この記事の短縮版は、SC MagazineのCyberCrime Cornerで公開済みです。
数年前、わたしが英国の医療研究機関でセキュリティアナリスト兼管理者を務めていたとき、ある部署(幸いと言うべきか、わたしの担当部署ではありませんでした)でサーバー関連の厄介な問題が発生しました。慣例に従い、その部署のPCはすべてサーバーにバックアップされていました。ただ残念なことに、そのサーバー自体をバックアップするという発想にはだれも至らなかったのです。しまった!と気付いたのは、PCとサーバー両方が狙われ、データ損失という事態が発生した後でした。問題の部署も機関もいまだ健在であるところを見ると、おそらく流出したデータの重要性はそれほど高くなかったようです。それでも経営陣をすぐに退陣に追い込むには十分な不祥事だと思うのですが、わたしの知る限りでは、首を切られた幹部は一人もいません。
実は、セキュリティの歴史を辿っていくと、バックアップ戦略の失敗が至る所で確認できます。ここで、Simson Garfinkel氏とEugene Spafford氏がセキュリティのノウハウを解説した『Practical UNIX and Internet Security(邦題:Unix&インターネットセキュリティ)』から、いくつか恐ろしい例を紹介します。
問題の有無の確認をせずにDATテープをバックアップ用に使用したところ、先頭付近に不良ブロックが発生していたためバックアップが機能せず、過去10年分に相当する量の電子メールを失ったDECの研究者。
内製のバックアップユーティリティーが各ファイルの最初の1024バイト分しかバックアップしていなかったため、プリントアウトを見ながらシステムへの再入力を余儀なくされたプロジェクトグループ。
Garfinkel氏とSpafford氏は、「作成したバックアップに問題がないか確認することは、データを保護するうえで最も重要な作業の1つだ」と口をそろえます。特にホームユーザー(特に在宅で仕事をするユーザー)にとっては、データ損失は企業に匹敵する壊滅的な被害をもたらす可能性があります。盗難や破損に伴うハードウェアの交換には、ある程度の出費が発生します。アクセスできなくなったデータの交換となると、また別の問題です。ビジネスはおろか、一般家庭でも経済的な死活問題になり得ます。とはいえ、ITの中核をなすプロでもミスを犯すとなれば、日常的に使用しているホームユーザーはどのようにして自分のデータの安全性を確保できるでしょうか。
バックアップは大切だとみな口々に言います。それでもバックアップを怠ってデータを実際に失うまでは、その重要性は実感できないかもしれません。バックアップの戦略やメカニズムの習得は重要視されるべきであり、実際、セキュリティのゼネラリストの養成コースや認証資格では欠かせない知識の1つと位置付けられているのが一般的です。ビジネスにおけるバックアップの戦略と実施は、みなさんが考えている以上に複雑な問題です。すべてのシステム管理者やITマネージャーが常に適切に対応しているわけではありません。では、ホームユーザーあるいは小規模企業に勤めるユーザーは、災害復旧対策として用いるRAIDやホットサイト、レプリケーションなどの難解な技術を説明、設定できる専門のシステム管理者が周りにいない場合、どのように対処すべきでしょうか。
セキュリティ担当者がバックアップについてエンドユーザーに話している内容を聞くと、実践的かつ詳細なバックアップ方法の説明よりもその必要性を強調することに終始しがちなのは残念に思われます。こうした傾向に対し、ESETのAryeh Goretskyは、マーケティング活動とは無縁のホームユーザーや在宅ワーカーのニーズに応える短いホワイトペーパーを発表しています。これは、家庭や小規模企業で業務継続や災害復旧に向けた措置を講じる際に、まず何から手を付けるべきかホームユーザーが理解できるようにすることを目的としています。複雑で難しいテーマですが、難解な技術情報や専門用語は極力避けて包括的かつ分かりやすく説明しています。
コンピューターをバックアップする態勢さえ整えていれば災害やトラブルに遭遇しても業務は問題なく継続できる、という単純な話ではありません。それでも、多くの人にとって日常生活に欠かせない電子データをリスクにさらす火災や盗難、ハードディスクの故障をはじめ、さまざまな問題に備えて何をしておくべきか理解不足の場合は、こちらのホワイトペーパーが非常に役立つことでしょう。
目次
- コンピューターのバックアップで必要なのはハードウェアとソフトウェアの両方
- ハードウェアのバックアップ
- ソフトウェアのバックアップ
- アーカイブプログラムの価値
- 同期
- バックアップ用のディスクイメージ作成プログラム
- バックアップ機能の拡張
- クラウドベースのデータバックアップ
- バックアップするデータの選択
- コンピューターをバックアップする頻度
- バックアップ方法の多様化
- バックアップの保存場所
- バックアップの定期的なリプレース
- 最後の選択肢、データ復旧サービスの利用
ホワイトペーパーはESETの「Staying Secure Online」ページに投稿されていますが、このページにはその他さまざまな興味深いリソースへのリンクも用意されています。
コンピューターセキュリティを学ぶなら、公園で開催されるアートイベントに足を運んでみるのがおすすめです。両者の関連性にピンと来ない方もいるかもしれません。しかし、良く晴れた9月のある土曜日、カリフォルニア州サンディエゴで開催された毎年恒例の「Artwalk on the Bay」は、セキュリティに関する知識を深めたい人にとっては実り多きイベントとなりました。
マルウェアランキングの5月号でも取り上げたSecuring Our eCity(SOeC)は、コンピューターセキュリティ意識向上を目的としています。発起人であるESETもたびたびブログで紹介しており、幅広い企業や市民団体、法執行機関から支持されています。SOeCを簡潔に言い表すと、セキュリティ意識と教育を普及させるためのコミュニティープロジェクトです。
マルウェア研究にとってこのイベントの利点は、落ち着いた環境で一般消費者とコンピューターセキュリティについて意見交換ができる点にあります。そして、その結果、マルウェアをはじめとする現在のオンライン上の脅威に対する認識レベルが多岐にわたることが判明しました。大多数の人々が何らかのアンチウイルスソフトウェアを使用している一方、こうしたソフトウェアでは、一見正当な電子メールを装ってユーザーを偽のWebサイトへと誘導し、その個人データを公開しようとする脅威は防げないと考える回答者も相当数に上りました。
Securing Our eCityのブースでは、オンラインで実践している安全な行動を1つ答えれば、抽選でiPad2が当たる企画が催され、心強いことにほとんどの人がスラスラと回答していました。今回の結果は、アメリカの成人ユーザー2200人以上を対象としてESETとHarris Interactiveが最近実施したアンケート調査で明らかになった消費者心理(特定のサイバー攻撃に対して91%が不安を懸念)を反映しているかもしれません。
この調査の概要をまとめたDark Readingの記事でESETのマーケティング部門バイスプレシデントのDan Clarkが指摘しているように、注目を集めるセキュリティ侵害事件の頻発が消費者に動揺を与えているのが見てとれます。調査対象者の過半数は、企業の個人情報保護体制に対する信頼度が低下していると回答しています。イベントで数人から声が上がったサイバーセキュリティに関する教育の必要性もアンケート調査の結果と一致しています。対象の90%以上がサイバーセキュリティ教育を学生のカリキュラムに組み込むべきだと考えていました。一方、大規模企業は相変わらず、ユーザーの心の隙を突くソーシャルエンジニアリングを駆使した攻撃にさらされており、マルウェア配布のための踏み台として利用されたり、内部システムへ侵入されています。三菱重工やRSAのような企業、またはオークリッジ国立研究所のような施設のように、社員や職員が怪しげな電子メールに記載されたリンクをクリックして情報システムのセキュリティが危険にさらされるケースを目の当たりにすると、今以上にセキュリティ意識向上およびトレーニングプログラムを世界規模で展開させるべきだと実感できるでしょう。これこそまさに、ESETのフラッグシップ製品の最新版がセキュリティートレーニングを考慮し、同社がSecuring Our eCityのようなプロジェクトを支持している理由です。セキュリティ意識が向上し技術革新を後押しするようになれば、猛威を振るうサイバー攻撃を免れることが期待できます。
これまでのSSL認証局(CA、Certification Authority)は衰退し、新たな認証モデルへの転換期に差し掛かっているのでしょうか。
ESETは最近、SSL、TLS、HTTPSへの攻撃についていくつかの報道関係の問い合わせを受けました。ただ、これらの攻撃は実際には、基礎となるプロトコルの弱点よりもDigiNotarやGlobalSignなどのCAよる証明書発行と関連しています。そこで、David HarleyとESETブラティスラバのマルウェア研究者であるRóbert Lipovskýが、このテーマに関するよくある質問への回答を以下にまとめています。
最近話題になっている「SSL攻撃」は、証明書を盗むなど特定のCAに対するSSL認証スキームへの攻撃、または最終的なターゲットであるユーザーへの中間者(Man in the Middle:MITM)攻撃という手法による攻撃を指します。あるいは、これらあらゆる要素の総称とも言えます。
SSLは、インターネット上で情報のやり取りを安全に行えるように暗号化して送受信するプロトコルです。分かりやすく言えば、アドレスバーに「http://」ではなく「https://」が表示されている場合に使用されている一般的な技術であり、オンラインバンキングシステムにログインする際などに用いられます (HTTPはHyper Text Transfer Protocolを、HTTPSはHTTP Secureを表します)。こうした安全なサイトは、認証局(CA)が発行する有効なデジタル証明書(またはSSL証明書)を所有しているはずです。この証明書により、エンティティ(この場合は銀行)の身元を特定し、そのエンティティに成りすました攻撃者ではないか確認することができます。
問題が発生するのは、この証明書が攻撃者に盗まれた場合です。ターゲットユーザーと銀行間のやり取りに介入する中間者攻撃を実行したり、デジタル署名がなされたフィッシングサイトなどを稼働させて、安全であるとユーザーを信じ込ませることができるからです。
ユーザーは通常の攻撃と同様に警戒が必要ですが、混乱を招くほどではありません。注意すべき点としては、攻撃者はそのユーザーが情報をやり取りしているサーバーになりすますことができるため、一見信頼できる通信チャネルが実は偽物であるということが挙げられます。しかしそのために攻撃者は、ユーザーとサーバー(銀行)間の通信チャネルに侵入しなければなりません。SSL攻撃で攻撃者は、「わたしはあなたが利用している銀行です」と名乗れるのですが、これにはまずユーザーに、本当の銀行のサーバーではなくその攻撃者のサーバーに確実に接続させる方法を確立する必要があります。攻撃者がこの条件をクリアすれば、SSLの「脆弱性」の有無を問わず、情報はすでに盗み出されているでしょう。
エンドユーザーは最低限、Webブラウザーに鍵アイコンが表示されるか確認する必要があります。なぜ「最低限」かというと、このアイコンを偽造する技術は、フィッシングとほぼ同じくらい古くから確立されているからです。ユーザーは、ポート番号80を使用するhttp://ではなく、確実にポート443のhttps://で接続しなければなりません。最新のブラウザーを使用している場合は、アドレスバー内がすべて緑色に変化する、またサイトの運営組織名や証明書を発行したCAの名前が表示されるかどうか確認する必要があります。サポートやパッチが不十分な古いブラウザーを使用し続けるのは賢明ではありません。そして何よりも重要なのは、疑わしく思えたら接続を中断することです(それでも続行してしまうユーザーはあまりにも多いのですが)。この他にも、マルチレイヤー型の保護機能を使用すること、アンチウイルスとオペレーティングシステムのソフトウェアをアップデートし、パッチを適用すること、そして何よりも常識的な判断を下すことなど定期的に実践すべき慣習は色々あります。
主な例は次のとおりです。
- 信頼できるCAの証明書がインストールおよび正しく構成されており、この証明書を適切に使用してHTTPSを実装しているサイト。パッチを完全に適用済みの最新ブラウザー。証明書が無効になっているか確認でき、CAによる信頼度を把握可能。
- ユーザーが閲覧しているWebサイトが有効かつ最新の署名済みの証明書を提供している場合。
- 証明書が示すサイト運営組織と、実際の名前が一致している場合。
これらすべてが該当する、または情報のやり取りが一連の「安全な」チャネルを経由している、さらにプロトコルそのものが暗号化通信に対する攻撃に耐えうる強固さを備えているか確認できなければ、接続を信頼すべきではありません。
おそらく、そのときは近づいています。しかし、問題はSSLの専門的な事項ではなく、どの認証局が安心、信頼できるか決定するための現実的なメカニズムを欠いたままで、プロバイダーに対する信頼感を植え付けるシステムを実装することの難しさにあります。電子フロンティア財団によると、主要なブラウザーで信頼されているCAの数は実質、650を超えます。こちらを見れば、各CAの名称や業界内の位置関係を確認できます。問題は、どれだけのCAがユーザーに知られているかという点です。国営、営利目的、あるいは実体不明などさまざまなタイプのCAの認証を、安心して任せられるグローバルな機関が存在していないのです。要するに、だれがCAを認証すべきかということです。現在の仕組みでは、CAへの信頼を正当化する包括的なメカニズムがなくてもCAは信頼されるものと見なされています。しかし、市場原理や既得権益、政治的な方便といったものが自分自身の安全性を保証してくれると考えるのは果たして現実的と言えるでしょうか。
DNSSEC(DNS Security Extensions)がその1つです。ただしこの場合は、一般ユーザーが使用する正規のドメインを提供する一方で、一般ユーザーを標的とする犯罪者に(意図的であるかどうかを問わず)不正なドメインを提供するレジストラや、すでにトップレベルドメインを管理する立場にあるICANNおよび同種の機関に信頼を置くことになります。
認証する複数の公証人によるコンセンサスをベースとする「信頼性の高い公証人」のConvergence/Moxie Marlinspikeモデルは、興味深い考えです。どれくらいの支持が集まるか注目したいと思います。とはいえユーザーは受け身になってはいけません。自分自身で考え、安全な商業モデルと向き合っていく必要があります。
Stuxnet型の攻撃は、その性質上、物理的な大災害を引き起こす可能性があります(その可能性が高いという意味ではありません。少なくとも、わたし達が確認したStuxnetのコードではまずあり得ないでしょう)。しかし、攻撃のターゲットは極めて限定的であると考えられており、メディアが騒ぎ立てたほどの影響力はありません。
影響を受けたターゲットの範囲を考慮すれば、DigiNotar自体は深刻ですが、安全であると信じ切っていた(実は明らかに安全ではない)インフラに対する、より一般化した攻撃の徴候と考えるとなおさらです。これほどまで多くの安全な通信を脅かす脅威が存在している現在、この記事を読んでもなお鍵アイコンを信頼する人はいるのでしょうか。
- SSL攻撃とは何ですか。
- エンドユーザーにはどのような影響がありますか。
- エンドユーザーが自身を守るにはどうしたら良いですか。
- 信頼できる接続にはどのようなものがありますか。
- CAシステムは終焉が迫っているのでしょうか。
- CAに取って代わるシステムはありますか。
- DigiNotarのハッキング(不正証明書が発行された)問題は、証明書を備えたStuxnetの攻撃よりも重大ですか。
今月、Mac OS Xのユーザーをターゲットとした新たな脅威が出現しました。このトロイの木馬は、Macintoshの中国語のユーザーコミュニティーに狙いを定めています。PDFの文面は中国語で、長期化する尖閣諸島の領有権を巡る日中間の問題について書かれた記事を装っています。
ユーザーがこの「PDF」ファイルを開くと、ファイルを実際に表示してユーザーの注意を記事へとそらしながら、悪意のあるペイロードを気付かれないようにインストールしようとします。Sophosが指摘しているように、マルウェアはユーザーが記事を読んでいる間にペイロードのインストールを完了し、攻撃者がリモートから感染コンピューターに不正アクセスできるようにします。
この種のPDF攻撃は、Windowsでは.pdf.exeのように2つのファイル拡張子が付けられて偽装されることが多く、珍しくありません。しかし、Macプラットフォームではこれまで確認されておらず、MacユーザーもPDFのように見えるファイルに対して慎重な対応を取ることが重要です。
感染リスクを減らすためのベストプラクティスは次のとおりです。
- 身に覚えのない送信先からのメールに添付されているファイルは、そのメールが本当に自分宛てであるか確認できるまでは絶対に開かない
- オンラインでファイルをダウンロードする際は、不審なコンテンツを持つ疑わしいサイトは信用しない
- すべてのデバイスでアンチウイルス/インターネットセキュリティソフトウェアを実行する
ESET Cybersecurityでは、これらの脅威をOSX/Revir.A TrojanおよびOSX/Imuler.A Trojanとして検出しています。この攻撃の詳細については、ESETのブログ「PDF Trojan Appears on Mac OS X」をご覧ください。
9月中旬、アメリカ、インディアナ大学メディカルスクールで「患者情報の流出」が発覚しました。その前の週には、カリフォルニア州パロアルトにあるスタンフォード病院でも「プライバシー侵害」が発生しています。スタンフォード病院で発生したデータ侵害事件では、2009年の6か月間に同病院の救急救命室を利用した患者20,000人分の個人データ(名前、診断コード、口座番号、入院日と退院日、請求額)が商用サイトに公開された、とNew York Timesは報じています。
インディアナのケースでは、インディアナ大学メディカルスクールの外科医局の暗号化されていないノートPCが狙われました。Health Data Managementの報告によると、このノートPCは8月、ある医師の車から盗難されました。ノートPCには、患者3,000人分の名前や年齢、性別、診断結果などの医療記録が保存されており、しかも、このうち178人の患者にいたっては、社会保障番号までも記録されていたのです。
どちらの事件も嘆かわしく、二度と起こらないように対処すべきである一方、大きく異なる点もあります。例えば、スタンフォード病院のデータは約1年にわたりオンライン上で公開されていました。これは、極めて深刻な事態と言えます。たとえ犯罪者の目的がオンライン上でのデータ公開とは別にあるとしても、公開されている間に他のユーザーがデータの閲覧やダウンロードをしないとは言い切れません。かたや、インディアナ大学のデータは、わたし達が知る限り公開されておらず、データへのアクセスが窃盗の動機でなかった可能性が高いと見られます。
両事件に共通する1つの「良い面」は、個人および組織向けの情報セキュリティやデータプライバシーの教育を普及させる起爆剤となり得る点です。先に挙げたNew York Timesのすぐれた記事でKevin Sack氏が詳述しているように、スタンフォードの事件は外部の契約業者に対するセキュリティの重要性を浮き彫りにし、「外部の契約業者を利用する場合は必ず、その業者が自社と同じ情報セキュリティ規格に準拠していることを確実とする」という、サイバーセキュリティにおける確固たるベストプラクティスの実践を訴えています。
スタンフォード病院から患者データを受け取った請求分析の請負業者が、適切なデータ保護措置を講じていなかったのは明らかです。このデータは、学生向けの学習支援サイト「Student of Fortune」で、棒グラフの作成方法を説明する際に用いられたサンプルデータとしてスプレッドシートに記載されて公開されたのです。New York Timesの紙面で、「院内での管理体制には、何の落ち度もなかった」とする病院の広報担当がコメントしていますが、今回のデータ侵害は、この業者のみならず、スタンフォード病院にとっても大きな痛手となったはずです。
病院が個人を特定できる情報の公開を防ぐためのベストプラクティスを日常的に実践しておらず、具体的かつ詳細に文書化されたポリシーや手続きを有していると明記した保証書を契約業者から受け取っていない場合は、病院は、保証書の確認とポリシーや手続きの監査を確実とし、セキュリティ対策を徹底している姿勢を示す必要もあったでしょう。
インディアナ大学の事件から得られる教訓はおそらくもっと単純明快です。事件の報告によれば、問題のノートPCはパスワードで保護されていました。しかし、システムへのアクセス用パスワードだけではハードディスク上のデータへの不正アクセスを防ぐには不十分です。HIPAA(Health Insurance Portability and Accountability Act:医療保険の相互運用性と説明責任に関する法律)セキュリティ規則では、ハードディスク上の患者データの暗号化を義務付けてはいませんが、患者データの流出に伴うプライバシーの侵害や高額な補償の回避をはじめ、暗号化の適用には大きなメリットがあります。
さらに、Health Information Technology for Economic and Clinical Health (HITECH) Act of 2009(2009年経済的および臨床的健全性のための医療ITに関する法律)では、セキュリティ侵害による医療記録流出時の患者への通知を義務付けていますが、暗号化されたデータについてはこの通知要件の対象外としています。言い換えれば、HIPAAでは、データを暗号化していれば犯罪者の手に渡ってもリスクにはならないと考えられているのです (医療データを管理している方は、米国医師会が公開している、暗号化について詳細に解説したこちらの文書をご覧ください)。
今回の事件を機に、両大学病院はもとより、他の病院でもより適切な措置が講じられるように願っています。医療データを契約業者と共有する際に、十分な注意やノートPCに保存する際の暗号化を怠ると、いずれは患者、病院、そして社会全般に深刻な結果を引き起こします。結局、今回のようなセキュリティインシデントは、医療費削減や生産性向上などの恩恵をもたらす情報システムの可能性をつぶしてしまうのです。
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
前回の順位:4位
このワームは、リムーバブルメディアを介して感染を広げます。このワームはバックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。
前回の順位:5位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
前回の順位:3位
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザをリダイレクトします。
前回の順位:7位
Win32/Autoitはリムーバブルメディア経由で感染を広げるワームで、一部の亜種はMSNを介しても拡散します。悪意のあるWebサイトからダウンロードされたファイルとしてシステムに到達しますが、別のマルウェアによってドロップされる場合もあります。システムが感染すると、実行ファイルを検索し、自身のコピーと置き換えます。ローカルディスクとネットワークリソースにコピーします。実行されると、新たな脅威や自身の亜種をダウンロードします。
システムが起動するたびに自動的に実行されるようにするため、システムレジストリーに実行ファイルへのリンクを追加します。
前回の順位:6位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
前回の順位:10位
これは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
前回の順位:8位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:9位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年9月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち6.49%を占めています。