2011年5月 世界のマルウェアランキング

この記事をシェア
2011年5月の月間マルウェアランキング結果発表
 
目次
 
 
特集記事:今、改めて問われるユーザーの意識
Urban Schrott、ITセキュリティおよびサイバー犯罪担当アナリスト、ESETアイルランド
 

コンピューターセキュリティを顧みず、ユーザーがしばしば愚行に走るのはなぜでしょうか。どれだけ警告しても、データ侵害など被害の実態がいくら明らかになっても、いまだセキュリティに対する認識は甘く、基本的な対策さえとられていないのです。「そんなに危険なの? まったく知らなかった」というのがユーザー達の言い分。車で例えるなら、今まで事故を起こしたことがないからと言って、目隠しをしながら運転するようなものです。今回は、ユーザーの意識の低さを改めて実感した最近のエピソードを2つ紹介します。

コンピューターセキュリティ業界に籍を置いていると知れると、さまざまな相談事を持ちかけられます。先日、ある友人が電話で助けを求めてきました。彼によると、「緊急で海賊版プログラムをインストールしなければならないのだが、ESETのアンチウイルスソフトウェアが入っているためインストールできない。だから、ソフトウェアを無効にする方法を教えてほしい」という内容でした。最初は冗談だろうと思いましたが、残念ながら彼は本気でした。車の例に当てはめてみると、車両の乗員を守る(少なくともダメージを軽くする)エアバッグをアンチウイルスソフトウェアと考えてください。この場合、彼は反対車線を逆走しながら、エアバッグを取り外してくれと言っているのです。アンチウイルスソフトウェアを、インターネットの楽しみを根こそぎ奪うだけでなく、リスクまでもたらす厄介なものとみなしているユーザーがいまだ多いのは、何とも嘆かわしいことです。

海賊版ソフトウェアが違法であることはだれもが知っています。しかし、まるで気に留めないユーザーが多いのもまた事実です。合法であるかの問題はさておき、セキュリティアナリストの立場から言わせてもらうと、これは人間の脳天気さの深刻度を物語っているように思えてなりません。

それでは犯罪者達はなぜ、ライセンス版ソフトウェアをユーザーが自由にダウンロードできるようにするのでしょうか。彼らが本当は、みんなで情報を共有できるようにしたいという優しい心の持ち主だからでしょうか。それとも、暇つぶしにソフトウェアをクラックしユーザーに配布して、ただスリルを味わいたいからでしょうか。もし本気でそんな風に考えている人がいるとしたら、「虹の根本には宝が埋まっている」と言われても鵜呑みにしてしまうほどの相当なお人好しです。中には、「情報は自由に公開されるべきだ。画家や音楽家、作家、ソフトウェア開発元に、時間や労力に応じてお金を払うなんてとんでもない」などと、かたくなに思い込んでいる人々もいるようです (配管工や弁護士のような時間給の職種の方にこの意見をぶつけてみてください)。さて、ユーザーが海賊版ソフトウェアを入手すると、知らないうちにちょっとした「おまけ」が付いてくる可能性が十分にあります。トロイの木馬やキーロガー、偽のアンチウイルスソフトウェアのインストーラなどがその例で、 サイバー犯罪者はこうしたマルウェアを駆使して金銭を盗み出すなど、ユーザーに大きな被害を及ぼすのです。しかも、たいていの場合、ライセンス版ソフトウェアを購入するよりはるかに高額な金銭を搾取されます。

2つ目のエピソードは、海外でメールやソーシャルネットワークをチェックしようとインターネットカフェを利用した友人から聞いた話です。空いていたコンピューターを使おうとしたところ、彼は前のユーザーがFacebookアカウントからログアウトし忘れているのに気づきました。うっかりしていたのだろうと思った彼は親切心から代わりにログアウトしてあげたのですが、気になって別のコンピューターもチェックしてみました。すると、だれも利用していないにもかかわらず、そのマシンでもログイン状態のままになっていたのです。さらに他の2台でも同様の状況が確認されました。もし友人が悪魔のささやきに耳を貸してしまって、ログアウトし忘れたユーザーのパスワードを変更し、プロフィールを悪用していたら、どうなっていたでしょうか (もちろん実際には、危ないなぁ、もっと慎重にならなきゃと知らせてからログアウトしただけでした)。公共のコンピューターでは、ブラウザを閉じるときにログアウトされていないことが多く、他のセキュリティ機能も有効になっていません。利用後も気を抜かず、ログインしたすべてのサービスからのログアウトや閲覧履歴を削除するといった良識ある行動は、ユーザーの意識次第なのです。

サイバー犯罪者は、詐欺やマルウェア感染、窃盗などオンラインユーザーを狙ったありとあらゆる悪事を画策しています。そのため、すべてのユーザーには、パスワードなど機密情報を扱うときは、少なくとも軽率な行動は控え、常識的な判断のもとに基本的なセキュリティ対策を講じることが求められます。

公共のコンピューター(インターネットカフェ、インターネットキオスク、図書館など)の安全な使用については詳細な情報をあまり提供していませんが、もう少し時間をかけて調査してみる価値のあるトピックといえそうです。David Harleyは昨年、コンピューター全般の安全な使用に関する一連のブログを執筆しました。詳細は、こちらのブログや後日公開された論文「Ten Ways to Dodge CyberBullets.」をご覧ください。

 
FACEBOOKのプライバシー: セキュリティ上の問題
 

Facebookを一つの国に例えると、人口のランキングでは世界で三番目になります(http://blog.eset.com/2011/05/04/osama-bin-laden-is-alive-and-well-on-facebook)。見方を変えれば、ここ最近、定期的に報告されているソーシャルネットワーキングサイトの利用に伴う多くのリスクにさらされているユーザーも膨大な数に上ることになります。ESETのPaul Laudanskiは、Facebookアカウントのより適切かつ安全な管理方法に関する包括的なブログ記事を執筆しています。こちらはまさにタイムリーな内容で必読のガイドとなっています。

Paulが指摘しているように、データ侵害は起こる可能性があるどころか、実際に起こっています。確実に個人情報を保護するには、いっそのこと使わないのが一番良いのですが、 それではソーシャルネットワーキングがもたらすメリットをもみすみす手放してしまいます。最善の対策は、起こり得るリスクを理解し、詐欺や個人情報の窃盗に対するあらゆる適切な自衛策を講じることです。

 
サンディエゴでサイバーセキュリティに関するシンポジウムが開催
 

サイバーセキュリティに関する教育プロジェクトとしてカリフォルニア州サンディエゴで2年前に立ち上げられて以来、拡大を続けてきたSecuring Our eCity(SOeC)は、プロジェクトのさまざまな関係者が一堂に会するイベントを新たに開催しました。

SOeCが主催する2つの年次シンポジウムのうち、1つ目が5月17日に終日開催され、100名を超える関係者が出席しました。 ESETも、政府機関や企業、非営利組織からの教育、テクノロジー、サイバーセキュリティの各分野の専門家による会議に参加しています。

講演はいずれも、サイバーセキュリティに対するユーザー認識や企業が取るべきアプローチ、政府の役割といった、このプロジェクトの趣旨に即した内容でした。主な講演者は次のとおりです。Ernest McDuffie氏(サイバーセキュリティ分野の権威、NIST=国立標準技術研究所の国家教育プロジェクトリーダー)、Ruben Barrales氏(サンディエゴ商工会議所のCEO)、Nathan Fletcher氏(カリフォルニア州議員)、Darin Andersen(ESETノースアメリカのCOO=最高執行責任者)、Duane Roth氏(ベンチャー企業家支援組織であるConnectのCEO)。

今回のシンポジウムの目玉は、専門家による3つのパネルディスカッションでした。各ディスカッションのテーマは、「中小企業特有の問題」、「ビジネス関連の法規制」、そして「今後の課題に対応できる能力を備えたリーダーの育成の必要性」です。

また、「家庭レベルのセキュリティ」と、「組織内における情報セキュリティ対策の枠組みの構築に必要なリソース」に関するワークショップもそれぞれ開催されました。シンポジウムの最後には、IT業界のすぐれたエグゼクティブに贈られるアワードの授賞式と年間アワードの発表も行われました。

 
パスワードのリセットへの適切な対処
Randy Abrams、テクニカルエデュケーション担当ディレクター、ESET
 

ほとんどの方が、既にSonyのPlayStation Network/Qriocityのセキュリティ侵害問題をご存じだと思います。おそらく大部分のユーザーは、ネットワークに再びアクセスした後にアカウントのパスワードを変更する必要があり、 他の場所で同じパスワードを使用している場合も、やはり変更しなければならないと理解されていることでしょう。Sonyはクレジットカード情報の流出の有無は確認できていないとしていますが、多くの人はSonyのアカウントで使用しているクレジットカードをキャンセルしています。

一方で、パスワードをリセットする際の「質問の答え」は、多くの人が見逃しやすい落とし穴といえます。今回のデータ侵害で流出したと報告されており、他のサイトでも同様にリセットに必要な答えを変更しなければ、永続的なトラブルに見舞われます。

ハッカーはパスワードをリセットして、ユーザーのアカウントにログインしようとします。ターゲットになるのは、メールアカウント、ソーシャルネットワークやブログのアカウント、または別のタイプのオンラインアカウントなどさまざまです。ハッカーが「I forgot my password(パスワードを忘れた場合)」のリンクをクリックすると、秘密の質問を聞かれます。ハッカーは今回のデータ侵害で入手した個人情報を基に、パスワードのリセットに必要な質問にも難なく回答します。そして、サイトの仕組みにもよりますが、最終的にアカウントを乗っ取ってしまうのです。

Sonyのセキュリティ侵害の被害者はもちろん、誰にとっても秘密の質問は大切です。各サイトへの登録時にどのような質問を設定するか、他のサイトと同じ質問を使用するか、これはユーザーの判断にゆだねられます。答えの変更を怠っているユーザーは、パスワードのリセットを画策するサイバー犯罪者に対して、他のアカウントも無防備な状態をさらしていることになります。

 
マルウェアランキングトップ10
 
1. INF/Autorun [全体の約6.58%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。

 
2. Win32/Conficker [全体の約3.61%]
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。

 
3. Win32/PSW.OnLineGames [全体の約1.92%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。

 
4. Win32/Sality [全体の約1.88%]
前回の順位:4位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。

また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。

 
5. HTML/StartPage.NAE [全体の約1.78%]
前回の順位:17位
HTML/StartPage.NAEは、Windowsのレジストリを変更して特定のWebサイトを宣伝しようとするトロイの木馬です。プログラムコードは通常、HTMLページに埋め込まれています。このマルウェアは、Microsoft Internet Explorerを起動したときに最初に表示されるWebサイトを変更することを目的としています(ブラウザが影響を受けている場合のみ)。このようにして、特定のWebサイトを宣伝し、訪問者を増やして収益を上げようとします。HTML/StartPageの亜種は、影響を受けているユーザーを次のWebサイトにリダイレクトします。hxxp://duzceligenclik.com
 
6. JS/Redirector [全体の約1.59%]
前回の順位:11位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザをリダイレクトします。マルウェアのプログラムコードは通常、改ざんされた正規WebサイトのHTMLページに埋め込まれています。名前が示すとおり、通常は難読化されたJavaScriptを使用して、悪意あるWebサイトにリダイレクトします。結果的にクライアントコンピューターに悪意あるソフトウェアをダウンロードして実行しようとします。これは広く用いられている拡散手段です。
 
7. HTML/Iframe.B.Gen [全体の約1.56%]
前回の順位:7位
HTML/Iframe.B.GenはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザをリダイレクトします。
 
8. Win32/Autoit [全体の約1.28%]
前回の順位:5位
Win32/Autoitはリムーバブルメディア経由で感染を広げるワームで、一部の亜種はMSNを介しても拡散します。悪意のあるWebサイトからダウンロードされたファイルとしてシステムに到達しますが、別のマルウェアによってドロップされる場合もあります。システムが感染すると、実行ファイルを検索し、自身のコピーと置き換えます。ローカルディスクとネットワークリソースにコピーします。実行されると、新たな脅威や自身の亜種をダウンロードします。
システムが起動するたびに自動的に実行されるようにするため、システムレジストリに実行ファイルへのリンクを追加します。
9. Win32/Bflient.K [全体の約1.22%]
前回の順位:8位
Win32/Bflient.Kはリムーバブルメディア経由で感染を広げるワームです。バックドアの機能を備えており、 リモートからコントロールすることが可能です。このワームは、感染メディアがPCに挿入されるたびに自身が実行されるよう設定を変更します。
 
10. Win32/Autorun [全体の約0.89%]
前回の順位:7位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。このファイル単体では脅威にはなりませんが、バイナリファイルと組み合わさって拡散機能を持つようになります。
 
 
マルウェアランキングトップ10(グラフ)
 

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年5月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち6.58%を占めています。

 
2011年5月の結果グラフ
 
ESET社について
 
ESETは、セキュリティソフトウェアのグローバルプロバイダです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。
 
ESETが提供するその他の情報源
 
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
 
 
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!