MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2011年12月 世界のマルウェアランキング

この記事をシェア
2011年の年間マルウェアランキング結果発表
目次
2011年のセキュリティトレンド概観
Urban Schrott、ITセキュリティおよびサイバー犯罪担当アナリスト、ESETアイルランド

ESETアイルランドが2011年に実施した調査によると、コンピューターを利用しているアイルランド人の4人に1人は、ウイルスをはじめとするマルウェアによってコンピューターがクラッシュするなど何らかの被害を受けた経験があります。また5人に1人はマルウェア感染やデータ窃盗の被害に遭ったことがあり、14%はハッキングやソーシャルメディアアカウントの乗っ取りを経験しています。さらに10%近くのユーザーは、詐欺的な行為やクレジットカード情報/個人情報の悪用などの被害を受けた、コンピューターがスパムメールの送信に利用されたと回答しています。この調査結果は、2011年にアイルランド国内および世界規模で見られた次のようなトレンドとまさに合致しているように感じられます。

  • 犯罪者の格好のターゲットとなるサイバー空間
    2011年には、ソーシャルメディアの利用がさらに普及しました。ビジネスの現場にも広く浸透し、顧客とのコミュニケーション促進やブランド構築の手段としてソーシャルメディアを活用する企業は増加の一途を辿っています。また世界的な不況にもかかわらず、オンラインでのショッピングや金融取引の規模も急速に拡大しており、最新の統計によると、2011年のクリスマスシーズンにおけるオンラインでの消費額は2010年比で約14%、2008年比で約39%増加しています。サイバー犯罪者が多大な時間と労力を費やし、これらオンライン上でやり取りされる金銭をかすめ取ろうと試みるのも当然なのかもしれません。

  • 後を絶たない詐欺的行為
    新たなマルウェア対策技術が次々登場する中、サイバー犯罪者がいま力を入れているのは、コンピューターのユーザーを直接の標的にしてセキュリティソフトウェアによる対策を回避する手法です。セキュリティ対策における最大の弱点は人的要因であることから、サイバー犯罪者は以前から人間の好奇心を利用して防御の網をすり抜けようと腐心してきました。2011年に活発化したのも、「ソーシャルエンジニアリング」と呼ばれる手法を駆使してソーシャルメディアのユーザーをだまそうとする攻撃です。
    その1つの傾向が、FacebookやTwitterなどのソーシャルネットワークサイトで広まった偽のリンクです。多くの場合、これらのリンクは、話題のトピックについての「衝撃の真実」や「貴重な動画」といったあおり文句とともに紹介されています。しかし実際には不正なサイトや偽アンケートへリンクが張られており、クリックするとマルウェアに感染したりオンラインの友人に偽のリンクが送られたりします。2011年に特に悪用されるケースが多かったトピックは、東日本大震災や英国のロイヤルウェディング、ウサマ・ビンラディンの殺害、ノルウェーのオスロで発生した連続テロ事件、歌手のエイミー・ワインハウスや元アップルCEOのスティーブ・ジョブズの死去などです。人間の好奇心は抑えがたく、これら不正なリンクをクリックして被害に遭うユーザーはあとを絶ちませんでした。このことは、「むやみにリンクをクリックしてはならない」という以前からの注意喚起がいまだに浸透していないという事実を示唆しています。

  • SEOポイズニング
    「旬のニュース」に便乗する詐欺は、SEO(検索エンジン最適化)ポイズニングという形でも行われました。SEOポイズニングとは、話題のトピックや有名人のニュースを検索するユーザーを狙った攻撃で、最新のトピックに言及した不正サイトを作成し、それを検索結果に表示させるというものです。オンラインマーケティングで広く使われている合法的なSEOテクニックを駆使して検索エンジンのランキングを操作し、検索結果の上位に不正サイトを表示させます。通常の検索結果のように見えるリンクをユーザーがクリックすると、不正サイトに導かれマルウェアに感染したり、医薬品サイトやポルノサイトにリダイレクトされます。「ブラックハットSEO」とも呼ばれるこの攻撃は、詐欺サイトに誘導してクレジットカード情報や個人情報を入力させることもあります。

  • ボットネット
    マルウェアに感染したコンピューターは「ゾンビ」と化して他人に操られてしまう場合がある窶披?煤B2011年には、この事実が一般ユーザーにも広く知られるようになりました。ゾンビ化したコンピューターは、数千台の感染マシンで構成される大規模ネットワーク「ボットネット」に組み込まれ、「ボットマスター」と呼ばれる管理者の指令によって遠隔操作されます。ボットネットの一員となったコンピューターは、ユーザーの与り知らぬところで、スパムメールの送信やWebサイトの攻撃、マルウェアや違法コンテンツ(海賊版のソフトウェア、児童ポルノなど)の配信に利用されます。2011年には、当局やベンダーの尽力によりいくつかの大規模ボットネットが閉鎖に追い込まれましたが、その規模の大きさは研究者の予想を上回るものでした。閉鎖されたボットネットは氷山の一角に過ぎないことを考えると、まだ楽観視はできません。とりわけ、各種の営利活動やWebサイト攻撃に十分な能力を備えながら、配下に置くコンピューターを少なくして目立たぬようにしている小規模ボットネットの存在が懸念されます。

  • サポート詐欺
    マルウェア対策に関する情報や、「Webサイトでむやみにクレジットカード情報を入力すべきではない」という知識が一般ユーザーに浸透するにつれて、新手の詐欺手法が登場してきました。電話によるコンピューターのサポートサービスを装って、ユーザーを騙しにかかるのです。詐欺師は次のような電話をかけてきます。「はじめまして、コンピュータートラブル解決サービスと申します。ウイルス感染などコンピューターについてお困りのことがございましたら、遠隔操作で問題解決をお手伝いいたします。料金もお手頃となっております」
    2011年には、さまざまなパターンによる電話詐欺の事例を耳にしました。中には、本物としか思えない巧妙なケースやしつこく食い下がってくるケースもあったようです。では、その成功率はどれほどのものかというと、驚くほど多くの人が詐欺師を疑いもせず、コンピューターへのアクセスを許してしまっています。コンピューターにアクセスする正当な許可を得た詐欺師は、ほぼ自由にそのコンピューターを操作できます。ハードディスクに保存されている個人情報を大量に盗み出したり、後で不正アクセスできるよう密かにバックドアを設置することもできます。しかもこれらの操作を、安全が保証された遠隔地から悠々と行っているのです。そして詐欺師は最後に、まだ本物のサポートサービスだと信じて疑わないユーザーから、「サポート料金」の支払いのためと称してクレジットカード情報を聞き出します。

  • ユーザーはどう対策すればよいのか
    脅威の数々から身を守るための第一歩は、何がどのように危険なのかを知ることです。対策をソフトウェアだけに頼るのではなく、脅威や詐欺の最新動向を常に把握しておけば、被害に遭う確率をより小さくできます。ESETアイルランドでは、Facebookブログでセキュリティの最新情報をお届けしています。またESET Threat Blogでも重要なニュースや情報を提供しています。
    しかし、以前からわたし達が何度も述べているように、最も大切なのは「安易にクリックしない」ことです。いつも心に留めておいてください。
悪いニュースばかりではなかった2011年のセキュリティ動向
Stephen Cobb、セキュリティエバンジェリスト、ESETノースアメリカ

2011年は、確かに脅威の増加が目立った1年でした。駆逐されたはずの古い脅威が復活し、新たな攻撃手法が登場しました。スマートフォンやタブレット端末が急速に普及して攻撃を受けるようになり、ソーシャルメディアを舞台にしたソーシャルエンジニアリング攻撃やスピアフィッシングなどの標的型攻撃も増加。一方、電話によるサポートサービス詐欺のように、対人的で狡猾なソーシャルエンジニアリング攻撃も広がりを見せています。また、マルウェアがこの1年を通じてさらなる進化を遂げているのは、ESET Threat Blogやカンファレンス論文、各種のメディアを通じてESETのメンバーが訴えてきたとおりです。ESETのウイルスラボでは、今でも1日あたり10万種を優に超える新たなマルウェアサンプルを検出しています。

こう聞くと、情報システムやデータの保護という観点から見て、2011年は大変な1年だったと結論付けたくなるかもしれません。しかし現実は必ずしもそうではなく、1年を通じて明るい兆しもいくつか見られました。サイバー犯罪者に法的措置を下すための取り組みが行われたり、大手インターネット企業によるユーザー保護への積極的な関与を期待できる下地が整ってきたのです。中でも特筆すべき出来事としては、国際的な協力体制によりいくつかのボットネットを閉鎖し、管理者を拘束したケースが挙げられます。このほかにも、さまざまなサイバー犯罪の容疑者の逮捕・摘発に成功しました。有名人のメールアカウントをハッキングしたフロリダ在住の男、英国のNews of the World紙のために電話の盗聴行為を行ったハッカー、ウォードライビング(自動車を走らせながら無線LANのアクセスポイントを探す行為)やネットワークハッキングを駆使して物理的な不法侵入を働き、コンピューターから給与支払小切手に至るありとあらゆるものを盗み出したシアトルのグループなどです。

サイバー犯罪者の中でも、企業と一般ユーザーの両方から特に忌避されているのはボットネット管理者です。スパムメールの送信や詐欺行為、金銭に関する情報の窃盗、DDoS攻撃、データを人質にした身代金要求など、彼らの行う犯罪活動が大きな問題を引き起こすためだけでなく、その対策の実施に多大なリソースが浪費されてしまうからです。例えばスパム対策1つをとっても、大量のサーバーリソースが必要となります。ボットネット対策のために費やされるコンピューターの処理能力や時間が積もり積もって、ひいては世界経済に大きな損害を与えているのです。

2011年の第1四半期には、Rustockというボットネットが閉鎖されましたが、これは、Microsoft、米連邦保安局、オランダのハイテク犯罪対策部(Dutch High Tech Crime Unit)、中国のCNCERT(China's National Computer Network Emergency Response Technical Team)という複数の組織による共同作戦の成果です。成功裏に終わったこの作戦は、Microsoftの裁判所への申し立てが大きなポイントになりました。同社は同年1月、「ボットネットをコントロールしてMicrosoftおよびその顧客に損害を与えている身元不明の管理者」について、ワシントン州西部地区連邦地方裁判所に暫定的差止命令を申し立てたのです。この命令がきっかけとなり、ボットネットの管理者が指令サーバーをどこか別の場所へ移転させてしまう前に、それらを差し押さえるための共同作戦が急遽計画されました。

Rustockは、その5年にわたる活動の中で膨大な量のスパムメールを送信しており、全世界を流通するスパムメールの半数近くをRustockによるものが占めていた時期もありました。McAfeeが2009年に発表した二酸化炭素排出量に関する貴重な資料によると、スパムメールに起因する1年間の電力消費量は150億キロワット時にも上ります。これは、米国の一般家庭100万世帯分を超える量に相当します。Rustockを閉鎖すれば、乗用車を150万台削減した場合と同じ量の温室効果ガスを削減できる計算です。

Microsoftは9月にも、Kelihos(Waledac 2.0)というボットネットの閉鎖に成功したと発表しました。同社は、Kelihos閉鎖作戦「Operation b79」で、過去の取り組みと同様に法的手段と技術的手段の両方を講じました。一方的な暫定的差止命令によって相手方への通知前にドメイン名などの資産を差し押さえる、ランハム法に基づいて商標権侵害を訴えるといった具合です(なお筆者は、後者の手法をスパム対策の手段として10年以上前から提唱しています)。

ボットネット撲滅の取り組みにおいては、FBIも目覚ましい活躍を見せ、4月にはトロイの木馬Corefloodによるボットネットを閉鎖しました。キーロガーの機能を備えるCorefloodは、数百万台のPCに感染して銀行の口座情報など機密性の高い情報をボットネットの指令サーバーに送信していましたが、FBIはこれらのサーバーを差し押さえて別のサーバーに交換。押収したサーバーから感染PC上のトロイの木馬に命令を送り、活動を停止させました。FBIはこの作戦で、第三者の手で合法的にマルウェアを駆除するという新たな手法を確立しています。また11月には、米司法省がDNS Changerというボットネットの閉鎖に成功。DNS Changerは、これまでに解体されたボットネットの中で最大の規模(Rustockの2倍以上)であるとされています。

FBIはボットネットの閉鎖以外にも、サイバー犯罪者の起訴や逃走中の犯罪者の包囲に力を注いでいます。12月だけでも2件の大きな成果を挙げました。12月15日には、インターネットで乗用車やキャンピングカー、船舶などの販売詐欺を働いたとして、米国ラスベガスで16人の容疑者を起訴。またその1週間後には、大規模なフィッシング活動に関わったとみられる14人のルーマニア人を、共謀や詐欺、個人情報窃盗の容疑で起訴しました。3人の容疑者は、すでにルーマニアから米国に引き渡されています。

もちろん、犯罪者の検挙だけがサイバー犯罪の撲滅につながるわけではありません。インターネットがわたし達の生活にますます浸透し、デジタルなコミュニケーション手段が増加する中、インターネットで事業を運営し利益を上げている正規の企業にも、ユーザーの情報保護に貢献する姿勢が求められます。調査会社のニールセンによると、2011年に最もアクセス数の多かったサイトはGoogleとFacebookです。月間平均ユーザー数は、Googleが1億5,340万人、Facebookが1億3,760万人でした(2011年1月~10月における自宅や職場のコンピューターからのアクセス数。モバイルデバイスからのアクセスは含まず)。

2011年の最多アクセス数のサイトを運営する両社は、プライバシー保護に関する苦情を受け、米連邦取引委員会(FTC)の同意審決に従って運営されている2大企業でもあります。プライバシーやセキュリティについて懸念している一般ユーザーにとって、この事実は朗報といえるかもしれません。というのも、過去9年間のMicrosoftの例があるからです。2002年にFTCの審決が下るまでのMicrosoftは、情報セキュリティに関して散々な評価を受けてきました。しかし審決以降、同社はその姿勢を改め、重要なセキュリティ問題に率先して取り組んでいます。ボットネットの閉鎖に積極的に関わる取り組みもその一環です。GoogleとFacebookは自社のビジネスモデルが、ネットワークテクノロジーの進化とそれに対する信頼に依拠しているという点でMicrosoftと共通しています。つまり3社には、サイバー犯罪の撲滅に取り組むべき動機があるのです。2012年には、よりよいニュースが期待できるかもしれません。

ESET Threat Blogで2011年を振り返る

ESET Threat Blogに掲載された2011年のマルウェア関連記事をESETのシニアリサーチフェローであるDavid Harleyが要約して紹介します。

  • 1月
    2011年1月のブログ記事は2010年からおなじみのテーマが続きました。Stuxnetとコメントスパムです。コメントスパムは現在もわたし達を悩ませ続けていますが、2011年は折に触れておもしろい事例を紹介してきました(筆者のお気に入りは「Agony Column for Comment Spammers」、「Responsible Disclosure and Fish Pedicure」あたりです)。
    Stuxnetは一時期、定期連載物であるかのように頻繁にブログに取り上げられました(少なくとも、筆者の担当分はそうでした)。Stuxnet関連の情報は誤報を含めあまりにも多く、ESETのリサーチチームの作業が別のマルウェアに移ったあとも、専用のページを用意して秀逸な外部記事へのリンクを追記していく必要があったほどでした。またこの月には、Stuxnetについてのレポート「Stuxnet Under the Microscope」の最新版を公開しています(ちなみにこのレポートは、その長大から一部で「戦争と平和」と呼ばれています)。とはいえ、Stuxnet問題はまだ終結したわけではありません。その証拠に、12月の時点でもまだStuxnetについての原稿執筆依頼が筆者の元に届いています。2012年には、StuxnetをDuquConficker、さらにはBrainElk Clonerと関連付けるような新しい説が出てくるかもしれません。
    Windowsのサポートサービスを装った悪質な電話詐欺も再び広がり始め、1年を通じて無警戒なPCユーザーが脅威にさらされました。
    個別に大きな注目を集めることはなかったものの、Win32/Sheldorは、ESETロシアのリサーチチームや提携関係にあるGroup-IBのプレゼンテーションで何度も取り上げられました。最も新しいところでは、最近話題のWin32/Carberpに関する記事にも名前が出てきます。
    このほか、Sebastian Bortnikによる大変興味深いフィッシングの話題や、繰り返されるFacebookのプライバシー設定変更の話題が投稿されました。

  • 2月
    Microsoft Updateカタログにトロイの木馬が混入していた問題についての記事をAryeh Goretskyが投稿し、続いてRandy AbramsがMicrosoftでの勤務経験に基づいてその原因を推測しました。
    またRandy Abramsは、Facebookのプライバシーおよびセキュリティ設定の変更方法について解説し、筆者はFacebookを舞台にした419詐欺についての記事を執筆しました。
    Randy Abramsは筆者はRSAを訪問し、その後筆者は2011年最初のAMTSOミーティングに参加してきました。
    Facebookでは、iPadがもらえるという詐欺が広まりました。
    イングランドのマンチェスターにある図書館で、個人情報漏洩が起きている恐れが発覚しました。だれでも利用できる公共のコンピューターにキーロガーが仕掛けられていることが明らかになったのです。また、ニュージーランドで起きた大地震に便乗して寄付を募るチャリティ詐欺も発生しました。

  • 3月
    残念ながら、3月もFacebookのプライバシー問題についての記事が数多く投稿されました。
    Infosecurity MagazineのSteve Gold氏は、筆者の「Androidマルウェアは脅威だ」という発言をタイトルにした記事を同誌に掲載しました。この当時、その発言をした本人も「少し大げさな表現だったかもしれない」と思っていたのですが、どうやら筆者の予感は当たっていたようです。というのも、その後すぐ約50種類の不正アプリがAndroidマーケットから削除されるという騒動が起きたのです(このように書くと、また「マルウェアを作っているのはセキュリティベンダーだ」などとあらぬ疑いをかけられてしまうのでしょう…)。
    Aleksandr MatrosovとPierre-Marc Bureauが、TDL4が別のマルウェアのインストールに使われている興味深い事例を発見しました。
    詐欺師らが「iPad 2が無料で手に入る」という詐欺キャンペーンを始めました。
    Social Security Numbers: deja vu all over again」と題する投稿では、「社会保障番号は容易に破ることができる」というすでによく知られた話を取り上げたInfosec Islandの記事を紹介しました。
    ATMに対する攻撃やスキミングが立て続けに発生しました。
    東日本大震災と津波被害に便乗した醜悪な不正行為が、SEOポイズニングやスパムメール、詐欺、デマなど、さまざまな形で行われました。そしてなんとMicrosoftまで、TwitterでBingを推薦してくれれば寄付をするという便乗キャンペーンを実施しようとしました(最終的にキャンペーンは中止となり、Microsoftは相当額の寄付のみを行いました)。
    News of the Worldがハッカーを雇って電子メールを盗み出していたとBBCが報道しました。この問題は現在も続いており、時間が経つにつれ多数の逮捕者が出ています。
    Facebookがユーザーの顔写真と名前を使ったスポンサー広告の掲載を開始し、強く批判されました(この問題もまだ続いています)。

  • 4月
    Alexandr Matrosov、Eugene Rodionov、筆者の3人でTDSSボットネットについての連載記事を共同執筆し、Infosec Instituteに寄稿しました。
    EMCのセキュリティ部門RSAがAPT攻撃の被害に遭った事実を公表しました。詳細についてはほとんど語られていませんが、RSAに対する攻撃はおそらく、多数の企業を対象にした段階的な攻撃の1つであったことが明らかとなりました。
    グルジアとアルメニアでインターネット接続が遮断されるという事件がありました。銅線と誤認してケーブルを切断してしまった銅線拾いの75歳の女性が原因でした。
    Epsilonや米国テキサス州、ソニーなどが被害者となるデータ侵害事件が多発しました。

  • 5月
    Paul LaudanskiがFacebookのプライバシー設定についての詳細記事を投稿しました。
    プラハで開催されたAMTSOワークショップとCAROワークショップ、そしてオーストリアで開催されたEICARカンファレンスに筆者が連続で出席しました。タフな仕事ではありましたが、だれかが引き受けざるを得なかったのです。
    ウサマ・ビンラディンの殺害を受け、人々の好奇心を利用した便乗詐欺が横行しました。
    FBIが犯罪容疑者のPCを監視するために使用していたと見られるスパイウェアに関して、電子フロンティア財団が興味深い見解を示し、のちに一大騒動となるドイツ政府のマルウェアBundestrojanerの存在が示唆されました。
    ドイツのウルム大学が、Androidユーザーの99.7%は攻撃に対して無防備であるとのレポートを発表しました。またこれに関連して、Paul Laudanskiがパスワード管理についてのより簡潔な記事を執筆し、2011年を通じて大きな反響を集めました。
    5月21日に世界の終わりがやってくることはありませんでした

  • 6月
    Aryeh Goretskyがデータのバックアップに関する待望のホワイトペーパーを公開しました。
    Paul LaudanskiがLinkedInのプライバシー問題についての記事を投稿し、Randy Abramsがソーシャルメディアのプライバシーとセキュリティに関するユーザーの意識と行動についての記事を執筆しました。
    AnonymousとLulzSecにやきもきする人々や国際通貨基金(IMF)を襲ったセキュリティ問題など、Cameron Campがさまざまな時事問題に言及しました。
    TDSSボットネットが従来の指令サーバー型に代わる管理モデルとして、ピアツーピア型のトポロジーを採用しようとしていることが明らかになりました。

  • 7月
    「破壊できない」ボットネットへと進化しつつあるTDSSが大きな話題となりました。しかし、ピアツーピア型へと進化したからといって、破壊できないというわけでは決してありません
    Facebookマルウェアに関する情報をFacebookページにお寄せいただくようユーザーの皆さんに呼びかけました(電子メールでの情報提供も引き続き募集しています。新手のスパムメールや詐欺、マルウェアについての情報がありましたらaskeset@eset.comまでお送りください)。
    Randy Abramsが複数の記事でGoogle+について解説しました。またCameron Campが「2012年は20台に1台のモバイルデバイスがマルウェアに感染する?」と問いかけ、早くも年末恒例の「来年の予測」を始めました。
    Aleksandr MatrosovとEugene Rodionovが、Win32/Cycbotとそれを配布したグループ「Ready to Ride」に関する興味深いデータを発掘しました。また、HodprotについてのレポートをGroup-IBと共同執筆しました。
    Googleが、偽名の使用が疑われるGoogle+ユーザーのアカウントを停止し始めました。これにより、少なくとも本物の著名人(famous)が1人、アカウント停止の憂き目に遭っています。一方この人物、すなわちスタートレックに出演していたWilliam Shatner氏には、若いころポップミュージック界に進出して失敗するという不名誉(infamous)な過去があります。
    インド人のサポート詐欺師が、「感染」マシンに外部からアクセスできているとユーザーに信じ込ませるために、CLSIDを当ててみせるという斬新な手法を用いていることが発覚しました。
    Androidをターゲットとするマルウェアがますます悪質化し、Stuxnetを巡る憶測が相も変わらず飛び交いました。また、Zbotの亜種で使用されているパッカーの開発者が、ESETラボに向けたメッセージを残していることをRobert Lipovskyが発見しました。

  • 8月
    ESETカナダのSebastien Duquetteが執筆したWin32/PSW.OnlineGames.OUMについての一連の記事が高い評価を受けました。Win32/PSW.OnlineGames.OUMはオンラインゲームのパスワードを盗み出すマルウェアで、広範囲に感染を広げています。
    ブログ記事を元にしたHodprotのホワイトペーパーが公開されました。
    Dmitry Alperovitch氏によるShady Ratについてのレポートが意外なほど大きな議論を巻き起こしました。意外というのは、政治的な意図を持つ標的型のマルウェアは以前からよく知られた存在であるからです(これも新たなバズワードに過ぎないと思います)。
    Facebookで「会話」を行う驚くべきダウンロード型トロイの木馬をRobert Lipovskyが紹介しました。
    Cameron Campが、Androidをターゲットとするマルウェアモバイルデバイス用のFacebookアプリについての記事を執筆しました。また、ソーシャルメディアとモバイルデバイスが英国を無政府状態に陥らせる英国政府が懸念している様子を紹介しています。
    書籍の海賊版被害を受けている作家に向け、著作権や知的財産権の侵害に関するやや達観した記事を筆者が投稿しました。また、PUAやPUPなどに関する新しいホワイトペーパーについて、Aryeh Goretskyと対談を行いました。
    Kelihos、Storm/Nuwar、Waledac、そして「運び屋」を募集するスパムメールの関係について、Pierre-Marc Bureauが警鐘を鳴らしました。
    1000日間にわたって活動を続けているConfickerについてAryeh Goretskyが詳細な記事を投稿しました。
    Hasta La Vista, Bootkit: Exploiting the VBR」と題する記事で、徐々に増加している64ビットプラットフォームに対応したマルウェアの現状を筆者が解説しました(わたし達にとっても興味深い内容となっています)。
    一般ユーザーを対象にバックアップの重要性を解説するAryeh Goretskyのホワイトペーパーが公開されました。

  • 9月
    毎年のことですが、怒濤のカンファレンスシーズンが始まりました。
    今年も、9月11日のアメリカ同時多発テロ事件に便乗した醜悪なスパムメールや詐欺行為が横行しました。
    アンチウイルスは死んだ」と主張する言説が再び登場しました(しかしわたし達はまだ健在です)。
    2009年に登場した、1980年代のコンセプト実証型ウイルスを思い起こさせるInducが凶暴化して復活しました。
    認証局の信頼性が著しく低下し始めているようです。認証局が犯したいくつかの過ちがもたらす影響について、Robert Lipovskyと筆者が検証を行いました。リンクをまとめたこちらの記事と、SSLに突きつけられた課題に関するこちらの記事をご覧ください。
    Stephen Cobbがオンラインの賃貸詐欺についての記事を執筆しました。この詐欺は、サンディエゴのESETノースアメリカ本社近くにアパートを探していたStephenが偶然見つけたものです。
    英国国民保健機関(NHS)で、USBデバイスに保存されたデータの漏洩が続きました。同機関に勤めていた経験のある筆者は、ほんの一瞬ですが古巣復帰を考えました。
    一方、米国マサチューセッツ州は、210万人に及ぶユーザーの情報漏洩が州内で発生していると発表しました。この中には、ある病院の患者や職員など80万人に関係する14年分のデータが含まれています。
    それほど深刻ではないもののMacを標的にするいくつかのマルウェアについての記事をDan Clarkが、盗んだデジタル証明書を利用するマルウェアQbotの記事をRobert Lipovskyが、デジタル証明書の安全性に関する複数の問題についての記事をStephen Cobbがそれぞれ執筆しています。
    次々と浮上するFacebookのさまざまな問題をCameron Campと筆者が考察しました。

  • 10月
    Virus Bulletinカンファレンスがバルセロナで開催され、アンチウイルス業界の関係者が大挙して同地を訪れました。ESETのメンバーも多数の講演に登壇しています。
    新たな医療データ漏洩事件についての記事をStephen Cobbが投稿し、米国政府関連のセキュリティ侵害が5年間で650%増加している問題についてCameron Campが検証しました。
    Andrew LeeをはじめとするESETの多数のメンバーがSteve Jobs氏の死を悼みました。
    ニューヨーク市警の「Operation Swiper」という取り組みにより、1,300万ドルを荒稼ぎした個人情報窃盗団が逮捕されるという喜ばしいニュースが届きました。
    ある1人の人物が、Facebookにどれだけの個人情報が蓄積されているかを明確な形で示しました。また、ハッカーグループChaos Computer Clubの指摘により、「官製トロイの木馬」の問題が再び注目を集めました(おそらく、2012年にも同じ問題が繰り返されることでしょう)。
    Dennis Ritchie氏の死に際し、ESET CEOのAndrew Leeが追悼文を寄せました。C言語でプログラムを作成したことのある者は皆、彼に感謝していることと思います(もっとも、筆者はパスカル派だったのですが)。
    Symantecの製品がFacebookを不正サイトと誤検出しました。しかし、必ずしも誤検出とはいえないと考える人もいるでしょう。タイミングよく、Facebookアカウントを安全に運用する方法をCameron Campが紹介しています。
    ESETロシアのメンバーが、TDL4の最新動向についての情報を寄せてくれました
    リビアのカダフィ大佐の死に便乗したSEOポイズニングについての記事をStephen Cobb筆者が投稿しました。またRobert LipovskyとPierre-Marc BureauがOSX/Tsunamiについて執筆しました。
    Duquの分析記事を投稿しました。また、Facebookを舞台にしたお見舞いデマに触発された筆者が、Craig Shergold氏を巡るデマについての記事を投稿しました。

  • 11月
    チェコ人が作成したと思われる興味深いPHP Autorunワームについての記事をRobert Lipovskyが投稿しました。
    ログイン情報が流出し、だれでもアクセスできるアカウント名/パスワードのデータベースに登録されていないかどうかをチェックできるpwnedlist.comのようなサイトについて、ESETスロバキアのPeter Stancikと筆者が長時間にわたり議論しました。その概要がこちらの記事にまとめられています。
    Facebookについて、個別に示すことができないほど多くの記事を投稿しました。ここでは、筆者が特に不快に感じているFacebookのLikeとサポートを装った電話詐欺についての記事を挙げておきます。
    Stephen Cobbが「米連邦取引委員会(FTC)はプライバシー問題を改善するようFacebookに命じる方向」との報道を紹介しました。この問題は、Facebookのプライバシー保護に対する姿勢を大きく左右する可能性があります。また筆者が、大きな注目を集めたFacebookのビデオ詐欺についての記事を投稿したところ、同じくStephenがこの種の詐欺の危険性を訴える短時間の動画を作成してくれました。
    行き過ぎだとして批判を受けているSOPA/PIPA法案について、Andrew Leeが議会宛ての公開質問状をブログに掲載し、注目を集めました。
    Facebook問題をテーマにした一連の記事をAryeh Goretskyが投稿し、Facebookのページに紛れ込む不適切なコンテンツを懸念する多数の報告を検討しました。
    オンラインショッピングの利用が急増するサイバーマンデーを前に、買い物を安全に行うためのヒントをStephen Cobbが紹介しました。また、Carberpとオンラインバンキングの情報を盗み出すトロイの木馬について、多数の記事を投稿しました。再びFacebookで広まった古いデマウイルスについても、こちらこちらで言及しています。

  • 12月
    12月は、CarrierIQの話題で持ちきりとなりました。例えば、rootkitをインストールしたことで罪に問われるのではないか、どのデバイスと事業者が影響を受けるのか、FBIが乗り出すのではないかといった憶測が広がりました。
    Carberpに対する注目はやまず、ESETでもホワイトペーパーを公開しました。特にロシアでは、Win32/Flooder.Ramagedosボットネットが行った政治的意図を持つDDoS攻撃(記事はSebastien Duquetteが執筆)とあわせ、大きな注目を集めました。
    年末恒例といえる「来年の予測」に関する一連の記事をESETのメンバーが掲載し始めました。また、インターネットを安全に利用するための10のヒントを紹介するホワイトペーパーを更新しました。
    Cameron Campが、クレジットカード情報を保護する重要性について解説した複数の記事を投稿した後、Stratforという会社のサーバーに平文のまま保存されていたクレジットカード情報を使ってAnonymousがチャリティ募金をしたというニュースがクリスマスに飛び込んできました。
2011年に公開した各種ペーパーとメディア掲載記事
  • カンファレンス発表論文
    Same Botnet, Same Guys, New Code
    Pierre-Marc Bureau
    Win32/Kelihosが備える機能と使用するP2Pプロトコル、進化過程、Win32/Nuwar(Storm)およびWin32/Waledacとの類似性について解説しています。
    初出:Virus Bulletin 2011カンファレンス発表論文集

    Fake But Free and Worth Every Cent
    Robert Lipovsky、Daniel Novomesky、Juraj Malcho
    2年前に発表された「Is there a lawyer in the lab」の続編というべき内容で、グレーウェアやPUA(Potentially Unwanted Application:ユーザーにとって好ましくない動作をする可能性のあるアプリケーション)がセキュリティベンダーに与える深刻な影響について解説しています。
    初出:Virus Bulletin 2011カンファレンス発表論文集

    Daze of Whine and Neuroses
    David Harley、Larry Bridwell
    The Anti-Malware Testing Standards Organization(AMTSO)は、これまでのアンチウイルステストのあり方に異を唱え、議論を巻き起こしました。AMTSOはもうその使命を終えたのでしょうか。検出テストの今後はどうなるのでしょうか。
    初出:Virus Bulletin 2011カンファレンス発表論文集
    ※これらの論文の著作権はVirus Bulletin Ltdにありますが、Virus Bulletinからの許諾の下、私的利用にかぎりESET Webサイトから無償でダウンロード可能となっています。

    Security Software & Rogue Economics: New Technology or New Marketing
    David Harley
    2011年5月開催の2011 EICARで発表された本論文では、不正な技術およびマーケティング手法と正規のそれを比較し、最新の偽アプリケーションおよびサービスへの対策として統合セキュリティパッケージがどのような効果を発揮するかを検討しています。
     
  • メディア掲載記事
    Socialisation, social engineering, and securing the enterprise
    David Harley、2011年11月
    (ISC)2のメンバーが担当しているComputer Weeklyのコラム「Security Zone」に掲載されたこの記事では、業務データ保護という課題に、いかにして全ITユーザーを積極的に関与させるかについて解説しています。

    Hearing a PIN drop
    David Harley、2011年9月
    Virus Bulletinに掲載されたこの記事では、ATMやスマートフォンの暗証番号といった数値パスコードの選び方に関する調査の主な結果を紹介しています。
    初出:Virus Bulletin 2011年9月号

    Security Zone: Antivirus testing standards at a crossroads
    David Harley、2011年5月
    Computer Weeklyに掲載されたこの記事では、AMTSOで承認、公開され、今後数年間で最重要文書になる可能性がある最新の論文を紹介しています。

    TDSS part 1: The x64 Dollar Question
    Aleksandr Matrosov、Eugene Rodionov、David Harley、2011年4月
    TDL3とTDL4におけるbootkitの配布方法とインストール方法を検証し、両者の違いを確認しています。

    TDSS part 2: Ifs and Bots
    Aleksandr Matrosov、Eugene Rodionov、David Harley、2011年4月
    TDSSマルウェアの内部的な仕組みを詳しく検証しています。

    TDSS part 3: Bootkit on the other foot
    Aleksandr Matrosov、Eugene Rodionov、David Harley、2011年4月
    連載最終回となるこの記事では、TDSSの読み込みプロセスについて解説しています。

    Perfect Ten: Truth and Prognostication
    David Harley、2011年1月
    2011年のセキュリティ動向をDavid Harleyが予測しています。

    Rooting about in TDSS
    Aleksandr Matrosov、Eugene Rodionov
    Virus Bulletinに掲載されたこの記事では、TDSS rootkitのファイルシステムをダンプするユーティリティについて解説しています。公開は2011年1月ですが、初出はVirus Bulletinの2010年10月号です。
    ※これらの論文の著作権はVirus Bulletin Ltdにありますが、Virus Bulletinからの許諾の下、私的利用にかぎりESET Webサイトから無償でダウンロード可能となっています。

    ESETの研究者はこのほかにも、SC Magazineの「Cybercrime Corner」や各種ブログ((ISC)2SecuriteamAVIENInfosecurity MagazineAMTSOSecurity Week)など、多数のメディアに寄稿しています。
     
  • ホワイトペーパー
    Ten Ways to Dodge CyberBullets: Reloaded
    David Harley、2011年12月
    ホワイトペーパー「Ten Ways to Dodge CyberBullets」の改訂版です。「不正な行為から身を守る10のヒント」を紹介しています。

    Problematic, Unloved and Argumentative: What is a potentially unwanted application (PUA)
    Aryeh Goretsky、2011年11月
    「ESETでは、どのようなソフトウェアをPUA(ユーザーにとって好ましくない動作をする可能性のあるアプリケーション)と見なしているのか」という同僚からの素朴な質問を元に執筆されたホワイトペーパーです。

    Win32/Carberp: When You're in a Black Hole, Stop Digging
    Aleksandr Matrosov、Eugene Rodionov、Dmitry Volkov、David Harley、2011年12月
    ロシアのRBS(リモートバンキングシステム)を利用した金融取引を攻撃するマルウェアについて解説しています。ESETとGroup-IBの研究者がこれまでに発表した内容がまとめられています。すでに第1.1版に改訂され、新しい情報が追加されています。

    Options for backing up your computer
    Aryeh Goretsky、2011年8月
    「データのバックアップが必要なのはわかっているが、どうすればいいのかわからない」。そんな方のための実践的なバックアップ実行ガイドです。

    Hodprot: Hot to Bot
    Eugene Rodionov、Aleksandr Matrosov、Dmitry Volkov、2011年8月
    Win32/Hodprotを詳細に分析しています。Hodprotはオンラインバンキングに関する情報を盗み出すマルウェアで、ロシアおよびその近隣諸国で広範囲に感染を広げています。

    Problematic, Unloved and Argumentative
    Aryeh Goretsky、2011年7月
    PUAと呼ばれる、ユーザーにとって好ましくない動作をする可能性のあるアプリケーションについて解説しています。「好ましくない動作をする可能性のあるアプリケーション」と「安全でない可能性があるアプリケーション」の例を挙げながら、純粋なマルウェアとの違いを説明します。

    The Evolution of TDL: Conquering x64 (revision 1.1)
    Eugene Rodionov、Aleksandr Matrosov、2011年6月
    これまでにない新しいテクニックを用いるTDSS/Olmarik/Alureonファミリーについて詳しく解説しています。改訂版では、Olmarikボットネットを大幅にアップデートする新プラグインの情報が追加されています。

    Hanging on the Telephone
    David Harley、Urban Schrott、Jan Zeleznak、2011年2月
    アンチウイルス製品のサポートを装った詐欺電話が横行しています。悪質性という点では偽アンチウイルス製品を大幅に上回るこれらの詐欺行為について、ESETの研究者が詳しく解説しています。

    Stuxnet Under the Microscope
    Alexandr Matrosov、Eugene Rodionov、David Harley、Juraj Malcho、2011年1月
    Stuxnet現象を詳細に分析したホワイトペーパーの第1.31版です。新たな参考文献が追記されています。おそらくこれが最期の改訂となり、今後、参考文献の追記はこちらに行われていきます。
     
マルウェアランキングトップ10
1.INF/Autorun[全体の約5.84%]
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
2. Win32/Conficker[全体の約3.69%]
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
3. Win32/Sality[全体の約1.88%]
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
4. Win32/PSW.OnLineGames[全体の約1.85%]
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
5. HTML/Iframe.B[全体の約1.23%]
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
6. HTML/ScrInject.B[全体の約1.22%]
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
7. Win32/Autoit[全体の約1.17%]
Win32/Autoitはリムーバブルメディア経由で感染を広げるワームで、一部の亜種はMSNを介しても拡散します。悪意のあるWebサイトからダウンロードされたファイルとしてシステムに到達しますが、別のマルウェアによってドロップされる場合もあります。システムが感染すると、実行ファイルを検索し、自身のコピーと置き換えます。ローカルディスクとネットワークリソースにコピーします。実行されると、新たな脅威や自身の亜種をダウンロードします。
8. Win32/Bflient[全体の約0.92%]
Win32/Bflient.はリムーバブルメディア経由で感染を広げるワームです。バックドアの機能を備えており、リモートからコントロールすることが可能です。このワームは、感染メディアがPCに挿入されるたびに自身が実行されるよう設定を変更します。
9. Win32/Tifaut[全体の約0.77%]
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。
autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。
10. Win32/Spy.Ursnif.A[全体の約0.74%]
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2011年のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.84%を占めています。

2011年の結果グラフ
ESET社について

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!