべきとするベンダーとテスト機関の合意の下に誕生しました。しかし、より優れたマルウェアのテスト手法のための業界標準やガイドラインを策定するうえで、他分野(出版業界や学界、ユーザーのコミュニティ)からの貴重な意見が必須であることは常々指摘されてきました。

AMTSOの新しい会員資格は、テストに関心を寄せる個人や小規模企業による組織の活動への参加を促進するものです。正式な会員資格と比べて格段に安い年会費で、アンチマルウェアテストやガイドラインの策定に関する情報を共有できるようになります。新しい会員資格は現在、http://www.amtso.orgの[Subscription]タブから、25ユーロで取得できます。

 

AMTSOはまた、議決権は正式な会員に限定されるものの、テスト関連の議論への投稿や参加をすべての会員に許可するフォーラムも立ち上げました。

このフォーラムはAMTSOのホームページ上のリンクからアクセス可能で、アンチマルウェアソフトウェアのテストについて質問や意見があればだれでも発表できます。

 
「World Backup Day」が制定
 

ESET LAのアウェアネス&リサーチコーディネータのSebastian Bortnikはブログで、Webホスティング会社が共同で策定した重要なイニシアチブについて取り上げています。それは、すべてのユーザーにバックアップの重要性を呼びかける手段として、特定の日をデータのバックアップを取得する日に制定するという試みです。そして、3月31日が「World Backup Day」と宣言されたのです。

バックアップの取得は、セキュリティ対策では欠かせない措置の1つです。 データの漏洩や損傷を回避するには、バックアップの重要性を認識し、その意味や方法についてしっかりと学んでおくことが大切です。

こうした動きを受け、ESETではバックアップの作成にあたり検討すべき点をいくつか掲示しました。例えば誰でもバックアップの前には、保存するデータを選択し、手法を決定し、タイミングを設定する必要があります。

このトピックとESETが掲示した検討事項の詳細については、こちらのブログをご覧ください。

 
SC MagazineのCybercrime Corner
 

ESETのシニアリサーチフェローのDavid Harleyと、同テクニカルエデュケーション担当ディレクターであるRandy Abramsは、SC Magazineの一セクション、Cybercrime Cornerに寄稿しています。
SC MagazineはITセキュリティの担当者を対象としたオンラインのリソースセンターです。Cybercrime Cornerでは、セキュリティ業界の名高い専門家らがサイバーセキュリティの最新の脅威動向を解説しています。

David HarleyとRandy Abramsが執筆した記事の一部を以下に記載しておきます。

  • Who are the cybercriminals?
  • AV company, heal thyself
  • Giving the cybercriminals a helping hand
  • A tsunami is also a crime wave
  • Supporters Club
  • Poachers and Gamekeepers
 
マルウェアランキングトップ10
 
1. INF/Autorun [全体の約6.62%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。

 
2. Win32/Conficker [全体の約3.76%]
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。

 
3. Win32/PSW.OnLineGames [全体の約2.02%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。

 
4. Win32/Sality [全体の約1.83%]
前回の順位:4位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。

また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。

 
5. Win32/Autoit [全体の約1.10%]
前回の順位:9位
Win32/Autoitはリムーバブルメディア経由で感染を広げるワームで、一部の亜種はMSNを介しても拡散します。悪意のあるWebサイトからダウンロードされたファイルとしてシステムに到達しますが、別のマルウェアによってドロップされる場合もあります。システムが感染すると、実行ファイルを検索し、自身のコピーと置き換えます。ローカルディスクとネットワークリソースにコピーします。実行されると、新たな脅威や自身の亜種をダウンロードします。
システムが起動するたびに自動的に実行されるようにするため、システムレジストリに実行ファイルへのリンクを追加します。

 
6. Win32/Autorun [全体の約0.96%]
前回の順位:7位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。このファイル単体では脅威にはなりませんが、バイナリファイルと組み合わさって拡散機能を持つようになります。
 
7. HTML/Iframe.B.Gen [全体の約0.86%]
前回の順位:15位
HTML/Iframe.B.GenはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザをリダイレクトします。
 
8. Win32/Bflient.K [全体の約0.85%]
前回の順位:6位
Win32/Bflient.Kはリムーバブルメディア経由で感染を広げるワームです。バックドアの機能を備えており、 リモートからコントロールすることが可能です。このワームは、感染メディアがPCに挿入されるたびに自身が実行されるよう設定を変更します。
 
9. Win32/Tifaut.C [全体の約0.81%]
前回の順位:8位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。

autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。

 
10. Win32/Spy.Ursnif.A [全体の約0.72%]
前回の順位:10位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
 
 
マルウェアランキングトップ10(グラフ)
 

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年4月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち6.62%を占めています。

 
2011年4月の結果グラフ
 
ESET社について
 
ESETは、セキュリティソフトウェアのグローバルプロバイダです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。
 
ESETが提供するその他の情報源
 
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
 
 
 
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!