2012年6月 世界のマルウェアランキング

この記事をシェア
2012年6月の月間マルウェアランキング結果発表
目次
AutoCADで作成した図面を送信するワームが出現

ESETのLive Grid(世界中のESETユーザーからのデータを活用するクラウド型マルウェアデータ収集システム)によると、ACAD/Medre.Aというワームが最近、ペルーで急増しています。調査を進めた結果、このワームがAutoCADで作成された図面を盗み出し、中国の電子メールアカウント宛に送信している事実が明らかになっています。ESETでは、中国のインターネットサービスプロバイダー(ISP)のTencent、CVERC(Chinese National Computer Virus Emergency Response Center:中国コンピューターウイルス緊急対応センター)、AutoCADを開発したAutodeskと協力して、これらのファイルの送信を阻止しています。感染対象は主にペルーのユーザーで、数万ものAutoCAD図面が流出していたことが発見時に確認されました。以下はESETが出したコメントです。

「ACAD/Medre.Aは設定を一部書き換えて、中国のISP「163.com」のメールアカウントを所有するユーザーにAutoCAD図面データを送信する。このワームは、さらに163.comの22のアカウント、中国の別のISP「qq.com」では21のアカウントも利用するとみられる。」

「ACAD/Medre.Aは、産業スパイのために設計された可能性のある重要度の高いマルウェアである。新たに作成される図面はすべて、このマルウェアの運用者に自動的に送信されてしまうため、知的財産の正当な所有者が高額の損失を被ることになるのは間違いない。製作段階に入る前に、図面がサイバー犯罪者の手に渡ってしまうからだ。場合によっては、発明者が特許事務所で申請する前に、犯罪者が製品の特許を取得してしまう可能性もある。」

●発見と分析

今日のマルウェア関連のニュースを見てみると、StuxnetやDuqu、Flamerなど新しい標的型、ハイテク、軍事レベルの悪意のあるコードばかりが見出しを飾っています。それだけに今から2カ月前、ESETのLive Gridにより、AutoCADで使用されるAutoLISPスクリプト言語で記述されたワームがペルーで突如急増していると判明したときは思わず目を疑いました。

他の国でのACAD/Medre.Aの感染件数は少ないものの、ほとんどがペルーの隣国かスペイン語話者が居住する大規模なコミュニティーが形成されている国でした。国別に見てみると中国が高いのが不思議に思いましたが、突然急増したこのワームの分析を進めていくに従い、疑問は解消されました。中国のメールアカウントが悪用されているのです。

もちろん、これが実際のすべての感染例ではないでしょうから、検出件数が高いとは言い切れません。しかし、ESETのLive GridでURL別に検出件数についても確認してみたところ、一部の地域で急増した原因と見られるAutoCADの図面テンプレートが特定のWebサイトから提供されていたことが明らかになりました。このテンプレートもACAD/Medre.Aに感染していました。もし、ある企業がこのサイトの運営組織と業務提携する場合、このテンプレートを使用することになるため、このマルウェアが主にペルーや近隣諸国で見つかるのも納得できます。一方で、この地域外に所在している大企業でも、感染したプロジェクトのサポートや検証の要請を支社や支店が受けているようであれば、例に漏れず自社環境にも感染の被害が及ぶことになります。ESETのブログ記事では、実際の感染に関するその他の情報もご確認いただけます。

●ACAD/Medre.Aとは何か

ACAD/Medre.Aは、AutoCADで使用されるAutoLISP(プログラミング言語LISPの方言の1つ)で書かれたワームです。

ESETではACAD/Medre.Aをワームとして検出していますが、ウイルスやトロイの木馬が持つ特性も備えています。感染システム上の開かれているAutoCAD図面のフォルダーに自身をコピーして拡散しようとする点ではワームと言えます(ワームがリムーバブルメディア上にautorun.infのエントリーを作成する手法と類似しています)。そのため、ユーザーがAutoCADのプロジェクトフォルダーを圧縮して、他のユーザーに送った場合、このワームも同時に送ってしまったことになります。システム上にダウンロードするかは、大部分がユーザー次第であるという意味ではトロイの木馬です。故意ではないとしてもユーザーにより手動でダウンロードされると、AutoCADの正規図面と一緒にシステムに侵入します。その一方で、ウイルスと同様に、インストールされたAutoCAD環境に感染します(Win32/Inducウイルスが開発環境Delphiに感染した手法と類似しています)。しかし、一般的な寄生ウイルスとは異なり、実行ファイルには感染しません。

定義の説明はここまでにして、最後にこのマルウェアによりどのような被害が発生するか見てみましょう。

 

●被害内容と対策

ACAD/Medre.Aは、産業スパイのために設計されたとみられる重要度の高いマルウェアです。新たに作成される図面はすべて、このマルウェアの作者に自動的に送信されてしまうため、知的財産の正当な所有者が高額の損失を被ることになるのは言うまでもありません。製作段階に入る前に図面がサイバー犯罪者の手に渡ってしまうからです。場合によっては、発明者が特許事務所で申請する前に、犯罪者が製品の特許を取得してしまう可能性もあります。すでに同様の製品が取得済みであるという理由で自身の特許申請が却下されるまで、発明者はセキュリティ侵害に遭っていた事実に気付かないかもしれません。

私たちの経験上、この種のマルウェアに関して明らかなのは、被害を最小限に抑えるために他の当事者と連携を図るのは適切であるばかりか実に効果的である、ということです。AutodeskやTencent、CVERCの支援を受けずに、ESET単独で問題の解決に乗り出し、感染マシンからのマルウェアの除去を試みるという選択肢もありましたが、彼らと協力したことで、ユーザーに警告や通知を送信できただけでなく、攻撃者が使用するメールの中継システムを使えなくし、メールボックスへのアクセスを遮断することもできました。そのため、被害は今のところ抑えられています。

ACAD/Medre.Aに関するインフォグラフィックについては、付属資料の図1をご覧ください。

ACAD/Medre.Aに関するホワイトペーパーは、ESETのWebサイトから参照できます。

マルウェアの技術的側面を理解することの意義
David Harley、ESETシニアリサーチフェロー

私たちアンチウイルス研究者がセキュリティの脅威に関する執筆依頼を受けると、ウイルスラボで日常的に扱っている脅威の技術的な詳細にページを割く傾向があります。その結果、専門知識に乏しい読者にとってより直接的かつ実際的な懸念事項の扱いが低くなる場合もあります。ここでは、ZeroAccessと呼ばれる脅威について、実際的な影響も一部詳しく見ていきながらバランスよく解説していきます。

同僚のAleksandr Matrosovは最近、ZeroAccessルートキットファミリーの進化に関するすぐれた技術的な分析結果を発表しました。このブログ記事の対象は高い技術的知識を備えているユーザーであり、技術情報の共有を通じて十分な情報に基づく議論を活性化させることを意図しています。技術的な分析の場合、読者が基本的な技術や用語を理解している前提で話を進めるのが通常です。そうでないと、根本的な原理や背景から説明しなければならなくなるため、専門的な知識を有する他のウイルス研究者などの読者は、本題に入るまでイライラしながら待つことになったことでしょう。

しかし場合によっては、極めて高度な技術文書でも、こうした記事を日頃読まないユーザーにとって重要な意味合いがあります。例えば、ESET Threatブログの一部の読者は、Aleksandrが先日執筆した記事「CVE2012-1889: MSXML use-after-free vulnerability」の細部にはあまり興味が湧かないかもしれませんが、ここで説明している問題はすでに被害が発生しています。実際のところは、読者が基本的な技術について把握し、感染ソフトウェアがインストールされているシステムに「Fix it」を適用する重要性を理解しておく必要はありませんでした(詳細についてはこちらのMicrosoftの技術サイトをご覧ください)。同僚のLiz Fraumannは技術面の理解について、Securing Our eCityで「エンドユーザーにとってどのような意味があるか」の理解につながると言及しています。

ZeroAccessについては、Stephen Cobb、Aleksandr、そして私の間で話し合った結果、その背後に潜む犯罪者に不当な利益をもたらすメカニズムを詳しく説明するのは有益であると考えました。人気のある検索エンジンの検索結果を改ざんしてユーザーにクリックさせる(クリック詐欺という手法)ZeroAccess(またはSirefef)は、他の多くのマルウェアファミリーと同様に犯罪者のパートナーや関連会社の間で利用されています。

ZeroAccessは、P2P(ピアツーピア)ネットワークプロトコルを通じて犯罪者たちが使用するC&C(指令)サーバーと通信を行い、ローカル環境のマルウェアに指令を出すことで、不当な収益を得られるようにします。この収益を生み出す「クリッカーモジュール」には、次のような悪意のある技術が実装されています。

  • 「ブラックハット」SEO(検索エンジン最適化)またはインデックスハイジャッキング:BingやGoogleなどの検索結果を改ざんしてユーザーを悪意のあるページへと誘導する手法。
  • クリックジャッキング:ユーザーのクリック操作を乗っ取り、気付かれないように不正行為を目的に作成した別のサイトにリダイレクトする手法。
  • 正常なシステムで表示される検索結果のURLを改ざんする(この場合の目的はクリック詐欺の実行)。クリック詐欺の別の興味深い例については、「Cycbot: and the 'Ready to Ride' cybercrime group」もご覧ください。

C&Cサーバーは命令を出すだけでなく、ペイロードモジュール(マルウェアが実行するアクション)と、XMLベースの設定ファイル形式で悪意のあるURLのリストを更新します。Aleksandrは、TDL3/TDL4のrootkitおよびbootkitファミリーがクリックジャッキングや検索結果の改ざんを実行する能力を備えている点に言及しており、一方Stephenは、偽の検索結果を表示する収益型マルウェアの動作が、プロセスは異なるもののDNSchangerが実行していたアクションと本質的には変わらないことを確認しています。

技術的な詳細は興味深いのですが、複雑なマルウェアが金銭搾取を目的として作成されている事実を忘れてはいけません。rootkitやbootkitは永続的な(システムがリブートしても起動し長期間感染する)ツールセットで、ボットを裏で操る犯罪者たちに多大な利益をもたらします。ユーザーのPCにインストールされると、クリックすなわちリダイレクトのたびに一定の利益が彼らの懐に入ることになります。

ドライブバイダウンロード(悪意のあるURLにアクセスしただけで、ユーザーが何も操作することなく感染する攻撃)や、偽のソフトウェアダウンロードの提供などを介して継続的かつ積極的に拡散されている現状を見る限り、ZeroAccessは犯罪者たちにとっていまだ大きな収益源となっているようです。さらに、このマルウェアに感染した個人または企業のユーザー以外からの収益についても、ボットネットの背後にいる犯罪者により、今後の不正活動に充てられる可能性があります。同じ感染手法を用いて、個人や企業のデータを盗み出し、スパム攻撃やDDoS攻撃を実行するとみられます。

(なお、ESET製品では、ZeroAccessでシステムに感染する試みを、Win32/SirefefおよびWin64/Sirefefとして検出、ブロックします。)

活発な議論が交わされたBled eConference
David Harley、ESETシニアリサーチフェロー

スロベニアの都市ブレッドと聞いて、優雅な景色や名物のブレッドクリームケーキを差し置いて、ITカンファレンスを真っ先に思い浮かべる人はなかなかいないでしょう。とはいえ、長年にわたってヨーロッパの重要な会議が開催されており、6月17日に幕が開いた第25回Bled eConferenceにはESETも参加してきました。

付属資料の図2を参照

本カンファレンスは、次のテーマの下、マリボル大学の学生で構成されるFaculty of Organizational Sciencesによって組織されました。掲げられたテーマは次の通りです。

  • eDependability:将来に向けた信頼できるeStructure、eProcess、eOperation、eService

カンファレンスには、ヨーロッパ、オーストラリア、米国など世界中から幅広い分野の学識経験者や政治家、欧州委員会の代表者、研究者が集い、eHealthインフォマティクスからデータマイニング、電子出版からスマートシティ、ソーシャルメディアからビジネスプロセスやエコツーリズムなど、さまざまなトピックを取り上げました。

ESETノースアメリカのDavid Harleyは、「Targeted Attacks? Everyone is a Target!」というトピックで基調講演を行い、講演後にはスロベニアのテレビから取材を受けました。詳しくはこちらのブログをご覧ください。同日の午後には、ESETアイルランドのUrban Schrottが議長を務めたパネルセッション「eSecurity: the Evolution and Near Future of Cyberthreats」が開かれ、David Harley、ESETスロベニアのGregor Mustar、VirisのMilan Gabor氏がパネリストとして参加しました。

付属資料の図3を参照

後ろに映っているスライドをご覧になればおわかりのとおり、トピックは非常に広範囲に及びました。その一部をご紹介します。

  • 脅威の動向はこの30年でどのように変化しているか?
  • 今日の企業のセキュリティ戦略に対してセキュリティソフトウェアはどの程度重要であるか?
  • 自社環境に適したセキュリティソフトウェアを選ぶことは簡単か?
  • アンチウイルスソフトウェアにはお金を出す価値があるか?
  • ソースコードが広く公開されているボットネットの制圧はマルウェア拡散を阻止するか?
  • RSAやLockheedとは関係のないユーザーにとって標的型フィッシング攻撃はどのような関わりがあるか?
  • 国家インフラやSCADAに対する脅威について、Stuxnetの事例は何を意味するか?
  • Confickerボットネットがいまだ猛威を振るっている理由は?
  • ドライブバイ、ゼロデイ、ワンデイ、および永続的な攻撃のそれぞれの違いは?
  • コスト削減をもたらすBYODの導入はセキュリティ上の問題を引き起こすか?
  • ソーシャルエンジニアリングという用語の深刻な誤用 について

セッションでは、各パネリストが次のような主要トピックについてプレゼンテーションを行いました。

  • 金儲けの手段としてのマルウェア
  • 増加の一途を辿るマルウェア
  • ソーシャルエンジニアリング
  • サイバー犯罪の複雑なシステムと組織
  • 活動中のマルウェア
  • マルウェアの進化

プレゼンテーションが終わると、参加者から次々と質問の手が上がり、ホテル側から翌日の準備のためセッションを終了するよう言われるまで止むことはありませんでした。ところが、その後もロビーにて議論が再び繰り広げられ、次の日も終日にわたり散発的に質問が寄せられました。そこで、議長のUrban SchrottはロシアのIT分野の学生を対象に、海賊版とマルウェア、ホワイトハットハッキングとブラックハットハッキング、サイバー犯罪全般をテーマとした約1時間に及ぶ非公式なセッションを開催しました。参加者たちのこのような反応は、サイバーセキュリティというトピックが学界のIT(またはICT)関係者の間でさえ過小評価されており、今日のサイバー脅威の基本的な概念ですら、多くのユーザーにあまり浸透していないことの表れでしょう。本カンファレンスにおける参加者の意識向上に貢献したとして、主催者側は「今後もESETを専門家として招待しようと考えている」と話しています。

マルウェアランキングトップ10
1.INF/Autorun[全体の約6.28%]
前回の順位:3位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
2. Win32/Conficker[全体の約3.65%]
前回の順位:4位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
3. HTML/ScrInject.B[全体の約3.57%]
前回の順位:3位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
4. HTML/Iframe.B[全体の約3.55%]
前回の順位:2位
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
5. JS/Iframe.AS[全体の約2.72%]
前回の順位:5位
JS/Iframe.ASは、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
6. Win32/Sirefef[全体の約2.57%]
前回の順位:6位
Win32/Sirefef.Aは、検索エンジンでの検索結果を、アドウェアがホストされたWebサイトにリダイレクトします。
7.JS/TrojanDownloader.Iframe.NKE[全体の約2.10%]
前回の順位:9位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
9.Win32/Sality[全体の約1.87%]
前回の順位:8位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
9. Win32/Dorkbot[全体の約1.83%]
前回の順位:7位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
10.Win32/Ramnit[全体の約1.13%]
前回の順位:10位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2012年6月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち6.28%を占めています。

2012年6月の結果グラフ
付属資料
mal1206_img01s.gif
拡大して見る

図 1 - ACAD/Medre.Aに関するインフォグラフィック
mal1206_img02s.gif
拡大して見る

図 2 - ブレッド湖に浮かぶ聖マリア教会
mal1206_img03s.gif
拡大して見る

図 3 -(左から)David Harley、Urban Schrott、Gregor Mustar、Milan Gabor
ESET社について

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!