MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2011年6月 世界のマルウェアランキング

この記事をシェア
2011年6月の月間マルウェアランキング結果発表
 
目次
 
 
特集記事:アイルランドに学ぶパスワードのセキュリティ対策
Urban Schrott、ITセキュリティおよびサイバー犯罪担当アナリスト、ESETアイルランド
 

ハッキングやデータ漏えいが世界中で騒がれる中、今回は個人レベルの差し迫ったセキュリティ問題として「パスワード」を取り上げようと思います。ハッキングにはある程度の下準備が伴いますが、パスワードの場合は、容易に推測可能なパスワードが設定されるケースが多くハッカーは楽に任務を遂行できます。それにしても、大多数のユーザーはなぜ単純なパスワードを使用するのでしょうか。あるサイトによると、世界で最も使用されるパスワードは、いまだ「123456」や「password」など、簡単な単語や数字の羅列という有様です。

この事実を重く受け止めたESETアイルランドの我がチームは、はたしてアイルランドのユーザーも該当しているのか調査を実施しました。結論から言うと、わたし達にとっては喜ばしい結果が得られました(正確には、ひとまずホッとした程度ですが)。調査の焦点は、アイルランドのユーザーが使用するパスワードのタイプ、そしてその安全性でした。まずパスワードをタイプ別に分類し、ユーザーに使用しているパスワードがどのグループに該当するか質問しました。つまり、どのグループに属するかで複雑性のレベルが特定できます。複雑であるほど、安全性が高いことになります。

調査は、ESETアイルランドの委託を受けたAmárachが実施しました。対象にはさまざまなプロフィールのユーザー1000人を選び、有効な調査結果が得られるように配慮してあります。850人はオンラインで回答してもらい、残りの150人は代表サンプルとして直接会って話を聞きました。

ユーザーには「電子メールのパスワードはどのようなタイプですか?」と質問し、次の選択肢の中から選んでもらいました。

  • アルファベットと数字の組み合わせ(例: jimmy34、ron45xyz、ilrw12)
  • 簡単な単語や数字の羅列(例: password、colin、13435)
  • 造語を使用(例: lianwer、gianron、cavoveti)
  • アルファベットの小文字と大文字、数字の組み合わせ(例: Roisin75、OpeRal1982)
  • アルファベットの小文字と大文字、句読点、数字の組み合わせ(例: MoCon-07、McBett0982!)
  • 長めの文章を使用(例: Don'tfogettocallmother、Ican'tbebeaten)
  • メインの電子メールアカウントのパスワードはコンピュータに保存してあるのでいちいち覚えていない

回答結果はグラフで確認できます。

電子メールのパスワード

大多数のユーザーが複雑なパスワードを使用していたら文句なしでしたが(調査では約10%)、それでも次のとおり、良好な状況にあるといえます。

  • 38%はパスワードにアルファベットと数字の組み合わせを使用している
  • 10%は複雑なパスワードを使用している
  • 10%以上はアルファベットの小文字と大文字、数字の組み合わせを使用している

合計すると回答者の58%は、「12345」のような最も単純なパスワードを使用していないユーザーに該当します。どうやら、ESETをはじめとする組織が日々取り組んできたセキュリティ啓発活動がある程度は実を結んだようです。

David Harleyもブログでパスワードのセキュリティ問題を取り上げています。また、SC Magazineに寄稿した記事「Password Strategies: Who Goes There」では、最近のハッキング事件を顧みて、「アクセスするサイトやサービス、組織のセキュリティ対策が適切でなければ、パスワードがいくら複雑でも効果がない」と鋭い指摘をしています。

David HarleyとRandy Abramsが執筆した詳細かつ包括的なすぐれたホワイトペーパー「Good Password Practice」や、今回のアイルランドのユーザーの例はパスワードのセキュリティ改善に向けて格好の起爆剤となりそうですが、サービスプロバイダーがデータ保護の重要性を理解して機密情報の流出を確実に防げるように万全な対策をとるためには、一層の働きかけが不可欠です。

 
ユーザーの懸念と実際の行動のズレが調査から明らかに
 

ESETが委託しHarris Interactiveが実施した最近の調査から、SNSサイトのプライバシーやセキュリティに対するユーザーの懸念と実際の行動は一致していないとする、衝撃的な事実が明らかになりました。調査は2011年5月31日から6月2日にかけて、18歳以上のアメリカのオンラインユーザー2027人を対象に実施されました。

調査によると、ソーシャルネットワークのアカウント所有者の69%がSNSサイトのセキュリティに不安を感じているものの、その1/3はアカウントのパスワードを一度も変えたことがなく、最後に変更したのは数年前と答えた所有者も15%に上りました。

ソーシャルネットワークのアカウントのパスワードを最後に変更したのはいつですか?

さらに、アメリカのユーザーの10人に1人が、自分のアカウントが見知らぬユーザーに不正アクセスされ、悪意のあるリンクやメッセージを送信された経験があることも判明しました。不正アクセスは、アカウント所有者のみならずコンタクトリストのユーザーにも被害が及ぶ可能性があるため、特に警戒が必要とされます。この種の被害は数えきれないほど報告されており、最近ではオサマ・ビン・ラディンの死亡に便乗した詐欺も出回っています。

ソーシャルネットワークのアカウントのプライバシー設定は、いつもどのくらいの頻度で更新していますか?

アカウント所有者の67%がプライバシー問題を心配していると調査結果は示しています。にも関わらず、プライバシー設定の更新頻度が半年に1回するかしないか程度に留まる所有者は55%に上っています。これは厄介な問題を引き起こすかもしれません。例えばFacebookでは、ユーザーのプライバシーに影響を及ぼす可能性がある変更が生じてもユーザーに対する忠告は無きに等しく、ユーザーはどのタイミングで設定を変えるべきか把握できません。

SNSサイトのアカウントが不正アクセスされ、リンクやメッセージを送信された経験はありますか?

アカウント所有者の69%がセキュリティに、67%がプライバシーに対し懸念を示している一方で、同様に意見が集中した他の懸念事項は次のとおりです。

  • 自分の名前で偽のアカウントが作成されることを恐れている=37%。
  • 友人やフォロワー、知り合いからのリクエストを常に、または時々承認している=95%
  • SNSサイトに入力した個人情報が自分が知らないところで売買、共有され、金銭トラブルに巻き込まれないか懸念している=71%
  • 自分の子どものSNSサイトの利用に不安を感じた経験がある=17%
    SNSサイトの利用に関して心配な点はありますか?
  • ソーシャルネットワークで自分と友人を保護するためのベストプラクティス

    多くのユーザーは、SNSサイトはセキュリティ対策が万全で、自分が何をしなくてもプライバシーは確実に保護されていると思い込んでいるようですが、もちろんそんなことはありません。以下にオンラインのセキュリティを向上できる簡単なガイドラインをまとめましたので、ぜひ実践してみてください。

    • 強力なパスワードを使用する
    • プライバシーの保護に利用できるオプションを確認し、設定を頻繁に見直す
    • 本当にリクエストを許可すべき「友人」を考える

    懸念を払拭できない場合は、外部のリソースにヘルプを求める。

  • ※ 調査方法
    この調査は、Harris InteractiveがSchwartz Communicationsの委託を受けて2011年5月31日から6月2日にかけて実施しました。対象は18歳以上のアメリカのオンラインユーザー2027人で、内1476人はソーシャルネットワークのアカウントを所有していました。このオンライン調査は確率サンプルを基にしていないため、理論上のサンプリングエラーの推定値は算出されません。
 
ESETが発信する情報を入手する方法
 

ESETは最近、CTAC(Cyber Threat Analysis Center)からの情報を入手する数多くの方法をESET ThreatBlogにまとめました。ESETのブログへはこちらからアクセスでき、RSSフィードを配信しています。また、Randy AbramsとDavid Harleyは毎週、SC MagazineのCybercrime Cornerに記事を数本寄稿しています。さらに、ESETのホワイトページでは主に次のセクションの論文や記事をダウンロードできます。

  • ESETの論文
  • ESETの研究者が執筆、寄稿している記事
  • ESETのホワイトペーパー
  • ESETのプレゼンテーション

ホワイトペーパーページに追加された最新の論文は、David HarleyがInfosecurity UK 2011で発表した「Infrastructure Attacks: The Next Generation?」とEICAR 2011で発表した「Security Software and Rogue Economics: The Presentation」です。いずれもスピーカーノートも含めPDF形式でダウンロード可能で、後者の論文はこちらで要約を閲覧することもできます。

ESETのツイートにフラグをつけるためにTwitterアカウントも多数利用できます。

@ESETresearch、@ESETLLC、@ESET_CTAC、@dharleyatESETはCTACに直接リンクされている。

@esetkbはナレッジベースの記事や動画をリツイートし、@ESETはしばしばCTACのツイートにフラグをつける。

この他には、CTACのFacebookESET USAのFacebookESETのグローバル版のFacebookも利用できます。各地域向けのESETのFacebookも多数ありますが、数が多すぎるため掲載は割愛します。

また、ESETラテンアメリカのリサーチチームのブログ(スペイン語)やTwitterもご覧ください(アカウントは@esetla)。

 
MicrosoftのINF/Autorunレポートに関する注意点
 

Microsoftは先月、Autorun機能を悪用する大量のマルウェアによる感染を大幅に減少させたとブログで発表しました。INF/AutorunはESETの汎用検出名で、autorun.infファイルをインストールしたり改ざんしたりしてシステムに影響を与える、多種多様なマルウェアのファミリーを指します。Autorunが近年なぜ悪用され、問題を引き起こしているのか、ESETでも長きにわたりその理由を説明してきました。後述のESETのThreatSense.Netによるマルウェアランキングトップ10では、継続してトップ3にランクインしています。参考までに、INF/Autorunに関する解説もご覧ください。

Microsoftはここ数年、この問題の解決に向けてさまざまな対策を講じてきました。まずWindows 7ではデフォルトでAutorun機能を無効にし、次にXP、Vista、Windows Server用にパッチを公開しました。最後の仕上げとしてWindows UpdateでAutorunの無効化プログラムを配布し、多くのシステムが自動的にアップデートされるようにしています。対応の遅さは否めませんが、それでも何もしないよりはましだと評価する人もいるでしょう。一方、ESETのテクニカルエデュケーション担当ディレクターであるRandy Abramsは、この措置を「どのような事態になるかだれの目にも明らかなのに何とも遅い対応だ」と表現しています。

さて、わたし達のレポートを定期的に読んでいる皆さんならば、若干不思議な点に気が付くのではないでしょうか。Microsoftのブログにある大幅な感染率の減少が、ESETが運営するThreatSense.Net(早期警告システム)の数値に表れていないのです。これは測定の対象が根本的に異なるためです。Microsoftによると、XPとVistaの感染件数が今年2月から5月の間で130万件も減少していますが、わたし達がこの種のレポートを作成する場合は、感染件数ではなく、検出件数を測定します。Randyの言葉を借りるなら、「ESETはシュート数をカウントしており、Microsoftはゴール数をカウントしている」ということになります。実はこのブログの最初の右肩上がりの図は、ESETの測定法と同じ検出件数を測定しています。そのためこの図と、大幅な減少を示す2番目の図は直接照らし合わせて考えることはできません。ESETの上級研究者であるAryeh Goretskyが実際にMicrosoftの測定法を試してみたところ、やはり同様の結果が得られました。すなわち、Microsoftが報告したような減少傾向が確認されたのです。

さらには、他の要因もあります。MicrosoftとESETは共通のユーザーを顧客としているはずですが(ESETのお客様はWindowsユーザーが多いのです)、モニタリングの対象となるユーザー数が明らかに異なります。また、例えばXP SP2がサポート対象外となり、アップデートされていないマシンの感染率がわずかな減少に留まるというケースもあります。これはもちろん、そのマシンが感染ルートでないということにはなりません。さらに、INF/Autorunのような汎用検出名の採用は、エンドユーザーの立場からすれば多種多様なマルウェアをひとくくりにした方が把握しやすいため最適である反面、個々の脅威やそのファミリーを正確に分類する上ではあまり好ましくありません。脅威の分類は非常に困難な作業ですが、お客様にはそれほど重要ではないのです。

感染件数と感染したマシンの数。どちらの測定法も「間違っているわけではありません」。あくまでも異なる視点から脅威の実態を観察しているだけなのです。

 
サポートを装う電話詐欺が増加
David Harley、ESETシニアリサーチフェロー
 

身に覚えのないマルウェアのトラブル解決やシステム障害のチェックなどのサポートを装った電話詐欺がここ1~2年で膨大な数に上り、ブログでもその実態を取り上げています。この問題は、新たに「出現」してきた脅威に関するMicrosoftの調査で浮き彫りとなり、再びメディアの注目を浴びるようになったとみられます。「出現」という表現は、1年以上も前から存在していた脅威に対して適切な表現ではなさそうですが、最近のブログで解説されているように、この調査では不安を煽る数値が示されており、興味深い問題としての格上げに貢献しています。

Microsoftのプレスリリースでは、いきなり「あなたのコンピュータに問題がある」と電話がかかってきたら、詐欺と考えて間違いないとしています。これはリリースで言及されている国ではおそらく事実なのでしょうが、事態はもっと複雑になっています。というのも、特定の国や状況下では合法的に勧誘電話が許可される場合があるためです。こちらのホワイトペーパーでは、こうした法的な問題も取り上げているほか、手口の大まかな流れも説明しています。

プレスリリースではいくつかの適切なアドバイスを掲示していますが、以下にリリースでは触れられていない重要な点を記しておきます。

  • すべてではないにしろ、この種の詐欺ではたいていイベントビューアへの理解が被害を免れるカギとなります。Windowsのシステムについて詐欺に引っかからない程度の十分な知識を持ち合わせていれば、診断ツールとしてはほとんど機能しないことがわかります。イベントビューアを実行すると膨大な量のエラーが表示されるため、技術的な知識に乏しいユーザーであれば震え上がるかもしれませんが、実はそのほとんどは一時的なエラーに過ぎず、深刻な問題ではありません。とはいえ、EVENTVWRと呼ばれるプログラムをユーザーに実行させて実際にエラーを示すことで信じ込ませるこの手口は、やり方自体は賢いといえるでしょう。
  • この調査には、通常は調査対象国として選ばれることが多いオーストラリアが含まれていません。CNETは、調査時点で問題が発覚した国のみを対象としたと説明していますが、これは正しくありません。また、確かに他の英語圏のユーザーが標的とされやすいのは事実ですが、詐欺師が他言語のユーザーに狙いをつけ始めている可能性も十分にあるのです。
 
マルウェアランキングトップ10
 
1. INF/Autorun [全体の約6.72%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。

 
2. Win32/Conficker [全体の約3.82%]
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。

 
3. Win32/Sality [全体の約1.98%]
前回の順位:4位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。

また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。

 
4. Win32/PSW.OnLineGames [全体の約1.88%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。

 
5. Win32/Autoit [全体の約1.39%]
前回の順位:8位
Win32/Autoitはリムーバブルメディア経由で感染を広げるワームで、一部の亜種はMSNを介しても拡散します。悪意のあるWebサイトからダウンロードされたファイルとしてシステムに到達しますが、別のマルウェアによってドロップされる場合もあります。システムが感染すると、実行ファイルを検索し、自身のコピーと置き換えます。ローカルディスクとネットワークリソースにコピーします。実行されると、新たな脅威や自身の亜種をダウンロードします。
システムが起動するたびに自動的に実行されるようにするため、システムレジストリに実行ファイルへのリンクを追加します。
6. HTML/Iframe.B.Gen [全体の約1.24%]
前回の順位:7位
HTML/Iframe.B.GenはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザをリダイレクトします。
 
7. Win32/Bflient.K [全体の約1.13%]
前回の順位:9位
Win32/Bflient.Kはリムーバブルメディア経由で感染を広げるワームです。バックドアの機能を備えており、 リモートからコントロールすることが可能です。このワームは、感染メディアがPCに挿入されるたびに自身が実行されるよう設定を変更します。
 
8. HTML/StartPage.NAE [全体の約1.04%]
前回の順位:5位
HTML/StartPage.NAEは、Windowsのレジストリを変更して特定のWebサイトを宣伝しようとするトロイの木馬です。プログラムコードは通常、HTMLページに埋め込まれています。このマルウェアは、Microsoft Internet Explorerを起動したときに最初に表示されるWebサイトを変更することを目的としています(ブラウザが影響を受けている場合のみ)。このようにして、特定のWebサイトを宣伝し、訪問者を増やして収益を上げようとします。HTML/StartPageの亜種は、影響を受けているユーザーを次のWebサイトにリダイレクトします。hxxp://duzceligenclik.com
 
9. HTML/ScrInject.B [全体の約0.92%]
前回の順位:11位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
 
10. Win32/Autorun [全体の約0.86%]
前回の順位:10位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。このファイル単体では脅威にはなりませんが、バイナリファイルと組み合わさって拡散機能を持つようになります。
 
 
マルウェアランキングトップ10(グラフ)
 
2011年6月の結果グラフ
 
ESET社について
 
ESETは、セキュリティソフトウェアのグローバルプロバイダです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。
 
ESETが提供するその他の情報源
 
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
 
 
 
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!