MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2011年8月 世界のマルウェアランキング

この記事をシェア
 
 
2011年8月の月間マルウェアランキング結果発表
 
目次
 
 
特集記事:休暇の予定をSNSに書き込むアイルランドのユーザー
Urban Schrott、ITセキュリティおよびサイバー犯罪担当アナリスト、ESETアイルランド
 

待ちに待った長期休暇を目の前にして、楽しみのあまり、ついつい休みの予定を周りに言いふらしたくなってしまう人も多いのではないでしょうか。アイルランドで実施した調査では、公言派が秘密派とほぼ同じくらいの割合を示しています。

シーズン到来とともにわたし達の頭の中を駆け巡ったのは、アイルランドのユーザーが休暇の計画をどの程度ソーシャルメディア上で公開しているかという疑問でした。予定の公開は、この日からこの日は家を空けるといった親切なお知らせでは済まない場合があります。言わば、侵入するにはもってこいの日を泥棒に教えているようなもので、セキュリティ上の重大な問題として懸念されています。最近では、こうした情報を利用して、休暇中のユーザーの友人から金銭を巻き上げようとするサイバー犯罪者が増えています (この種の詐欺は「ロンド二ング」と呼ばれることがあります。ただし、ここで説明しているように被害はロンドン以外でも発生しています)。

ESETアイルランドのサイバー犯罪担当アナリスト、Urban Schrottは次のように述べています。「あるユーザーがランサローテ島で休暇を過ごす予定であると自分のFacebookのプロフィールに書き込んだとします。一方、サイバー犯罪者は公開されているFacebookアカウントをこまめにチェックして、こうした情報を入手すると、あたかもそのユーザーから送信されたような偽のメールをいとも簡単に作成します。そして、『ランサローテ島で強盗に遭ったので、手続きを済ませて、無事帰国できるように500ユーロを送ってほしい』とメッセージを添えて、追跡不可能なWestern Unionで送金するようアカウントに登録されている友人達に要求するのです。このような詐欺は信ぴょう性が高いせいか、慢性的に発生しています。具体的な休暇場所が明示されている分、メッセージを信じてしまい、『困っている友達』のために送金してしまうケースが多発しています。そして、その友達であるユーザーが休暇から戻ってきて初めて強盗被害が嘘で、当の本人もまったく知らなかったことが判明し、騙されたことに気付くのです」。

ESETアイルランドが最新実施した調査では、アイルランドのユーザーにソーシャルメディア上でどれくらい休暇情報を公開しているか質問しました。すると、ソーシャルメディアサイトには絶対に旅行の計画を書き込まないと回答した成人ユーザーは3分の1に上ることが判明しました。その反面、毎回書き込んでいるユーザーは約10分の1、特定の友人にのみ公開を許可しているユーザーも同じく10分の1を占めることも明らかになっています。だれにでも個人情報を教えてしまうことがセキュリティを確保するうえで最も避けるべき行為だとするならば、こうしたユーザーは全体のわずか9%に過ぎません。それでも、予定をときどき書き込むユーザーは13%、特定の友人にのみに公開を許可しているユーザーは8%に上ります。合計すると、回答者のほぼ3分の1が多かれ少なかれ休暇情報を公開しており、自分自身と友人を危険にさらしていることになります。

調査結果の詳細は、次のとおりです。

mal1108_pic01.gif

もう一つの興味深い事実は男女間での違いです。旅行前に書き込む男性ユーザーが11%であるのに対し、女性はわずか7%、さらに旅行から帰ってきて書き込むのが男性は9%で、女性は16%と差が浮き彫りになっています。また、地域間で比較すると、最も賢いと評価されたのはレンスター在住のユーザーでした。絶対に予定を書き込まないと回答した割合が最も高い一方で、必ず書き込んでいると回答した割合が最も低いなど、休暇を過ごす場所を安易に公言しない慣習が浸透しているようです。

ESETアイルランドでは、オンライン上の行動には細心の注意を払い、いかなる形であれ個人情報が悪用されるリスクを最小限に抑えるために、公開する情報の内容はよく吟味するよう推奨しています。

 
政府はどこまでソーシャルメディアに介入すべきか
David Harley、CITP FBCS CISSP、ESETシニアリサーチフェロー
 

この記事の初版は、SC MagazineのCyberCrime Cornerに以前発表

英国で最近問題になっている暴動は、果たしてそこに本当に政治的な信念があるのかどうかはさておき(テレビを盗んだり、負傷者から金品を奪ったりする行為に正義を見出すのは困難でしょう)、従来見慣れたサイバー犯罪とは異なる性質を持っているようで、ITそのものの存在意義が問われる形になっています。というのも、暴動参加者らは、TwitterやFacebook、Blackberry Messengerを使って連絡を取り合っているからです。では、ソーシャルメディアの使用に圧力を加えるべきでしょうか。ここで浮上してくるのが、民主主義国家による情報の流通への介入という矛盾です。

ドイツの小説家トーマス・マンはかつて、「政治を軽蔑するものは、軽蔑すべき政治しか持つことができない」と記しました。わたしは、この主張は正しいと思います。すべての「政治活動」が権力を手にした一部の人間によって行われる状況は、本来守るべき国民をほったらかしにして、お山の上の大将を気取っているようなものです。しかしだからこそ、インターネットという影響力の強い道具が普及したことが社会を必ずしも良い方向へと導かず、1回のサービスあるいは1回のプロトコルの実行でも良い影響はもちろん悪い影響を及ぼす可能性もあるのも頷けます。

英国政府は、FacebookやTwitter、さらにBlackberryを開発したRIMに規制の策定への協力を要請しています。この唐突とも思える表明の裏には、この状況下ではメディアの自由などと甘いことは言っていられないという政府の危機感の現れが見て取れます。自由を求める運動は、国家にとって社会的な脅威となります。どうやら、Blackberry Messengerを遮断することと、グレートファイアウォール(中国政府が採用している国家規模のファイアウォール)の区別ができていないのは中国だけではないようです。

実は、今回の問題には本質的に目新しい点は何もありません。犯罪性のある文書は、普通郵便でも簡単に送り付けることができますし(時間はかかるかもしれませんが)、頻繁ではないにせよ、状況に応じて取り締まり機関が不審と思われる文書や電話を確認するケースもあります。例えば、小児性愛者や爆弾犯の犯罪予告を目にしたときに彼らの意思を尊重しようと思う人はそういないでしょう。では何が違うのかというと、その答えは、このスマートフォン全盛の時代における最近のソーシャルメディアがもたらした即時性にあります。正確にいえば、メディアの即時性と可視性です。これは、Blackberryをはじめとする高性能なスマートフォンがあれば、実質場所を問わずだれでもすぐにTwitterやFacebookを利用できるという単純なものではありません。

例として、簡素なSMS(テキスト送受信サービス)で考えてみます。TwitterをはじめとするSMSベースのサービスは、コンテンツという面では、それほどテキストの可能性を広げていません。しかし、1つのテキストがリーチできるユーザーの数は革命的です(試しに@LuzSecをチェックしてみてください)。だからこそ、仮にあなたを誹謗、中傷するツイートや投稿があった場合、あっという間にオンラインの世界全体に拡散してしまうという事態も発生します。当該のベンダーと英国の内務大臣との話し合いでは、いくつかの州でRIMによる暗号化されたメッセージが日常的に傍受されることを承認するか、正式な令状の裏付けを基にリクエストに応じて傍受を認めるかといった議論にまで発展すると見られます。多分、そのような法的プロセスに先駆けて、一般的な情報提供に関する協定がおそらく増えるでしょう。

とはいえ、近い将来に英国で一般化されたグレートファイアウォールが採用されるとは思いません。Cameron CampがESET Threatブログでも取り上げた、「Killswitch Bill(キルスイッチ法案:緊急時にインターネットを規制できる権限を米国大統領に与える)」法案でちょっとしたテコ入れをしても、現在問題視されているサービスはおそらくあまりにも規模が大きく普及が進んでいるので、その成果は未知数です。

他方、主要なソーシャルネットワーキングプロバイダーにとっても、これだけの規模や普及率を鑑みれば、従来の電子メールプロバイダーのような「メッセージの送受信を管理するだけで中身には一切手を触れない」という態度を取り続けるのは難しいはずです。ソーシャルメディアを悪用した大規模な犯罪は、無視できないほど至る所で発生しています。英国の暴動関連の逮捕や出廷に関する記事を、以下にいくつか地域別にランダムにピックアップしたのでご覧ください。

 
ESETが語るPUAに潜む問題
 

今月、ESETの上級研究者Aryeh Goretskyは、ホワイトペーパー『Problematic, Unloved and Argumentative: What is a potentially unwanted application (PUA)?』を執筆しました。以下は、シニアリサーチフェローのDavid Harleyとの、その内容をテーマにした対談です。

David Harley(以下、DH): 過去10年で一般大衆のセキュリティ意識は大幅に向上していますが、マルウェアのタイプを区別するのは概して苦手としているようです。一方、わたし達アンチウイルスの専門家は、セキュリティ業界の幅広い関係者からさえも「マルウェアを完全に検出する高い技術を有しているはずなのに実践せず、何とも胡散臭いマルウェアの分類法に関する話を持ち出してばかりいる」などとしばしば非難されます。しかし、フォーラムやメディアで話題に上がりやすい1つの問題がここに存在します。それは、破壊的なマルウェアやパスワードのハッキングのリスクと照らし合わせると、「ユーザーにとって好ましくない動作をする可能性がある」という言い回しが漠然としていて位置付けが困難であるという点です。例えば、アドウェアはそれほど問題視すべきでしょうか 。

Aryeh Goretzky(以下、AG): 確かに、この種のプログラムがここにきて一層増えているのは確実です。かつてアンチマルウェアベンダーは、プログラムに悪意があるかどうかをイエスかノーで明確に決定していました。古典的なコンピューターウイルスは、自己複製を繰り返す性質のため特定が可能でした。同様にトロイの木馬もその秘密裏に実行される一連の動作から特定できますし、こうしたプログラムの裏にいるサイバー犯罪者も同じように分類されていました。ところが今日では、報告される脅威の数はここ数十年と比較して桁違いに膨れ上がりました。そのため、これらの悪意のあるコード、そしてそれを操るサイバー犯罪者が大幅に増えて、これまでは白と黒しかなかった単純なカテゴリーにグレーゾーンという大きな領域が加わっているのです。そのような脅威の分類方法を決定するにあたっては、その目的、悪用される可能性や見込み、こうしたソフトウェアを実際に利用しようとするユーザーの割合、その他の基準に着目します 。

DH: それはよくわかります。ただ、わたしはホワイトペーパーを実際に読みましたし、業界に属しているからこそ理解できます。一方で、こうした情報が得られない人々からしたら、別の疑問が浮かんでくるのではないでしょうか。例えば、PUA(ユーザーにとって好ましくない動作をする可能性があるアプリケーション)がそんなに重要であるならば、PUAの検出がデフォルトで設定されていたり、オプションとされていたりとベンダー間で対応が異なるのはなぜか不思議に思うかもしれません。

AG: その点については、いくつかの要因が絡んできます。製品の対象とするユーザーのタイプ(企業、個人、または両方)、ベンダーが製品資料に記した検出される脅威、ユーザー要件などが考えられます。ESETでは、PUAを検出するかどうかの決断はユーザーに委ねています。というのも、こうしたプログラムを自分のコンピューターで許可するかどうかは、最終的にはわたし達ではなくユーザー自身が決定すべきだと考えているからです。反対に、それ以外の正規のプログラムにはPUAであるコンポーネントがバンドルされるかもしれませんが、それをインストールするかどうかはやはりユーザー次第となります。ユーザーに選択権を与えることは一部のPUAベンダーのコンセプトでもあります。もちろん、ユーザーへの説明がなくプログラムの一部とされているPUAもありますし、ユーザーにインストールする選択権を与えないベンダーもいます。

DH: AMTSO(Anti-Malware Testing Standards Organization)のディレクターとしての立場から質問しますが、それでは製品のテストに問題を引き起こすのではないでしょうか。これは、少し意地の悪い質問に聞こえるかもしれませんが。

AG: そうですね。アンチマルウェアプログラムのデフォルトの検出設定と同様に、ユーザーにとって安全ではない、または好ましくない動作をする可能性があるアプリケーションの検出基準がベンダーによって異なるので、この種のアプリケーションを含むテストセットはアンチマルウェアプログラムの設定次第で結果が大きく変わってくる可能性があります。さらに、テスト機関がこれらの結果をどのように解釈するかという問題もあります。例えば、あるアプリケーションをテストしたところ、ユーザーにとって「確実に脅威である」ではなく、「潜在的に脅威になり得る」とフラグが付いた場合、検出としてカウントしますか。それとも、検出失敗あるいは誤検知と分類すべきでしょうか。

DH: それは確かに問題ですね。実は、サンプルの選定に関するAMTSOのガイドラインが現在準備中です。このあたりをもう少し明確にできると良いのですが (今週もこの作業に取り組んでいるはずですので、わたしよりESET製品の開発に精通している方からのご意見をお待ちしています)。概してPUAの問題は、ここ数年大きくなっていると思いますか。

AG: 問題は大きくなっていると認識しています。ESETの脅威シグネチャデータベースの最新版に登録されているPUAの増加を見れば明らかです。

DH: 増加している原因は何だと思いますか。

AG: ユーザーにとって安全ではない、または好ましくない動作をする可能性があるアプリケーションの活動は、他のタイプのマルウェアとまったく異なるのですが、いずれもたいていは収益拡大を目的としているという点で共通しています。PCのボットネットへの感染によるリソースの悪用、機密情報の窃盗、金銭目的の詐欺などの明らかな犯罪活動とは異なり、正規のソフトウェアベンダーは、PUAのコンポーネントを収益を獲得する手段として見ているかもしれません。ベンダー間の競争が激化し、製品のライセンス許諾による収益が減っているため、主要な収益源であるか単なる副収入に過ぎないかはともかくソフトウェアベンダーにとって重要となります。これにより、正規のソフトウェアベンダーは自社のソフトウェアの開発と保守を継続していくことができます。このような「スポンサーシップ」という形態は、ソフトウェアベンダーにとって良い話かもしれません。しかし、デフォルトのインストールオプションやPUAの動作によっては、ユーザーに混乱を引き起こす場合もあります。

 
携帯電話に登録した電話番号がFacebookで公開?
 

携帯電話向けのFacebookアプリをダウンロードして、通常どおりインストールオプションを指定するだけで、携帯電話のすべての連絡先がFacebookの連絡先リスト(旧Facebook Phonebook)に公開され、Facebookによってデータマイニングが実行されるという噂を聞いたことはありますか。これはFacebookアカウントそのものがハッキングされ、電話帳の連絡先が盗まれたも同然で、自分やリストに登録したユーザーの個人情報の不正使用につながります。逆に、ユーザーの個人情報を収集して最高入札者に売ろうとしている犯罪者にとっては、一度に大量の個人情報を盗み出せるため、大きなビジネスチャンスに映るかもしれません。なお、Facebookは、「電話番号の一覧がだれにでも公開されているわけではない。携帯電話と同様、これらの番号はあなたにしか表示されていない」と説明しています。

携帯電話の電話帳の同期機能を後から無効にするユーザーは、決して少数派ではありません。フォーラムを覗けば、使っている携帯電話で同期機能を簡単に無効にする方法を尋ねるユーザーで溢れています。アプリをすべて削除して、同期機能を有効にしないでインストールし直す場合もあれば、結局ギブアップしたユーザーもいます。確かに、後から無効にする手順はFacebookのモバイルチームによって簡単になりましたが、これは彼らの作戦ではないかと疑う声もあります。使っている携帯電話で同期機能を無効にしたら、Facebookのアカウントにアクセスして同様に無効にする必要があるでしょう。実行する手順は次のとおりです。

[アカウント] -> [友達を編集] -> (携帯電話の画面) [連絡先]

次に右側のリンクをクリックします。

mal1108_pic02.gif

次のようなページが表示されます。

mal1108_pic03.gif

ただし、このページではiPhoneについては触れていますが(この例では使用していません)、今回使用したデバイスで実行する方法については説明がありません。また、無効にすると、Facebookシステムによる友達の紹介の精度が低くなる可能性があることにはお気づきでしょうか。これは、ユーザーに友達を紹介するために使用されるシステムのアルゴリズム内の情報が少なくなるためです。Facebook をマーケティングに活用する企業から機密情報を盗み出すために、Facebookのアルゴリズムと似た手法をサイバー犯罪者は使用しています。そのため、ますます正確な機密情報が高額入札者の手に渡ってしまうケースは少なくありません。

 
Confickerが出現してから1000日経過
 

Confickerは特殊なワームです。出現してから1000日経った今もなお、わたし達の議論は収束しません。今月、Confickerワームが2008年11月21日に初めて現れてから1000日目を迎えました。これを受けて、Aryeh GoretskyがESET Threatブログでその歴史を振り返り、Confickerに関する最も重要な疑問を解明しようと試みました。それは、なぜConfickerワームは出現してから約3年経った今もなおマルウェアランキングの上位に君臨し続けているのかという疑問です。「作成者」と見られるグループは逮捕されて指令(C&C)を欠いた状態で動作しているうえに、利用する脆弱性が見つかったのは3年も前、さらに今日の多種多様なアンチマルウェアソフトウェアが包囲しているにもかかわらずです (以下のエピソードに出てくる名前は仮名です)。

地域企業に勤務するジョンの職務は、複数の州にまたがる何千ものデスクトップのサポートです。管理者と言ってもよいのですが、ジョンの実際の役割はサポート以外の何物でもありません。ジョンの雇い主は、小規模の企業の買収を重ね会社を成長させてきました。その結果、社内には何百とまではいかなくても多数の異なるネットワークやコンピューター、オペレーティングシステム、ベストプラクティス、そしてこれらをすべて管理するための規格が混在しています。言わば、これは大規模企業にありがちな環境です。体制の統合が進む一方、コンピューターセキュリティは相変わらず継ぎはぎだらけといった有様です。例えば、セキュリティの集中管理には対応していません。レガシーソフトウェアを使っている一部のユーザーは、いまだ自分のPCの管理者権限を所有しているため、自分の意思でアンチウイルスソフトウェアの無効化やアンインストールができてしまいます。

さて、この状況はジョンにとって何を意味するでしょうか。正解は、Confickerが出現してから毎日、彼の会社のユーザーが社内のどこかしらで感染しているということです。

Confickerの感染が世界的に拡大した背景には技術的な要因がある一方、根本原因は別にあります。ジョンの雇い主が集中管理やセキュリティソリューションの導入にかかる費用を惜しみ、社員のためのセキュリティ対策を実施しなかったことが一番の原因です。とはいえ、今日の経済情勢では、こうした対策を実施するにも、従来のプログラムとコンピューターの交換や新しいシステムに関する社員教育に伴うコスト面と不都合がネックとなり、なかなか踏み切れないのでしょう。

この問題の解決には多額の費用が必要になるのは間違いないと思います。オープンソースのソフトウェアを使用したところで、環境整備にまとまった投資額が求められるのは目に見えています。しかも、買収のたびに費用は増額します。もちろん、統合や買収となれば、集中管理、セキュリティ重視のモデルに切り替えるのが早いほど、コスト面ではお得になります。

収益への大打撃を避けるためカードをすべて交換するのではなく、手持ちのカードだけで戦いを挑もうとするジョンの雇い主に共感を覚え理解を示す声もあるかもしれませんが、一方でジョンの会社は懸念すべき問題をもう1つ抱えています。

実はヘルスケア事業を展開しているのです。

米国の場合、HIPAA(Health Insurance Portability and Accountability Act:医療保険の相互運用性と説明責任に関する法律)に抵触します。HIPAAは複雑で専門性の高い分野であるため、それほど頻繁に取り上げていませんが、このワームが約3年間にわたり医療記録を網羅するネットワークで活動していることを考えると、この規則が制定されたのも頷けます。

ブログ記事全文を読むには、ESET Threatブログにアクセスしてください。

 
マルウェアランキングトップ10
 
1. INF/Autorun [全体の約6.40%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。

 
2. Win32/Conficker [全体の約4.22%]
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。

 
3. HTML/Iframe.B.Gen [全体の約2.38%]
前回の順位:5位
HTML/Iframe.B.GenはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザをリダイレクトします。
 
4. Win32/Dorkbot [全体の約2.22%]
前回の順位:7位
このワームは、リムーバブルメディアを介して感染を広げます。このワームはバックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。

 
5. Win32/Sality [全体の約2.10%]
前回の順位:3位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。

また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。

 
6. HTML/ScrInject.B [全体の約1.79%]
前回の順位:6位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
 
7. Win32/Autoit [全体の約1.45%]
前回の順位:8位
Win32/Autoitはリムーバブルメディア経由で感染を広げるワームで、一部の亜種はMSNを介しても拡散します。悪意のあるWebサイトからダウンロードされたファイルとしてシステムに到達しますが、別のマルウェアによってドロップされる場合もあります。システムが感染すると、実行ファイルを検索し、自身のコピーと置き換えます。ローカルディスクとネットワークリソースにコピーします。実行されると、新たな脅威や自身の亜種をダウンロードします。
システムが起動するたびに自動的に実行されるようにするため、システムレジストリーに実行ファイルへのリンクを追加します。
8. Win32/PSW.OnLineGames [全体の約1.23%]
前回の順位:4位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。

 
9. JS/TrojanDownloader.Iframe.NKE [全体の約1.12%]
前回の順位:N/A
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
 
10. Win32/Ramnit [全体の約0.98%]
前回の順位:41位
これは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
 
 
マルウェアランキングトップ10(グラフ)
 

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年8月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち6.40%を占めています。

 
2011年8月の結果グラフ
 
ESET社について
 
ESETは、セキュリティソフトウェアのグローバルプロバイダです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。
 
ESETが提供するその他の情報源
 
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
 
 
 
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!