- 次々と発覚する政府製マルウェアの存在
- 注目の脅威、FLAMEとRAT
- ESETのリソースページに追加された最新の文書
- マルウェアランキングトップ10
- マルウェアランキングトップ10(グラフ)
- ESET社について
- ESETが提供するその他の情報源
今月のマルウェアランキングの最終版を読み返してみると、Flame、Flamer、またはsKyWIper(ESETでは「Win32/Flamer.A」として検出)として知られるコードが注目の的と言えそうです。Flamerについては、この後の「注目の脅威、FlameとRAT」と題した記事でも取り上げています。 その一方、6月1日の今月号に間に合わせるかのように、「イランの核開発計画に打撃を与えたサイバー攻撃は、米国オバマ大統領の極秘命令の下、米国とイスラエルの専門家によって実行された」とする米紙ワシントンポストの報道が飛び込んできました。
攻撃に用いられたのは、ESETのホワイトペーパー「Stuxnet Under the Microscope」(85ページにわたるPDFファイル)で詳細に解説されているマルウェア、Stuxnetでした。同じく米紙のニューヨークタイムズは、その目的がイラン核開発計画の攻撃、妨害であるとし、「一連の攻撃の終盤、すなわちStuxnetの存在が世界中で知られるようになってからの数週間、同国がウラン濃縮用に当時運用中の遠心分離機5000台のうち、約1000台を一時的に使用不能に追い込んだ」と報じています。
もちろん、報復目的で利用されたあらゆる悪意のあるコードと同様に、Stuxnetも詳細な情報が公開され、悪事を企てる犯罪者の手に渡ってしまう運命をたどることになったのは言うまでもありません。他の政府製トロイの木馬コードも同じ道を歩んでいます。ESETは3月、マルウェア研究者Robert Lipovskyがドイツのコードについて、Alexis Dorais-Joncasが中国製とみられるコードについて解説したブログ記事を公開しています。これら政府製トロイの木馬の顛末を見てみると、多くのアンチウイルス研究者にとっては、ニューヨークタイムズの次の記述はどうも的を射ていないと思うのではないでしょうか。
「2010年夏、計画の一要素(Stuxnet)が、プログラミングのエラーによりイラン、ナタンツの施設から流出したことで偶発的にその存在が発覚し、その後インターネットを介し世界中に拡散した。」
念のため言い添えますが、プログラミングのエラーなどなくても、Stuxnetの流出は時間の問題だったことでしょう。イラン側がコードを発見したとき、世界に向けて公表する選択肢もあったはずです。実際、イランのコンピューター緊急対応チームが5月28日にFlameを確認したときは、そのように対応しています(公表に先駆け、コード分析を完了しておきたかったと研究者は話しています)。さらに、デジタルという特性ゆえに、コードの作成者や発見者であればだれでも、自らの手でコピーや拡散、販売、変更などさまざまな操作が可能です。物理的な人工物ではこうはいきません。
「プログラミングのエラーに陥ることなく悪意のあるコードを作成し、配備後も管理下に置き、予想だにしない副作用も発生させないと確信を得ている」。これは、数十年前にアンチウイルス研究者によって明らかにされた誤った考えですが、残念ながら、ニューヨークタイムズでは、このような間違った概念が引用されています。これまで作成者は幾度となくこの考えを実証しようと試みましたが、いずれも失敗に終わっています。だからこそ、私たちは自信を持って、配備されるマルウェアは最終的には公になる運命にあると断言できるのです。
悪意のあるコードについて本当に理解している人であれば、作成したコードを手放せば制御不能になるとわかっています。率直に言って、マルウェアは一度作成すると制御が困難になります。アンチウイルスのラボで誰に聞いても答えは同じです。Stuxnetの作成者が、悪意のあるコードとの戦いに身を投じてきた人たちの声に耳を傾けるような人物であれば、世界中で発生したトラブルや金銭被害の件数は大幅に少なかったことでしょう。
しかし現実には知識とともに備わった傲慢さが勝り、Stuxnetは悪意を持った犯罪者や国家へのギフトとなりました。Stuxnetのコードはあらゆる場所に拡散しています(ESET Threatブログに昨年掲載された記事「Win32/Duqu」をご覧ください)。Flamerにも同じ未来が待っています。これは実質的に、ある国家が悪意のあるコードを開発するために投じたすべての資金が、犯罪者や他の国家の手に丸々渡るようなものです。軍隊に例えれば、革新的な携行式地対空ミサイルを開発して配備する傍らで、その製造設計図と取扱説明書を一般公開し、Webサイトからだれでもダウンロード可能にするなどあり得ません。さらにご丁寧なことには、掲載したフリーダイヤルからミサイルを独自開発するための道具と材料を注文できるようにしている状態と同じなのです。国家のために悪意のあるコードを開発しようだなんて、とんでもなく愚かな行為です。
唯一とも言うべきFlamerに関する明るい話題は、国家が支援する最新のサイバーテロの脅威が発覚しても、今すぐ狙われる可能性が低い点です。中東諸国の政府職員やこうした政府お抱えの兵器開発者でもないかぎり、Flamerの標的となることはまずありません。Flamerは、いまやインターネット上の「一空間」という枠を超え、国から国へと拡散しています。自分のOutlookの受信トレイの電子メールに添付されたFlamerを見つけることは困難です(USBフラッシュドライブは、特に利用頻度の高いFlamerの感染方法のようです)。すぐれたアンチウイルス製品を使用している場合は、今のところFlamerの攻撃からは保護されています。主要なアンチウイルス製品はFlamerを検出できるように迅速にアップデートされており、さらにすぐれた製品は今後、「Flamerに似た」性質を備えたマルウェアの汎用名にも対応するとみられます。
おそらくさらに重要で強調すべき点は、USBフラッシュドライブからのマルウェア感染を防ぐデバイスコントロール機能を搭載したエンドポイントセキュリティを導入するなど、情報セキュリティにおけるベストプラクティスに従っている組織は、今日にも遭遇するかもしれない悪意のあるソフトウェアによる攻撃の大部分に対して適切に保護されている、と言えることです。ある最近の研究ではセキュリティ侵害の90%超が、単純、安価、あるいは中クラスの対策で阻止されていることが判明しています(「注目の脅威、FlameとRAT」を参照してください)。これは、悪意のあるコードという脅威に対する防御策として、セキュリティのベストプラクティスの実践を検討している企業や消費者にとって朗報です。
メディアでの報道を見る限り、5月に話題に上がったマルウェアの中で特に注目を集めたのは、Flame、Flamer、あるいはStrykerなど、さまざまな名称で呼ばれる悪意のあるコードでした(ESETでは「Win32/Flamer.A」として検出)。Flameの登場は、セキュリティ環境のエキスパートと、その出来不出来に頼らざるを得ないユーザーを隔てる知識と理解度のギャップを改めて認識させる形になりました。こうしたギャップは、コンピューターセキュリティという言葉を耳にするようになった初期の頃から存在していました。例えば、一般的なコンピューターウイルスの専門家(どの程度のレベルの人物を指すのかはさておき)は、ウイルスの被害に遭うたいていのユーザーよりもウイルスについて深い知識を持ち合わせています。
残念ながら、潜在的な被害者が存在するウイルスの脅威の攻撃範囲やレベルを詳細に把握していない場合、こうした知識と意識のギャップは、コンピュータセキュリティにおけるベストプラクティスを採用するうえで障壁になり得ます。同時に、Flameのような新種の脅威が出現したときに、一般大衆と専門家のやり取りに支障が出る可能性もあります。ある脅威が発見されるとこぞってセンセーショナルに取り上げられますが、エンドポイントセキュリティをはじめとするセキュリティのベストプラクティスを採用すれば、こうした脅威は容易に防げるという事実と相反しているように思えます。これこそまさしくESETが、今日のマルウェア脅威の性質に対する消費者や企業の意識向上に向けて懸命に取り組んでいる理由です。ギャップを埋めることが目的で、少なくともベストプラクティスの採用をためらわないレベルにまで引き上げる必要があります。
ベストプラクティス
今日のマルウェアの状況を詳しくお話しする前に、セキュリティ上の問題を解消する能力を筆頭に、ベストプラクティスを実践する価値について明確にしておきましょう。基本レベルでも情報セキュリティのベストプラクティスを採用している組織の場合、高額な損失をもたらすセキュリティ侵害に悩まされる確率は低くなります。2011年に発生したセキュリティインシデント855件を分析したVerizonの「データ漏洩/侵害調査報告書」によると、被害に遭った記録は1億7400万件に及び、そのうちの63%は「シンプルかつ安価な」措置で回避可能だったとしています。さらに31%は中クラスの対策で保護できたことも明らかにされています。言い換えると、セキュリティ侵害10件のうち9件は、組織がベストプラクティスに従っていれば、発生しなかったことになるのです。
最善の努力を尽くしたにもかかわらず侵害が発生した場合でも、ベストプラクティスの実践にはメリットがあります。ベストプラクティスの採用と遵守に向けた取り組みを文書化している組織であれば、利害関係者や規制当局から怠惰を指摘されても優位な立場を維持し、悪いイメージを裁判所やマスコミ、世間に残す可能性も低くなります。
マルウェアに対する知識と意識のギャップ
ESETの研究者は、FlameやCarberp、Flashbackなどの複雑なマルウェアの技術的特徴の解明に向けて継続して取り組んでいます。しかし、ラボの外部やセキュリティに精通しているユーザーで構成されるサークル、ITトレードショーなどで、「貴社のアンチウイルス製品はマルウェア対策に有効ですか」と聞いてくる人にいまだ遭遇します。言い換えれば、ITへの関心が高い一般人でも、あらゆるコンピューターウイルス、ワーム、トロイの木馬、バックドア、スパイウェア、RAT、ボットなどを、まとめて悪意のあるソフトウェアの縮小版、すなわちマルウェアと言い表してもよいものか迷うのが一般的です(実際、特定の用語が技術的に不正確に定義され、リスト内の他の用語と重複していることがあり、一部のマルウェア専門家は辟易しています)。
すべての潜在的な被害者が直面するセキュリティ上の課題を詳細に把握する前に、マルウェアに対する意識を向上させる必要があるのは明らかです。今月ラスベガスで開催されたInteropトレードショーでは数十ものプレゼンテーションが行われましたが、意識向上に特に力を入れているESETは参加者に対し、「今日の悪意のあるソフトウェアへの感染は、どの程度深刻であるか」という質問を投げ掛けました。もちろん、答えは「非常に深刻」です。プレゼンテーションを視聴した多数の参加者から寄せられたフィードバックによると、深刻さは多くのユーザーにとって明らかに懸念事項であるようです。
この事実を広めるため、ESETではプレゼンテーションのスライドを閲覧可能にしています。さらに、「Package Delivery in a Flash」というタイトルのスライドプレゼンテーションを16分のナレーション付きの動画で公開しています。動画では、マルウェア感染を、被害者のマシンにインストールされているRATを管理する犯罪者の視点から説明しています。RATはリモートアクセスツールを指し、今日のサイバー犯罪者の間で特に利用頻度の高い「クライムウェア」のカテゴリに属します。
動画では、被害者のマシンからファイルやパスワードを盗み出す機能や、被害者のWebカメラとマイクを使用してスパイ行為を行う機能を備えたDarkComet RATを例に挙げ、詳細に解説しています。一部のメディアの報道を読んでいると、これらはFlameに固有の機能だと思うかもしれません。実際、この音声および動画スパイ機能を持つタイプは最近、SpyEyeと呼ばれるモジュール化されたポイントアンドクリック型のマルウェアの1種として追加されました (ESET製品ではSpyEyeを「Win32/Spy.SpyEye」、Dark Comet RATを「Win32/Fynloski」、Flame を「Win32/Flamer.A」として検出しています)。
実際のところ、マルウェアの多くがFlameと似たような機能を搭載しており、機能をさらに追加できるようにモジュール型に設計されています。 例えば、最も活発なスパム送信ボットネットの1つであるWin32/Festiもモジュール型設計です(このボットネットについては、最近のESETのFestiに関するホワイトペーパーで詳細に解説されています)。スパイ機能という点から見ると、DarkComet RATはこの種のマルウェアの代表格です。その特性ゆえに、シリア国内の紛争が始まって間もない昨年5月、反体制派に対しサイバースパイ攻撃を仕掛けるためのツールとして同国政府が採用したとみられます。
ESETのマルウェアRATSに関する動画では、アンチウイルスおよびエンドポイントセキュリティソフトウェアが担う、この種のマルウェアから保護するうえでの役割についても説明しています。自社のファイルやメールサーバー、エンドポイントでアンチウイルス機能を実行している組織の場合、特にそのエンドポイントがデバイスコントロール機能を適切に搭載しているようであれば、とりわけよく保護されていることになります。
動画では、メールの添付ファイルやドライブバイ感染など、他のマルウェア配布手段がアンチウイルスおよびWebフィルタリング/レピュテーションツールで防御された場合に、USBフラッシュドライブが攻撃手段として使用されていることを指摘しています。幸いなことに、USBの脅威は、エンドポイントにデバイス/メディアコントロール機能をインストールすれば阻止できます。最新のマルウェアは恐ろしい機能を多数備えているとみられますが、全体的な情報セキュリティ戦略の一環として、強力なエンドポイントセキュリティソフトウェアを導入するというベストプラクティスに従っている場合は、この種の攻撃を受ける可能性を大幅に減らすことが可能です。
カンファレンスで発表した論文がESETのリソースページに最近追加されました。こちらからご覧いただけますが、ここでは各論文の概要をご紹介します。
執筆者:David Harley
5月に開催されたEICAR 2012カンファレンスで発表された本論文では、4桁のパスコードの選択に関する一般的な戦略、およびエンドユーザーセキュリティへの影響について考えます。初出は、EICAR 2012カンファレンス発表論文集でした。この研究の出発点であったVirus Bulletinの過去の記事は、Virus Bulletinからの許諾の下、こちら(Hearing a PIN drop)*からご覧いただけます。
執筆者:David Harley
5月のEICAR 2012カンファレンスで発表された本論文では、AMTSO(The Anti-Malware Testing Standards Organization)が、本来の目的を達成するうえで十分な信頼性をどのように確保できるかについて見ていきます。初出は、EICAR 2012カンファレンス発表論文集でした。本論文は、Infosecurity Magazineの関心を集め、その見解についてまとめた記事がこちら(AMTSO has credibility gap for anti-virus testing standards)に掲載されています。Davidは、ブログに「私は、AMTSO、あるいはAMTSOを含むまたは置き換わる組織は今以上に信頼性を確保することが不可欠であると常々考えています。この取り組みが失敗すれば、テストはますます無用に思えるでしょう。というのも、テスト結果の精度に責任を持つテスト機関を擁する公平な組織を欠くことになり、長い目で見れば、信頼性を傷つけてしまうからです」と記しています。Davidは、SC MagazineのCybercrime Cornerにも記事を寄稿しており、次のように書いています。
「私は昨日、ミュンヘンで開催された最新AMTSOワークショップから戻ってきました。ワークショップでは、組織の信頼性のギャップを埋めるため方針について、長時間の及ぶ議論がメンバーの間で交わされました。その結果、営利企業と同様のやり方で組織の内部構造を再構築するのが有効のように思えます(現時点では、Googleのクリスマスパーティーで振る舞われるドリンク代ほどの予算を組むのがやっとですが)。
役員の大部分を引き続きボランティアで構成するという形態が採用される見込みが高い一方、報酬が支払われる管理者が追加されるとみられます。さらに、組織は当初の目標を見直し、そのうちの1つである進行中のテストを監視、文書化を再検討しています。これは、以前のレビュー分析プロセスのような激しい論争にはならないでしょう。
何らかの結果に落ち着くとみられますが、問題は、ベンダーとテスト機関が組織を存続させるためにお互いに協力し合うことができるかどうかにあります。しかし仮に両者が協力し合うにしても、組織が真の基準を確立すると主張する以前に、この極めて不完全な2グループと高い専門知識を備えた学識経験者たちの間の連携をどの程度まで強めるべきなのかはわかりません。ベンダーのカルテルというAMTSOの(不)名誉なレッテルを取り除くため、他のあらゆる利害関係者と協力体制を敷く必要があります。効率的なビジネスモデルに対しても、より一層の効率化が求められる場合もあるでしょう。しかし一方で、今にも崩壊しそうなボランティアの集合体という姿から脱却し、他の階級制のセキュリティ会社のような組織形態を目指すとなると、AMTSOが有する非営利としての性質と目的を大衆にアピールすることがますます困難になるのではないのでしょうか。
執筆者:David Harley & Julio Canto
マルチスキャナーを提供しているWebサイトの使用と誤用について解説します。疑わしいファイルをスキャンして、潜在的に悪意のあるコンテンツがないかチェックできるものの、比較テストの代用品とはならない理由について説明しています。
2011年9月に開催された第5回サイバー犯罪フォレンジックの教育、およびトレーニング(CFET2011)カンファレンスで発表されました。
次の記事は、ESET研究者により執筆された記事を掲載しているページ
(http://www.eset.com/us/resource/papers/articles/)に追加されました 。
執筆者:David Harley、2012年2月
明らかに無害なFacebookのゲームがデータ収集目的の攻撃に利用される仕組みについて論じています。初出は、Virus Bulletin 2012年2月号でした。
次のプレゼンテーション資料は、ESETのプレゼンテーションのリソースページ
(http://www.eset.com/us/resource/presentations/conferences/)に追加されました。
執筆者:Aleksandr Matrosov、Eugene Rodionov、Dmitry Volkov、Vladimir Kropotov、2012年5月
ミュンヘンで開催されたCAROワークショップにおいて、ESET、Group-IB、TNK-BPからの研究者が共同で行ったプレゼンテーションです。Win32/Carberpおよび関連するマルウェアの技術的機能と、犯罪活動の分析について概説しています。
Aleksandr Matrosovのブログ(http://blog.eset.com/2012/05/24/carberp-gang-evolution-at-caro-2012)も参考になります。まったく異なる悪意のあるソフトウェアの例に関する最先端の研究については、過去のブログ(King of Spam: Festi botnet analysis)をご覧ください。
- ※ これらの論文の著作権はVirus Bulletin Ltdにありますが、Virus Bulletinからの許諾の下、私的利用にかぎりESET Webサイトから無償でダウンロード可能となっています。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2012年5月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち6.36%を占めています。
ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
この情報は、ThreatSense.net(※)の情報を元に作成しています。
- ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
