MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2011年10月 世界のマルウェアランキング

この記事をシェア
2011年10月の月間マルウェアランキング結果発表
目次
アイルランドのユーザーのセキュリティー意識を徹底調査
Urban Schrott、ITセキュリティーおよびサイバー犯罪担当アナリスト、ESETアイルランド

「優秀なアンチウイルスソフトウェアを使用していても、ユーザーは相変わらずサイバーセキュリティーにおける最大の弱点である」。これは、わたし達が幾度となく話し合ってきたテーマです。明らかに疑わしいにもかかわらず、好き勝手なクリック、プログラムの実行、リンクへのアクセスといった行為に及び、絶えず自らをリスクにさらし続けています。

ESETアイルランドでは、ユーザーがなぜこうした愚行に走るのか解明に努めています。その一環として、わたし達は、アイルランドのユーザーが認識しているオンライン上の脅威、そして発生する可能性の理解度を調査しました。調査結果は、膨大な数に上るユーザー全体の傾向を把握するうえで大きな参考になると期待しています。

今回、ESETの委託を受けてAmarachが実施した調査では、アイルランド全土のあらゆる年齢層のユーザー852人に次の6つの項目を掲示しました。

  • ウイルスなどのマルウェアによって自分のコンピューターがフリーズまたは故障した。
  • コンピューターウイルスをはじめとするマルウェアが、自分のコンピューターへの感染やデータの窃盗、不具合を引き起こした。
  • 電子メールやソーシャルメディアをハッキングされて、自分に成りすましたサイバー犯罪者が友人とコンタクトを取った。
  • 詐欺メールまたはソーシャルメディアを利用した詐欺行為を目的とするメッセージに騙された。
  • 個人情報やクレジットカードの情報を窃まれた、またはオンラインで悪用された。
  • オンラインで自分のコンピューターにアクセスされ、データが盗まれた、またはマルウェアやスパムメールを配布するボットと化した。

次に、回答者に各項目を実際に経験したことがあるか、ある場合はどのくらいの可能性で発生するかという点から評価してもらったところ、何とも驚きの結果が得られました。

実にアイルランドのユーザーの4人に1人が、すでにウイルスなどのマルウェアによって自分のコンピューターがクラッシュしたり、ダメージを受けた経験があったのです。さらに5人に1人は、コンピューターの感染やデータの窃盗に遭遇。14%はハッキングされ、所有するソーシャルメディアアカウントが乗っ取られました。犯罪者の罠にはまり、クレジットカード情報や個人情報が悪用された、あるいは知らない間に自身のPCからスパムメールを送信された、と回答したユーザーも約10%に上ります。

ところで、いかなるタイプの犯罪であれ、だれであろうが避けることはできないと考える回答者が40%を超えたのは大変興味深く受け止めました。この結果からは、さまざまな解釈ができます。ユーザーがアンチウウイルスソフトウェアに不信感を抱いている、あるいは直面している脅威に対してセキュリティー上の慣習が十分でないと考えている、と読み取れます。

一方で、絶対にトラブルに巻き込まれないとする回答は4%に満たなかったものの、そうそう簡単には引っかからないと自信を持つ回答者も約3分の1に上りました。

ユーザー層別に見ていくと、さらに興味深い結果が判明しました。標的にされるユーザーの性別は男女でほぼ同じ比率ですが、若年層(15~24歳)が遭遇しやすいトラブルはコンピューターのフリーズ、ウイルス感染、ネット上やソーシャルメディアで公開されている個人情報の窃盗に集中する一方、中年層(45~54歳)ではデータの窃盗とクレジットカード情報の悪用が最も高い割合を占めています。年齢層でサイバー犯罪のタイプが異なる理由は、各グループにおけるコンピューターの用途を考慮すればだいたい説明がつきます。若年層の場合、主な用途はゲームや娯楽、ソーシャルメディアです。海賊版のゲームや音楽、映画をダウンロードして自分のPCがマルウェアに感染する場合もあれば、ソーシャルインタラクションを介して個人情報が盗み出されることもあります。その反面、年齢が上がると、オンラインショッピングやネット銀行など、ネット上で経済活動を行う傾向があり、自分の金融情報が悪用される潜在的なリスクにさらされています。

では、今回の調査結果からどのような結論が導かれるでしょうか。そもそも、質問はいずれも、ユーザーが脅威に対する態度を明らかにしたに過ぎず、実際にどのような対策を講じているかは別問題です。それでも、確実に言えることが1つあります。それはオンライン上の脅威に対する認識の向上です。たとえ一度も被害に遭ったことがなくても、大部分のユーザーはさまざまな脅威が存在し、だれもがそのターゲットになり攻撃を受ける可能性があると理解しています。

ソーシャルエンジニアリングとソーシャルメディア
David Harley、CITP FBCS CISSP

誤検知(FP)の問題には、より慎重に扱う必要があると考えています。影響や規模の大きいFPに対し、しばしばご立腹になるユーザーの心中はお察しします。とはいえ、FPの完全回避の困難さ、影響の小さいFPにいたっては慢性的に発生していること(ほとんど揺れが感じられない微震のようなものです)、そしてアンチマルウェア業界のように強いプレッシャーにさらされている業界では、本当に懸念すべきFPはそれほど頻繁に発生していないことも事実なのです。

それゆえに、SymantecによるFacebookへのアクセスの意図しないブロックのような場合、わたしは通常はコメントを控えます。もし求められれば、同情的なかつSymantecの迅速な措置に対する賞賛的な意見を述べていたでしょう。実は先日、個人的なメーリングリストに寄せられたあるコメントを読んだのですが、そこでつい頬が緩んでしまいました。SymantecのFacebookに対する憤慨の感情どころか、「(Symantecは)インターネット全体に個人情報を流出させるサイト(Facebook)を“適切に”検出した」という内容だったのです。

これは興味深い意見だとは思いますが、後味の悪さが若干残ります。Ira Winkler氏は今月、RSA Europeで「ユーザーは、ソーシャルネットワーク上で自分が何をしているのかよくわかっていない。... 日々のコンピューターの使用によりユーザーは自らのリスクを高めている」と指摘しています。同日、アメリカ、ミシシッピ州では、Facebookに対する連邦盗聴法違反、契約違反、不当利得、不法侵入およびプライバシーの侵害の申し立てが行われており、Facebookへの疑いが一気に拡大する徴候と見られます。これは原告の単なる被害妄想では終わらないでしょう(専門的な立場から言わせてもらえば、そうあってほしいと願っています)。The RegisterのDan Goodin氏はこの訴訟の一連の流れを解説し、オーストラリアのブロガーNik Cubrilovic氏のブログへのリンクも掲載しています。ブログでは、アカウントからログアウトしていてもFacebookがcookiesを使用してWeb閲覧履歴を一部追跡できるという証拠が公開されています。

一方、Facebookではある程度の措置を講じており(こちらの記事をご覧ください)、集団訴訟への発展を回避する動きのようですが、cookieの問題がこれで本当に解消されたのかまだ安心はできません。

Virus Bulletin 2011が終了

今年のVirus Bulletinはスペインのバルセロナで開催され、ESETは連日、一際大きな存在感を示しました。口火を切ったのが初日のPierre-Marc BureauによるKelihosボットネットについてのプレゼンテーション、続いてDavid HarleyがAVGのLarry Bridwell氏とアンチウイルスのテストの有用性と現状について取り上げ、最終日にはJuraj Malchoがアンチウイルス業界の現況に関する素晴らしいプレゼンテーションを行いました。

2日目には、ESETロシアの研究者であるEugene RodinovとAleksander Matrosovが、Win64/Olmarik(TDL4)とWin64/Rovnixの例を用いて、64ビット版のWindowsのセキュリティー機能(主にカーネルモードのコード署名ポリシー)をすり抜ける今日のbootkitの能力を解説しました。

最終日には、カンファレンスを締めくくるボットネット対策をテーマとしたパネルディスカッションにPierre-Marc Bureauが参加したほか、同じくESETのRobert LipovskyがグレイウェアやPUA(好ましくない動作をする可能性のあるアプリケーション)などの現状についてプレゼンテーションを行いました。

この種のマルウェアに関する一番の問題は、本当に悪意があるのか、ユーザーに被害をもたらすかの見極めが困難な点にあります。たいていはグレーゾーンに属しており、ソフトウェアが正規であるにもかかわらずブロックされようものなら、「なぜ不正プログラム扱いなんだ」と憤慨する作成者もいます。

今年は、グレイウェアを巡る状況がこの2年でどのように変化したか、スケアウェアやPUAに付きまとう困難な問題にどのように対処しているかという点に焦点を置き、「厄介者のいない」インターネットを構築していくうえでのソフトウェアベンダーの存在意義を問いかけています。

各ホワイトペーパーは次のリンクからダウンロード可能です。

※ ホワイトペーパーはVirus Bulletinの承諾を得て掲載しています。著作権はVirus Bulletinに帰属します。

Mac OS Xを狙うトロイの木馬「OSX/Tsunami.A」が出現

ESETのリサーチチームは今月、Mac OS Xを狙う新しい脅威を発見しました。この脅威は、元々はLinux/TsunamiというLinuxをターゲットとした脅威で、現在はOSX/Tsunami.Aとして検出されます。Linux用に書かれたコードを調整していると見られています。

この脅威は、感染マシンをDDOS攻撃(分散サービス妨害攻撃)を仕掛けるためのボットにしてしまう、IRCを制御するバックドア型のマルウェアです。ハードコード化されたIRCサーバーとチャネルに接続を試み、クライアントPCはチャネルからの命令を受信待機、解釈します。

バックドア機能を備えているため、犯罪者はリモートからファイル(追加のマルウェアやTsunamiコードの更新版など)をダウンロードできます。また、シェルコマンドも実行可能で、感染マシンを実質的に支配します。

同一コードのサンプルが2つ、それぞれ異なる地域で発見されましたが、あまり手は加えられていませんでした。また、ESETのテレメトリデータ(遠隔的に取得したデータ)でも、このマルウェアに感染したホストはほとんどないと示されており、今のところテスト段階にあるようです。

この脅威に見られる巧妙さや複雑さは大きくないので、Macユーザーへのリスクは限定的です。

詳細については、以下のESETブログの記事をご覧ください。

http://blog.eset.com/2011/10/25/linux-tsunami-hits-os-x
http://blog.eset.com/2011/10/26/updates-on-osxtsunami-a-a-mac-os-x-trojan
マルウェアランキングトップ10
1.INF/Autorun[全体の約5.21%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティーソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。
2. Win32/Dorkbot[全体の約3.12%]
前回の順位:3位
このワームは、リムーバブルメディアを介して感染を広げます。このワームはバックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。
3. Win32/Conficker[全体の約2.63%]
前回の順位:2位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティーが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティーを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
4. HTML/ScrInject.B[全体の約2.24%]
前回の順位:7位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
5. Win32/Sality[全体の約2.07%]
前回の順位:4位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティーに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティーソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
6. HTML/Iframe.B[全体の約1.89%]
前回の順位:5位
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
7. Win32/Autoit[全体の約1.84%]
前回の順位:6位
Win32/Autoitはリムーバブルメディア経由で感染を広げるワームで、一部の亜種はMSNを介しても拡散します。悪意のあるWebサイトからダウンロードされたファイルとしてシステムに到達しますが、別のマルウェアによってドロップされる場合もあります。システムが感染すると、実行ファイルを検索し、自身のコピーと置き換えます。ローカルディスクとネットワークリソースにコピーします。実行されると、新たな脅威や自身の亜種をダウンロードします。
システムが起動するたびに自動的に実行されるようにするため、システムレジストリーに実行ファイルへのリンクを追加します。
8. Win32/Ramnit[全体の約1.12%]
前回の順位:8位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
9. JS/TrojanDownloader.Iframe.NKE[全体の約0.91%]
前回の順位:10位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
10. Win32/PSW.OnLineGames[全体の約0.87%]
前回の順位:9位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティー脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年10月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.21%を占めています。

2011年10月の結果グラフ
ESET社について

ESETは、セキュリティーソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティーソリューションとして、常に高い評価を受けています。

ESETが提供するその他の情報源

セキュリティー脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティーに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティーに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!