MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2011年7月 世界のマルウェアランキング

この記事をシェア
2011年7月の月間マルウェアランキング結果発表
 
目次
 
 
特集記事:アイルランドに学ぶパスワードのセキュリティ対策
Urban Schrott、ITセキュリティおよびサイバー犯罪担当アナリスト、ESETアイルランド
 

「Safe Hex(ダウンロードしたソフトのウイルスチェック)」という表現をご存知でしょうか。これは、「Safe Sex(感染症予防の安全な性行為)」をもじった注意喚起の言い回しです。目的は少々異なるとはいえ、いずれも安全面への配慮からすれば声高に叫ばれるべきフレーズです。にもかかわらず、「Safe Hex」の方は、ここ最近は耳にする機会が減ってきているように思われます。

アンチウイルスソフトウェアのメッセージがポップアップされたら、あなたは指示に従いますか?それとも無視しますか? アンチウイルスソフトウェアが危険と判断してフラグを立てたWebページにアクセスしますか? 危険とみなされたプログラムはどうでしょう?実行しますか? これらは、ESETアイルランドの委託を受けてAmarachが実施した最新のコンピューターセキュリティ調査で、アイルランドのユーザーに尋ねた質問の一部です。

結果はやや衝撃的でした。調査対象となったコンピューターユーザー1000人のうち、34%がアンチウイルスソフトウェアのアラートを無視していることが判明したからです。結果をユーザーのステータス別に以下にまとめます。

  • 最も問題がある(最もリスクが高い)と示されたのはダブリン地域在住の若年男性(15~24歳の54%、男性の35%、ダブリン在住者の41%が警告を無視)
  • 最も良好である(最も安全である)と示されたのはコノートまたはアルスター在住の55歳以上の女性(55歳以上ではわずか23%、女性の33%、北部在住のユーザーの31%が警告を無視)
  • 一方で、調査対象の4%はまったくアンチウイルスソフトウェアを使用していない (若年層では8%、ダブリン在住者は5%)

調査で収集したデータをそのままアイルランドの人口に当てはめてみると、最大120万人のユーザーは自分のコンピューターを故意に感染させようと仕向けているという実態が示唆されます。女性の方が警戒心が強い反面、若年男性の大部分は内容をよく把握せずに、気に入ったら何でもクリックしてしまうようです。このような姿勢を続けていると、膨大な量の書類の紛失やコンピューターの再設定、ストレス増大など、まさしく骨折り損のくたびれ儲け、といった結末が待っています。ただし、David Harleyが別の記事で指摘しているように調査結果の鵜呑みは禁物です。「よく練られた調査であれば、さまざまな有益な情報が得られる。しかし、この種の調査は、大規模な人数における実態を表す指標にはならないのが通常だ」。

わたしは調査結果に対し次のようにコメントしました。

「リスク因子とユーザーのステータスの関係を追ってみると、自分には経験が十分あり、『自分の行動は絶対に安全だ』と思い込んでいるユーザーほど、感染リスクを高める行為を自ら進んで行っていることがわかる。これは若年男性で特に顕著な傾向で、思うままにプログラムを実行したり、Webサイトを閲覧したりするなど、リスクを顧みない行動を取るユーザーが多い。一見矛盾しているように聞こえるかもしれないが、あまりコンピューターに精通していないユーザーの方がセキュリティ対策にははるかに慎重だ。残念だが、こればかりはどれだけ優秀なアンチウイルスプログラムが登場してもどうにもならない。警告を無視したり、セキュリティプロトコルをリバースエンジニアリングしたりすれば、何の意味も持たなくなる」。

David Harleyはその後、次のように述べています。

数年前、電話サポートのバックアップを主に担当していたとき、アンチウイルスソフトウェアを更新していない、あるいは更新することができないエンドユーザーに定期的に遭遇した。また、中にはウイルスとは関係のない問題を訴えるユーザーもいたが、実際に彼らのアンチウイルスソフトウェアを確認してみると、無効になっていたり、別の製品と置き換えられていたりしていることが判明した。極端な例では、明らかに危なそうに見えるのに何が起こるか気になってクリックしてしまった、という真の強者までいた。

Urban氏の見解は、法人向けサポートの任務に就いていたわたしの経験と一致する。技術面の知識不足を懸念しているユーザーは、推奨される慣習に従い、それでもわからなければサポートセンターにまで電話をする傾向にある。とはいえ、こうした問題は解決するのが比較的簡単であることも多い。その反面、自分のシステム、さらには他のユーザーのシステムに不具合が生じるまで助けを求めず、挙句には週末にもかかわらず「システムを再構築してください」と泣きついてくるユーザーは、自らの能力を過信しているに過ぎないのだ。

 
ロシアのラボからすぐれたレポートが発表
David Harley、ESETシニアリサーチフェロー
 

ESETロシアのラボから最近、Aleksandr MatrosovとEugene Rodionovが中心となって進めたすぐれた研究が数多く発表されています。わたしもごく最近取り上げましたが、このレポートを毎月お読みになっている皆さんは、彼らのStuxnetの研究に対する貢献をおそらく認識されていると思います(メディアでは軽視されがちなのが残念です)。また、TDSSマルウェアファミリーに関する研究も現在進行中です。現在は第4世代にあたるTDSSボットネット(TDL4)は、非常に洗練されたマルウェアです。わたし達は最近、最新の動向を盛り込んだホワイトペーパー「The Evolution of TDL: Conquering x64」の改訂版を発表しています。かなり前になりますが、わたしが実践的な研究を進めていたときは、ロシアとスロバキアのラボのメンバーと密接に協力しました。さながら、わたしの役割は「シャーロック・ホームズ」を支える助手「ワトソン博士」であったとでも言いましょうか(実際のワトソン博士ほど記録係としての役目は果たせませんでしたが)。それはさておき、ピアツーピア(P2P)モデルへのTDL4の移行の重要性について一般向けの説明を求められたので、以下で再び解説します。

PCがボットに感染すると、感染マシンで構成されるネットワーク「ボットネット」の一部になります。ここで、各感染PC(ゾンビPC)上のマルウェアに、ボットネットを管理する攻撃者が命令を出せるようにする必要が生じます。たいていは、通信は双方向型が求められます。ボットネットの目的によっては、「ボットネット管理者」にデータを返す必要もあるからです。その場合、一部のマシンを「指令(C&C)」サーバーとして設定するのが双方向通信を確立する最も一般的な手法です。1台のサーバーから多くのクライアントPCにサービスを提供する、悪意のあるクライアントサーバーモデルと考えてください。非常によく機能しますが、犯罪という観点から見ると、このアプローチには欠点があります。

ゾンビ化したPCに情報を提供し、命令を出しているC&Cサーバーの一部または全体を見つけ出して、廃棄することができれば、いわばゾンビの弱点である頭を潰したようなものです。司令塔を失ったゾンビPCはもはや、サーバー上でボットネット管理者(ゾンビPC管理者)の目論見通りに動作することはできません。

Kademlia P2PプロトコルでTDSSに感染しているマシンは、クライアントPCとサーバー両者の役割を果たします。すべてのボットネットは悪意のある形式で分散処理をしますが、このアプローチでは分散されたデータも有効に利用されます。情報はネットワーク内のすべてのマシンで共有され、感染PCは必要な情報をネットワーク内の他の感染PCから入手する可能性があります。ハードディスク上にいわば仮想の電話帳を隠しておくので、お互いの居場所も把握しています。隣接ノードの数が10を下回ったときにのみ、C&Cサーバーと交信します(現実の世界でいえば、近隣住民が皆引っ越してしまったため、新しい電話帳を注文する必要がある世帯主のようなものです)。

これはTDL4が絶対に破壊できないということにはなりませんが、大規模なボットネットを一度に無効にするのは困難であることを意味しています。

残念ながらその後、P2P技術を取り入れたボットネットは破壊できなくなるという考えが広まっています。Randy Abramsは次のように述べています。

「ボットネットを破壊不可能とするのは、インターネットが持続不能であると言うに等しい (中略) わたしはTDLの『T』が本当は『タイタニック(Titanic)』のTを表しているのではないかと考えている。やがて水面下にある巨大な氷山が顔を出し、ボットネットを残らず飲み込んでくれるのだと信じたい」。

たとえスパム送信が止まったボットネット「Rustock」ほどの成果は上げられなくても、破壊できないボットネットはないという意見には同意します。 しかし、TDSSはP2Pネットワークやマルウェアの隠ぺいなど、従来とは異なる新しい手法を用いています。例えばこれまでのマルウェアが不良セクタやスラックスペース、代替データストリームを潜伏場所に悪用しているのに対し、TDLプログラムは隠しファイルを装います。

そのうえ、順応性にもすぐれています。また、DogmaMillionsやGangstaBucksのようなサイバー犯罪グループがブラウザーのツールバーの配布などに用いられるシステムを悪用した、マルウェアのインストール毎にボットネットの所有者が対価を得るペイパーインストール(Pay Per Install=PPI)ビジネスモデルは、こちらの記事で解説しているように非常に効果的です。そして、完膚なきまで相手を打ちのめします。しかし、破壊できないマルウェアはありません。

新しい話題では、Win32/Cycbotファミリーのマルウェアを配布した「Ready to Ride」と呼ばれるサイバー犯罪グループが注目を集めています。ドメイン名の登録日から判断すると、このグループが活動を開始したのは昨秋です(readytoride.suは2010年9月8日に登録)。主な活動は、検索エンジン(Google、Bing、Yahoo)の検索結果の置換(インデックスハイジャッキング)とクリックジャッキングでした。「Ready to Ride」グループはロシア発祥ですが、Win32/Cycbotは国外から配布されています。インストール当たりの価格に着目すると、グループの主な標的は米国です。

Win32/CycbotもPPIスキームを基に配布されますが、P2Pボットネットモデルは現在使用されていません。悪意のある実行ファイルをダウンロードするため、各パートナーは代金を払ったURLを使用し、有効になったら命令を受けるC&Cサーバーに現在のステータスを送信します。C&CサーバーのURLはWin32/Cycbotの実行ファイルにハードコードされ、Win32/Cycbotの新しいバージョンのダウンロード時にアップデートされます。Cycbotは、Javaスクリプトの挿入やWeb検索結果の改ざん、HTMLコードの修正を行って、ネットサーフィンしているユーザーになりすまし、クリックジャッキングをブロックするシステムを妨害します。また、幅広く使用されているブラウザー(Internet Explorer、オペラ、Firefox)の設定も変更することができます。Win32/Cycbotはマルチスレッドのアプリケーションです。ボットの単一インスタンスで何十ものタスクを同時に処理することが可能で、広告のクリックやSEOポイズニングなどを実行します。

ロシアのメンバーによる最新の知見は、Robert Lipovsky、Aleksandr Matrosov、さらにはGroup-IBのDmitry VolkovがCARO2011で発表したプレゼンテーション「Cybercrime in Russia: Trends and issues」で以前言及されたマルウェアファミリーであるWin32/Hodprotに関連しています (それにしても、客観的に見ても同ワークショップでは1、2位を争うすぐれたプレゼンテーションでした)。

Win32/Hodprot関連で銀行を狙った詐欺事件では、被害額がいずれも相当な金額に及びました。平均すると、一件当たり数十万USドルが盗み出されています。

さらに興味深いことに、Win32/Hodprotボットネットはロシアの銀行を狙った詐欺で使用されている他のボットネットとつながりがありました。実は、被害者のマシン上にWin32.Sheldor、Win32/RDPdoor、Win32/Platcyberをダウンロードするために使用されたのがWin32/Hodprotだったのです。Win32/SheldorやWin32/RDPdoorが最も活発だったと見られる期間が、Win32/Hodprotの場合と一致します。

その実装の詳細を考慮すると、Win32/Hodprotは非常に複雑な脅威といえます。感染したシステムの奥深くまで忍び込み、長い間潜伏します。このマルウェアの主要なモジュールは、ファイルシステムのファイルとしてではなく、システムレジストリ(HKLM\SOFTWARE\Settings)に格納されます。このため、フォレンジックが非常に困難になります。該当するファイルがファイルシステムにはないため、悪意のあるペイロードが見つかりにくいためです。しかも、ペイロードは複雑にカスタマイズされた暗号化アルゴリズムに依存します。Win32/Hodprotは高度な技術を駆使してシステムに感染し、他のマルウェアとは異なり自身の姿を隠します。ロシアのラボは、まもなくこの脅威に関する詳細な分析結果を発表する予定です。

 
来年はモバイルデバイス20台に1台がマルウェアに感染?
 

昨今のモバイルデバイスはフル装備のデスクトップPCに劣らぬ高い処理能力を備えており、しかもポケットに収まる小型サイズであるため、「働きづめ」の現代人には心強い味方でしょう。ましてや同時に複数の仕事を抱えているのであれば、作業をスムーズにしてくれるこんな便利なツールを使わない手はありません。所詮、ちょっと機能が追加された電話なのですから、気軽に使えるのではないでしょうか。さて、アプリをインストールしようとすると、許諾がどうのと書かれた長々とした文章が表示されると思います。はたして、たとえ電車がやって来ても気に留めず、一字一句漏らさず熟読する方はどれだけいるでしょうか。

問題は、「働きづめ」の現代人の多くが、このような便利なデバイスにますます個人情報を登録するようになっている点にあります。そして最終的には、生活のすべてを支配されてしまうのです。わたしがもしAndroidを家に忘れたとしたら、たとえ車をすでに数キロ走らせていても慌ててUターンして取りに帰るでしょう。それだけ、モバイルデバイスはわたし達の生活の一部となっています。一方で、ハッカー達もこの状況を認識していることに留意してください。彼らが他ならぬ悪意のあるアプリを使えば、運転中であろうが被害に遭うことだってあり得るのですから。例えば、あるアプリをダウンロードしたものの、わずか数回使ったきり忘れてしまい、別のアプリをダウンロードした経験はありませんか。その裏ではユーザーが入力した豊富な個人情報がこっそり収集されています。挙句、知らないうちに勝手にプロフィールを作成され、最終的に最高入札者に売られてしまうのです。

Trusteerが最近発表したレポートは、この問題に言及しています。Trusteerは、家庭で使用されるさまざまなモバイルデバイスの20台に1台が今後12か月で金融情報を狙うマルウェアに感染すると予測しています。これは卑劣なハッカー達の実力をまざまざと見せつけられたようなもので、わたし達は厳粛に受け止めるべきでしょう。TrusteerのCEOであるMickey Boodaei氏は次のように説明しています。「彼らの高い技術力をもってすれば、モバイル用のマルウェアで過去最大規模のセキュリティ上の問題を引き起こすのも可能だろう。ただし、1つ問題がある。モバイルデバイスを使うかは、ユーザー自身の判断に委ねられる点だ」。しかし、ハッカー達は慌てる必要はないでしょう。最新のモバイルデバイスがリリースされたら、ユーザーは一斉に飛びつくからです。そして、遅かれ早かれ彼らの生活の中心に居座るようになるのです。

モバイルデバイスがますます普及し、ユーザーの生活に密接になれば、買い物もモバイルデバイスで済ませようとする傾向が強くなるでしょう。こうして富裕層がターゲットにされるという状態に落ち着くのです。Boodaei氏は続けます。「モバイルデバイスでオンラインバンキングを利用しているユーザーは、それほど多くはない。そのうえ、多くの銀行のWebサイトでは、モバイルデバイスによる取引にまだ対応していない。オンライン詐欺ではたいてい大きな金額が狙われるため、モバイルバンキングの利用者が攻撃を受ける可能性は今のところ低いと見られるが、来るべき変化に備えなければならない。今後1年の間に、自分の携帯電話からオンラインバンキングを始めるユーザーが増加し、新しいタイプの経済活動が確立されていくだろう。その一方で、ハッカー達は息を潜めて、攻撃開始のタイミングを見計らっている」。

そんな混沌とした状況の到来を前にして、自分自身と金融情報を守るためには何をすべきかわからなくて不安に感じている方もいるでしょう。そこで、ユーザーの皆様を正しい道へと導く簡単な方法を2つご紹介します。いずれも長時間集中するのが苦手な人(わたしも含め)にはおすすめです。他にも有効な対策はありますが、ここでは大幅な変更を必要とせず、すぐに実践できるものを取り上げます。

  1. アプリをインストールする際は、事前に2分程度(時間があればもっと)、他のユーザーの評価にざっと目を通しておく。その会社は信頼できるか、ユーザーは不満をもらしているか、といった疑問を解消できるようにする。
  2. インストールする際にアプリに対する権限の昇格を求めるプロンプトが表示されたら、すぐにクリックせずに慎重に検討する。単純なアプリであれば、使用しているデバイスに関する詳細情報を提示する必要はないため、もし要求された場合は、その理由を確認する。

ベンダー各社もモバイルデバイス用のアンチマルウェア製品をリリースしており、市場がますます活況となると見込まれます。とはいえ、セキュリティやモバイルの世界に「絶対安心」という言葉はありません。「ちょっと怪しいな」と思ったら、少しでもいいので時間を取って調べるなど、行き過ぎない程度で詮索する習慣を身に付ければ、快適なオンライン生活を送ることができるでしょう。

 
ボットネット犯罪におけるお金の流れを追跡
 

スパムやボットネットが大きなビジネスであることは、もはや周知の事実です。なじみの深いテーマであるため、さまざまな調査が実施されていますが、何も気づいていないユーザーを罠に掛けたあと、彼らのお金はどうなるかご存知でしょうか。そんな疑問の解明に乗り出したのがカリフォルニア大学でした。最近発表したレポート「Click Trajectories: End-to-End Analysis of the Spam Value Chain」では、犯罪者の手に渡るのを途中で阻止しようと、お金の流れを分析しています。

ボットネット運営者がサイバー犯罪で得た儲けをすばやく「キャッシュアウト」してくれる場所は限られているようです。この世界のお決まり事とも言うべきか、利用されていたのはほんの一握りの銀行だったことが調査で明らかになりました。具体的には、不正活動による現金の引き出しの95%がわずか3つの金融機関で発生していたのです。これは、お金のフローチェーン(鎖)全体における小さなリンク(環)ですが、「封鎖」地点としては大きな意味があります。これら銀行を停止すれば、他の部分も不安定になります。ボットネットをはじめとするサイバー犯罪との戦いは永久的な「モグラ叩き」のようなもので、1つの問題を解決しても、たちまち新たに10の問題が発生します。それでも銀行から流れるお金を食い止めれば、彼らは破滅の一途を辿るでしょう。つまり、この理論は正しいのです。

レポートでは、お金のフローチェーンは次の3つの段階に大別できると論じています。

  1. 広告
  2. クリックの促進
  3. 収益化

広告の段階は、受信トレイがパンクするほど膨大な量のメールが送られてくるといった、ユーザーの被害に関する数値データが豊富にあることから、調査の対象とされるケースが多いのですが、これはチェーンにおける1つのリンクに過ぎません。今日では、ボットネット運営者は最高入札者にボットネットを貸して、大規模な詐欺活動向けのプロバイダとしての色合いをますます強めるなど、ネットワークにおける階層化が進んでいます。

さらに、活動における他の多くの局面が融通無碍である一方、金融機関の変更はスパム運営者にとって手間と時間がかかる作業です。というのも、「新しい銀行に乗り換えるには、セットアップフィーのほか、より重要な時間を費やす羽目になる。銀行で正当なビジネス口座を直接開設するには、銀行やカード協会、支払い処理業者とのやり取りが必要になり、通常は多くのデューディリジェンス(審査手続き)も伴うため、数日から数週間の遅れが生じる」ためです。

オンライン取引で多くの質問を要求しない銀行は、ごく限られた地域に集中しているようです。その大半は、セントキッツ・ネービス、アゼルバイジャン、ラトビア、ロシアのわずか4か国に所在します。他の地域でもこのような銀行はありますが、調査の対象となった取引のほとんどを処理していたのは上記の国の銀行でした。これらの銀行を適切にコントロールできれば、スパムネットワークの多くが他の地域での再編を余儀なくされるのは明らかです。再編には時間と手間がかかるため、当面は収益が低下し、ボットネット運営者に一泡吹かせることができるでしょう。

これは確かな成果が期待できそうですが、広範囲に及ぶ地域の金融機関の取り締まりは難航する可能性があります。それでも、潜在的な封鎖地点としては注目に値します。適切に規制できれば、ボットネットとの戦いにおける強力な味方となるかもしれません。

 
ラテンアメリカで「Anonymous」による攻撃が頻発
 

先月、大統領や有名なアーティストなど著名人を狙った脅威拡散活動がラテンアメリカで数多く発生しました。 これまでに、コロンビア、グアテマラ、ブラジル、ベネズエラといった国で確認されています。

謎のハッカー集団「Anonymous」が今月、ターゲットとしたのはコロンビアでした。グループは、フアン・マヌエル・サントス大統領のFacebookアカウントを乗っ取り、7月20日に開催される同国の独立記念日の祭典を中止すべきだと主張するYoutube動画を投稿したのです。さらに、前大統領アルバロ・ウリベ氏のTwitterアカウントも感染し、この動画へのリンクが貼り付けられました。

現職の大統領、前大統領はともにアカウントの乗っ取りは事実であると認め、この暴挙に及んだハッカー集団を非難しました。

ブラジルでも、同グループによる非常に大規模な攻撃が発生しました。マルウェア2種が使用されており、同国の銀行を狙ったフィッシング攻撃を介して8000件以上のHotmailアカウントが盗み出されました。盗まれたアカウントは同地域に脅威を拡散させるために悪用され、5日もしないうちに、27000人以上のユーザーを偽のWebサイトへと引きずり込んだのです。

同グループによる今回の手口は、ソーシャルエンジニアリングを利用した攻撃手法の1つで、2月頃から確認されていました。同じ手法を用いた攻撃ではいずれも、乗っ取られたメールアカウントから偽のメールが送信されています。

ラテンアメリカにおけるマルウェア開発は、ここ数年にわたり拡大を続け、地方銀行など多くの金融機関の利用者をターゲットとした攻撃が開始されています。ブラジルはいまやラテンアメリカのみならず、世界でも有数のフィッシング用トロイの木馬の開発国となっています。

 

 
マルウェアランキングトップ10
 
1. INF/Autorun [全体の約6.51%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。

 
2. Win32/Conficker [全体の約3.88%]
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。

 
3. Win32/Sality [全体の約2.03%]
前回の順位:3位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。

また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。

 
4. Win32/PSW.OnLineGames [全体の約1.67%]
前回の順位:4位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。

 
5. HTML/Iframe.B.Gen [全体の約1.67%]
前回の順位:6位
HTML/Iframe.B.GenはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザをリダイレクトします。
 
6. HTML/ScrInject.B [全体の約1.56%]
前回の順位:9位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
 
7. Win32/Dorkbot [全体の約1.47%]
前回の順位:11位
このワームは、リムーバブルメディアを介して感染を広げます。このワームはバックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。

 
8. Win32/Autoit [全体の約1.27%]
前回の順位:5位
Win32/Autoitはリムーバブルメディア経由で感染を広げるワームで、一部の亜種はMSNを介しても拡散します。悪意のあるWebサイトからダウンロードされたファイルとしてシステムに到達しますが、別のマルウェアによってドロップされる場合もあります。システムが感染すると、実行ファイルを検索し、自身のコピーと置き換えます。ローカルディスクとネットワークリソースにコピーします。実行されると、新たな脅威や自身の亜種をダウンロードします。
システムが起動するたびに自動的に実行されるようにするため、システムレジストリに実行ファイルへのリンクを追加します。
9. HTML/StartPage.NAE [全体の約1.08%]
前回の順位:8位
HTML/StartPage.NAEは、Windowsのレジストリを変更して特定のWebサイトを宣伝しようとするトロイの木馬です。プログラムコードは通常、HTMLページに埋め込まれています。このマルウェアは、Microsoft Internet Explorerを起動したときに最初に表示されるWebサイトを変更することを目的としています(ブラウザが影響を受けている場合のみ)。このようにして、特定のWebサイトを宣伝し、訪問者を増やして収益を上げようとします。HTML/StartPageの亜種は、影響を受けているユーザーを次のWebサイトにリダイレクトします。hxxp://duzceligenclik.com
 
10. VBS/StartPage.NDS [全体の約0.97%]
前回の順位:48位
このトロイの木馬は、特定のWebブラウザーに設定されているホームページを変更します。
 
 
マルウェアランキングトップ10(グラフ)
 

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年7月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち6.51%を占めています。

 
2011年7月の結果グラフ
 
ESET社について
 
ESETは、セキュリティソフトウェアのグローバルプロバイダです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。
 
ESETが提供するその他の情報源
 
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
 
 
 
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!