2012年7月 世界のマルウェアランキング

この記事をシェア
2012年7月の月間マルウェアランキング結果発表
目次
フィッシング詐欺サイトの件数が過去最高に
David Harley、ESETシニアリサーチフェロー

フィッシング詐欺対策業界団体のAnti-Phishing Working Group(APWG)は最近、2012年第1四半期のフィッシング詐欺に関する報告書「Phishing Activity Trends Report」を発表しました。collector of statistics統計の収集家はもとより、ほとんどの研究者にとって興味深い内容に映るのではないでしょうか。11ページに及ぶこの報告書では、フィッシング詐欺の現状に関して、APWGとそのメンバーによる監視結果がまとめられています。詳細については報告書を読んでいただくこととして、ここでは重要点をいくつかご紹介します。

  • APWGが報告したフィッシング詐欺サイトの検出数が、2月に過去最高となる5万6859件に達しました。サイバー犯罪の増加傾向は誰の目にも明らかですから、特に驚くべき結果ではありません。
  • 一方、感染PC(ウイルスをはじめとする何らかのマルウェアに感染したPC)の割合は、2011年比の世界平均で3ポイント減少しました。それでも35.51%という高率ですから楽観視はできません。

さて、マルウェアをタイプ別に分類していくと興味深い事実に気が付くかもしれません。2012年1~3月期における各タイプの割合の平均値は次のとおりです。

  • リモートアクセスやバックドアを介した感染マシンの制御と関係している、データ窃盗を目的とするマルウェアや一般的なトロイの木馬:35.67%。
  • クライムウェア(特に金融機関の顧客を標的とするマルウェア):1.52%。
  • その他のマルウェア(ESETの検出対象となっているその他のあらゆるマルウェア):62.81%。

各マルウェアの定義がESETとは異なっている可能性はありますが、現状を大まかに把握するうえでは十分なデータと言えます。標的型攻撃に対する企業の認識についてこの報告書は触れていませんが、この点はProofpointが実施した調査がカバーしています。この調査は、Microsoftが6月に開催したTechEdカンファレンスの参加者を対象としており、約330人の回答者の51%は自社の社員がスピアフィッシング攻撃の標的にされたと確信している、とまとめています。APWGの報告書と比べると小規模な調査ですが、自社の情報セキュリティに精通しているとされるビジネスユーザーの声が反映されています。そして、この数値は、スピアフィッシングがもはや大規模なセキュリティベンダーや政治活動家に限った問題ではなくなったことを表しています。

スケアウェアに使用されるACAD/MEDRE.A

シニアリサーチフェローのRighard Zwienenbergは、ACAD/Medre.Aマルウェアに対処する無料のスタンドアロン型の削除ツールに関する記事を執筆しました。記事のタイトルは「Scareware on the Piggy-Back of ACAD/Medre.A」です。

ACAD/Medre.Aは一部の地域に拡散していましたが、今ではその被害は効果的に抑えられています。その一方でESETの研究者は、この脅威の削除に役立つと主張する奇妙なWebサイトを発見しました。このサイトでは、ACAD/Medre.A感染による症状を通常のマルウェア感染の場合と同じであるかのように説明しています。サイトで言及されている症状は次のとおりです。

  • GoogleやYahooで検索するとリダイレクトされる。
  • デスクトップの背景画像やブラウザーのホームページ設定が変更される。
  • システムのパフォーマンスが低下する。
  • Windowsのレジストリーが破損して、ポップアップ広告が表示される。

いずれの症状も、ACAD/Medre.Aに感染した場合には発生しません。

また、Webサイトでは、手動で削除するための次のような偽のアドバイスも掲載しています。

  • Windowsタスクマネージャーを使用してACAD/Medre.Aのプロセスを停止する。
  • コントロールパネルからACAD/Medre.Aのプログラムをアンインストールする。
  • すべてのACAD/Medre.Aのレジストリーファイルを削除する。
  • PC上のACAD/Medre.Aのファイルを検索して削除する。

言うまでもなく、停止すべきACAD/Medre.Aのプロセスは見つかりませんし、アンインストールが必要なACAD/Medre.Aのプログラムもありません。また、ACAD/Medre.Aのレジストリーファイルも実際には存在しません。

事実無根の情報を並べ立てて、「問題解決のため」と称してサービスを提供することが最終的な目的です。解決に必要なタスクをすべて自動的に実行するソフトウェアをダウンロードするよう促しますが、実際に提供されるソフトウェアはまったく別のものです。

Righardの調査については、「Scareware on the Piggi-Back of ACAD/Medre.A」をご覧ください。

古典的な詐欺の最新版が登場

「.ASIA」ドメイン名に関連する詐欺は依然として根強く横行しています。この詐欺については、ESETの上級研究者であるAryeh Goretskyが「Distinguished Researcher, Aryeh Goretsky in his post “.ASIA Domain Name Scams Still Going Strong”」と題したブログ記事で解説しています。Aryehは自分のメールボックス内で、Asian Domain Registration Serviceと名乗り「某企業が“ESET”という名前でドメイン登録を申請しており、貴社の知財が侵害されようとしている」と警告するメッセージを確認しました。これは2004年以降、オンライン上に流通している古いタイプの詐欺の最新版でした。

この種の詐欺は次のアプローチで機能します。

  • 受取人の信用を悪用する。
  • ソーシャルエンジニアリングを利用する。
  • 誰も使用しない不要なドメイン名を登録するようユーザーを促す。

ブログ記事では、このアジア地域向けのドメイン登録に関連する詐欺など、ソーシャルエンジニアリングを利用する詐欺に遭遇した場合は、次のように対処するよう推奨しています。

  • メッセージが正当であると思える場合は、新たにWebブラウザーを立ち上げて検索エンジンにアクセスし、ドメイン名レジストラーの名称とキーワード(スパムメールやデマ、詐欺など)を入力、検索する。
  • この種のメッセージにはスパム対策ツールによる検出を回避するための変更がしばしば加えられているため、将来的により適切にメッセージを分類できるよう、スパムメールとしてフラグを付ける。
  • 自分のWebサイト上で公開しているメールアドレスを確認する。不要になったアドレスは難読化するか、問い合わせフォームに置き換える。
  • 詐欺師から送られてきたメッセージには返信しない。

記事の全文は「ASIA Domain Name Scams Still Going Strong」をご覧ください。

YAHOO!以外も狙われたパスワード流出問題

同僚のStephen Cobbは先日、「Password Party Weekend? Millions exposed now include Phandroid, Nvidia, me」と題したブログ記事を執筆しました。記事では、45日間にわたってパスワードが流出していたYahoo!アカウントのリストに、彼が所有するメールアドレスの1つが入っていた事件について解説しています。発覚当初はYahoo!にばかり注目が集まっていましたが、実際は次のWebサイトにも侵害の被害が及んでいました。

  • LinkedIn
  • Nvidia
  • Phandroid

詳細については、「Password Party Weekend? Millions exposed now include Phandroid, Nvidia, me」をご覧ください。

CYBERCRIME CORNERで取り上げられた重要なトピック

ESETシニアリサーチフェローのDavid Harleyは、SC MagazineのCybercrime Cornerに、DNSChanger問題をテーマとする「Low-Hanging Fruit in Walled Gardens」というタイトルの記事を寄稿しました。記事ではこの問題に関して、(Microsoftのような)一部の組織がいかなる場合においても感染した各マシンを正確に特定できるという前提で語られている点について疑問視しています。Davidは、その理由として次の2点に言及しています。

  • 誤検知によりシステムが不適切に切断されること。
  • インターネット上で1つのIPアドレスを1台のマシンに固定させることができなくなったこと。

この問題の詳細については、「Low-hanging fruit in walled gardens」で全文をご覧いただけます。

David Harleyが執筆した別の記事「Rovnix Revealed」では、Win32/Rovnixを取り上げています。革新的なbootkit技術を使用して、セキュリティソフトウェアを出し抜き感染PCを乗っ取るマルウェアで、通常は狙われやすいマスターブートレコードではなくボリュームブートレコードをターゲットとしています。

このマルウェアは次のような特殊な性質を備えています。

  • 64ビット版のWindowsに組み込まれたセキュリティ機能をすり抜ける能力。
  • ウイルススキャンを回避する能力。これは、Windowsの起動プロセスの重要な部分を構成するディスク領域に、変更を加えることで可能にします。

このマルウェアの詳細については、「Rovnix Revealed」で全文をご覧ください。

マルウェアランキングトップ10
1.INF/Autorun[全体の約5.46%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
2. HTML/ScrInject.B[全体の約3.37%]
前回の順位:3位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
3. Win32/Conficker[全体の約3.29%]
前回の順位:2位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
4. Win32/Sirefef[全体の約2.78%]
前回の順位:6位
Win32/Sirefef.Aは、検索エンジンでの検索結果を、アドウェアがホストされたWebサイトにリダイレクトします。
5. Win32/Dorkbot[全体の約1.65%]
前回の順位:9位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
6.Win32/Sality[全体の約1.33%]
前回の順位:8位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
7.JS/TrojanDownloader.Iframe.NKE[全体の約1.26%]
前回の順位:7位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
8.Win32/Ramnit[全体の約1.17%]
前回の順位:10位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
9. JS/Iframe.AS[全体の約0.98%]
前回の順位:5位
JS/Iframe.ASは、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
10. Win32/Spy.Ursnif[全体の約0.85%]
このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。
Windowsのレジストリー設定に精通しているユーザーであれば、Win32/Spy.Ursnif.Aがシステムに存在するかどうかはさまざまな方法で確認することができますが、新しいアカウントが作成されたことを確認する方法を知らない一般ユーザーがこのスパイウェアの存在に気づくことは難しいでしょう。
いずれにしても、このマルウェアが使用する設定の細かい部分は、その進化の過程で変更されていくものと予想されます。この種のスパイウェアへの感染を防ぐためには、アンチウイルスソフトウェアをはじめとするセキュリティソフトウェア(パーソナルファイアウォールなど)を導入および実行し、常に最新の状態に維持するだけでなく、最新のパッチを確実に適用し、意図しないファイルのダウンロードやリダイレクト、添付ファイルに注意するというあたりまえの対策を実施することが最も重要となります。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2012年7月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.46%を占めています。

2012年7月の結果グラフ
ESET社について

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!