MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2012年8月 世界のマルウェアランキング

この記事をシェア
2012年8月の月間マルウェアランキング結果発表
目次
詐欺メールの差出人はジェームズ・ボンド?
David Harley、CITP FBCS CISSP、ESETシニアリサーチフェロー

以下はジェームズ・ボンドさながら、“ステアではなくシェイクで”混ぜたウォッカマティーニを飲んでいるらしい、ある419詐欺師の話です。SC MagazineのCybercrime Cornerに寄稿した記事補足文を組み合わせて構成しています。

友人でESETアイルランドの同僚のUrban Schrottが先日知らせてくれた詐欺目的のメールは、なかなか興味深い内容で私も思わず目を留めてしまいました。その件名は大胆にも「あなたの命を狙っている」となっています。差出人は以下の文を読む限り“Dai Teatime”という人物のようですが、このメールの後のやり取りでは“Spike Dwaggin”や“NIKITA”といった名前も使用されており、定かではありません。

私は今、マティーニを傍らにこのメールを書いている。いつになく杯を空けるペースが速いのは、残念ながらあなたの死期が迫っている、と伝えなければならないからだろう。

私はプロの暗殺者だ(その証拠として殺人許可証のコピーを添付する)。先日、スメルシュ(SMERSH)という組織からあなたを殺害するようにとの依頼があった。しかも、マニアックな性行為に及んだ挙句、命を落としたという同情の余地もない死を遂げたように見せかける追加料金が含まれている。私はすでにシャイヤーの種馬(ヘンリーと名付けた。写真も添付した)、ラード、竜を模したディルド(もちろん好事家にも知られるBad Dragonのサイトから購入した。私は一級品しか使用しない)を用意したのだが、どうもあなたは死に値しない人物らしい。そこで、あなたと少し話をしてみようと筆を取った次第だ。残念なことに、国際犯罪組織は任務失敗や依頼のキャンセルを見逃してくれない。したがって、私はあなたの暗殺をいずれ遂行することとなる。恨むなら自分の運命を恨んでほしい。私は自分の仕事をまっとうするだけだ。

知りたいなら、あなたの殺害をスメルシュに依頼した人物を突き止めることは可能だ。それと覚えておいてもらいたいのだが、ここ数日は部下に見張らせているので、あなたの日々の行動は筒抜けで私から逃げようと考えない方がいい。その気になれば、いつでもあなたの人生に終止符を打つことができる。

あなたがもっと生き延びたいのなら早急に返事をしてほしい。さもなければ、私はそのうち元々の契約に従い任務を遂行してしまうだろう。ヘンリーはなかなか愛らしい顔つきだが、彼と一戦を交えるのはあまりおすすめしない。

Toodle Pip(敬具)
Dai Teatime
International Assassin

これまでも、「多額の報酬と引き換えにあなたを殺害するよう依頼を受けたが、あなたの対応次第では見逃してあげよう」と切り出して金銭を巻き上げる419詐欺の例は確認してきましたが、有名作品の設定や文化的要素をごちゃ混ぜにしたような今回の文章は初めて目にしました。

最初のうちは、419詐欺の新しいパターンというよりもある種の滑稽なパロディーだ考えていましたが、詐欺の撲滅活動家が集うフォーラムでさらに調査してみると、詐欺師たちは、このナンセンスな文章で真剣にユーザーを陥れようとしていることが判明しました。殺人証明書がどのようなものか気になる方もいるかもしれませんが、サイトで確認できたのは何やら不穏な雰囲気を醸し出すアニメのキャラが背景に描かれたものでした。実は、最初のメールには添付されていなかったので、撲滅活動家の1人がSpike氏(差出人の別名)に提供を求めていたのです(ところで、この“Spike”という名前は、TVシリーズ「バフィー~恋する十字架~」から引用したのでしょうか)。ちなみに、ヘンリーという名前の馬とBad Dragonのディルドの写真はいずれも現時点で確認できていません。

  • ジェームズ・ボンドとスメルシュ: ジェームズ・ボンドを映画でしか知らないという方は、スメルシュ(1946年まで実在した旧ソ連の諜報機関)が小説版の初期では非常に重要な役割を担っていたことに気付いていないかもしれません。この419詐欺に関するコメントの多くが、スメルシュとスペクター(同じくボンド作品に登場しますが、こちらは完全に架空の犯罪組織)がまったく異なるものであるという点に触れていないのも不思議でした(人事の関係で一方の組織から他方の組織に移籍した人もいるように思えますが)。この点は、アンチウイルス業界と若干似ています。それはさておき、このメールをさらに謎解きしてみましょう。
  • ビートルズ(ビーイング・フォー・ザ・ベネフィット・オブ・ミスター・カイト):「i&ワルツを踊る馬のヘンリーi&」。馬の名前がビートルズのこの楽曲にちなんで付けられたのではないとしたら、驚くべき偶然です。
  • ロシアの女帝エカチェリーナ2世は、(信憑性は極めて低いのですが)馬といささか親密過ぎる関係を築いた結果として命を落としたとする説があります。
  • Nikita(ニキータ)」は、暗殺者の姿を描いた映画および連続テレビシリーズです。
  • また、結びにある「Toodle Pip」と聞くと『ザ・セイント』を思い出します。『ザ・セイント』に関する知識がテレビシリーズや映画を1、2本見て得た程度であれば、1920年代に始まったこの大長編小説の魅力に気付かないかもしれません。主人公の聖人サイモン・テンプラーは道徳心に欠ける振る舞いがしばしば見られるとはいえ、もちろん暗殺は本来の職務ではありません。しかし、Toodle Pipという語句を目にしたとき、その本を読んだ記憶が蘇ってきました。

そして、(悪意のあるジョークですが)「Dai Teatime(ティータイム)」氏はおそらく、バーティー・ウースター(戦前のイギリスユーモア小説の主人公で、少々間が抜けている)の友人か、ESETでコメントスパム関連のサポートを担当していたLetitia Teaspoon(ティースプーン)の信奉者のいずれかに違いありません(彼女は現在、Small Blue-Green Worldにて精力的に働いています)。実は今も隣のオフィスで少女のようにくすくす笑っています。

この話を現実の出来事として受け止めるのはなかなか困難ですが、アイルランド国内のみならず、国外へも拡散しています。詐欺師らにとっては、まだ十分に有効であると映っているのでしょう。今後も「英雄コナン」や「ドクター・オクトパス(スパイダーマンの敵役)」、あるいは「Kraken D’Waggin」といった第2弾、第3弾が続くと予測されます。最後に挙げた作品は知らなかったので、詐欺師の名前かと思ってGoogleで検索してみたところ、一種のキャラクターであると判明したのでホッとしました。一方、私のChainmailcheckの記事に対するRobert氏のコメントは、かなり有益な情報を提供してくれました。彼によると、Spike Dwagginとは、「My Little Pony, Friendship is Magic」に出てくる小さな竜のことです。一方、dai teatimeも同様に興味深い由来が確認されました。「dai」という単語は★(アルファベット順に)★数字で表すと「419」になり、「Teatime」はテリー・プラチェットのディスクワールドシリーズの「ナイトメア・オブ・クリスマス」に登場する暗殺者の名前です。

いずれも非常に奇抜で面白いのですが、この手のメッセージを読んでも小切手に手を伸ばす必要は全くありません。

産業化の道を辿るサイバー犯罪
Stephen Cobb、CISSP、ESETセキュリティエバンジェリスト

マルウェア脅威の背景にある産業化とは、サイバー犯罪者が悪意のあるソフトウェアを使用して荒稼ぎするうえでの効率性向上をもたらすさまざまなトレンドを指します。産業化については今日のサイバー犯罪やマルウェアに関する議論で頻繁に話題に上がりますが、多くの組織はこの現象が新たな脅威の出現とどのように結び付くのか(およびシステムのセキュリティ体制に対し予測される影響)をまだ理解していません。この記事では、こうしたマルウェアの産業化の構造とそこに至った理由について解説していきます。

マルウェアの産業化は、悪意のあるコードを極めて効果的に作成、配布、利用する産業的または商業的プロセスで構成されています。その基盤となる要素は、分業化、専門化、市場、標準化、モジュール化の5つであると私たちは考えています。その目的は利益の最大化です。警察と称してユーザーを脅して“罰金”を支払わせようとする、多くの国で活動中のランサムウェアと呼ばれる脅威とともに、その仕組みについて図を交えて説明します。

サイバー犯罪初期のマルウェアは、ウイルスやワームなど個人や組織から情報を盗み出すために使用されるコードとして定義され、その作者や攻撃者はたいてい1人ずつであったり、同一人物のケースが大部分でした。マルウェアを使用して金銭やデータを盗み出そうとするこうした犯罪者には、コーディングからネットワーク操作、マーケティングからマネーロンダリングなど、さまざまなスキルが求められました。すなわち、逮捕されるリスクと背中合わせという状況の中、ユーザーを信じ込ませるところから始まって、必要なコードを作成、配布して、金銭を搾取するまでの役割をすべて担っていたのです。

(付属資料の図1を参照)

時代の変化とともに、市場ベースの経済が台頭し、値は張りますがこうしたスキルがすべて手に入るようになりました。いまや一儲けをしようと思ったら、誰でもサイバー犯罪に必要なあらゆるツールをまとめて購入できるようになっているのです。求められる各種スキルをすべて身に付ける必要はありません。これは、分業化、そして専門化の促進を示す模範的な例です。

マルウェアのコーディングに長けた人物はそのスキルに見合った報酬を得られるため、その腕にさらに磨きを掛けます。決済システムの開発に気が削がれたり、クライムウェアの配布に固有のさまざまなリスクに悩まされたりすることなく、スキル向上に専念できます。マルウェアのコーダーは、活況を見せる闇市場で彼のスキルとその成果を高いレートで売り付けますが、産業化マルウェアのモデルはここで終わりではありません。

過去10年間における法執行機関とインターネットサービスプロバイダーによるスパム業者の取り締まりは、結果的に、マルウェアの作者がボットネットの一部として動作する膨大な数の感染マシンや脆弱なマシンを秘密裏に制御するための技術を完成させる一因となりました。規模の経済性により、ボットネットはおそらくスパミングまたはDoS攻撃のいずれかを目的として、単一目的型から多目的型へと極めて論理にかなった進化を遂げており、またそのモジュール型設計が功を奏して、感染プロセスを繰り返す必要もなく、感染マシンへの同一の接続で異なるタスクの実行を可能としています。これは、ESETのマルウェア研究者であるJean-Ian Boutinがブログ記事「Win32/Gataka」で紹介している仕組みと同じです。情報取得を目的とするこのトロイの木馬は、ユーザーのWebトラフィックをすべて読み込み、オンラインバンクのページに表示されている残高を変更して、勝手に入金が行われた事実を隠ぺいします。「プラグインを使用してほとんどのマルウェアの機能を実行する、SpyEyeの例と似たモジュール型アーキテクチャを採用している」。

言い換えれば、感染プロセスと収益化プロセスは別々に完了し、そこに市場という存在が介在すると効率的な連携が可能になります。つまり、ある人物がその感染マシンを市場で販売または貸与し、次いで、DDoS攻撃やデータ収集、スパミング、スパイ行為、不正な銀行取引などボットネットによるさまざまな攻撃手法による収益化に精通した別の人物が悪用するのです。2012年5月に世界中で猛威を振るった3種のスパムボットネットの1つであるWin32/Festiについて、ESETの上級マルウェア研究者のAleksandr Matrosovはブログで次のように述べています。

「プラグインモジュール型であるため、Win32/FestiはDDoS攻撃(分散サービス妨害攻撃)を可能とする。このマルウェアのカーネルモードドライバーはバックドア機能を実装しており、指令(C&C)サーバーから設定データを更新し、専用プラグインを追加ダウンロードしてしまう」。

今後予測される傾向の1つは、異なるボットネットに埋め込めるようにするためのコードの標準化です。正規のWebページに偽のフォームフィールドを挿入して、ターゲットのデータをさらに収集する「HTMLインジェクション(Webinject)」の例を考えてみてください。ESETのJean-Jan Boutinは、自身の最新ブログ「post about Win32/Gataka」で次のように説明しています。

「この先、Win32/Gatakaボットネットのオペレーターは、異なるタイプのマルウェアが使用できる高度なWebinject設定の利用を可能にするとみられる。Webinject設定ファイルは特定のタイプのマルウェアに関連付けられておらず、この作成に精通している人物は、より規模の大きい顧客を対象に売り込むことができる。スクリプト自体にコントロールパネルとの通信を許可することで、情報収集を目的とする各種マルウェアの連携がより容易になる」。

その結果、私たちは現在、標準化、専門化、モジュール化、分業化、市場といった産業化要因の相乗効果を目の当たりにしています。より洗練されたマルウェアが次々と現れ、検出を回避して収益性を高められるよう急速に進化しています。ここ最近出回っている、FBIに成りすましてユーザーから金銭を脅し取ろうとする厄介なランサムウェアの例を見てみましょう。警告ページのデザインは、平均的な詐欺のケースと比べて高品質な作りになっています。このマルウェアがユーザーのPCを乗っ取る手法は高い効果を発揮しています。その配布メカニズムを回避するのは困難とされ、マルウェア自体の削除も容易ではありません。複数の国に拡散させながら、シナリオ全体に対し少しずつテストと改良が重ねられています。結果として、逮捕されるまで、犯人グループは比較的低リスクで高い収益を上げ続けることになるでしょう。私たちは、産業化マルウェアのメリットを生かした同様の犯罪が今後増えていくと予測しています。

最新のサポート詐欺の実態

今月、DorifelまたはXDocCryptと呼ばれるマルウェアが、オランダを中心に甚大な被害を引き起こしました(ESETではWin32/Quervar.Cとして検出。こちらから削除ツールをダウンロードできます)。Robert Lipovskyによる技術分析「Quervar - Induc.C reincarnate?」で明らかになったように、なかなか興味深い特性とWin32/Inducとの類似性を備えています。

ところが、この分析結果が詐欺目的で利用されていることが判明しました。おそらく作成者ですらこのような展開は予想していなかったでしょう。インドのサポート詐欺師たちは、この結果を持ち出して、オランダのユーザーに「あなたのPC環境をクリーンかつ安全にします」と切り出します。その請求額はいつものことながら高額です。

数日前、私の元にもインド系の英語を話す女性から似たような電話が掛かってきました(またしても、です)。彼女は、『あるウイルスによる大規模な被害が英国で確認された、私のPCに感染しないようサポートをしたい』と言ってきました。 その価格は案の定、非常に高額でした。しかし、彼女にこの想像上のウイルスの詳細を聞いてみると、口を閉ざしてしまいました。しかも、私がWindowsユーザーではないとわかると(あいにく限りなく事実なのです)、「サポートすることができない」と言い出し、私がサポートが目的なのか、お金が目的なのか問い詰めていると会話の途中で電話を切ってしまいました。

彼女は“Anna”と名乗りましたが、先月電話をしてきたインドのウッタルプラデシュ州にあるサポートセンターのAnna氏と同一人物であるかはわかりません。彼女は、私のPCからエラーメッセージが送信されたとし、CLSID(COMコンポーネント毎のユニークな識別子)を利用して私のPCに関する何らかの情報を保持していると信じ込ませようとしました。私が信用していないと察し、ASSOCプログラム(Windowsの基本コマンド)は何を意味するのかとの私の質問に、彼女は電話を切ってしまいました。

こうした詐欺師たちは、まず間違いなくQuervarをはじめとする実際のマルウェアを扱う犯罪者との接点や、知識を持ち合わせていません (中には、PCの一般的な知識すら欠けているケースもあります。今回のAnna氏に至っては、私がMacを使っていると言うと完全に次のセリフが出てこなくなり、何を言うべきか上司に確認しなければならないほどでした)。私たちが今直面している問題は、Righard Zwienenbergが7月に執筆したブログ「Scareware on the Piggy-Back of ACAD/Medre.A」の内容により近いと言えるでしょう。本物のマルウェアが(実際の脅威以上に)、役に立たないソリューションを売りつける目的で使われているのです (偽のマルウェアに関する情報をでっち上げて、いささか非倫理的な手法で正規のアンチウイルスソフトウェアを売りつけるベンダーにはうんざりします。目にするだけで不愉快です。詳しくは、「Scareware and Legitimate Marketing」をご覧ください)。

今月は、VERIFYユーティリティーを悪用する新手とみられる手法も注目を浴びています。詳細は「Misusing VERIFY (and other support scam tricks)」で確認できます。こうしたサポート詐欺では、特定の地域がピンポイントに狙われている可能性が示唆されています。マルウェアの被害がその時点で最も深刻とされる地域を見定めたうえで、電話を掛ける相手が絞り込まれているのです。

とはいえ、悪いニュースばかりではありません。

サポート詐欺師たちが、詐欺行為を働くウイルスの削除やシステム保護といった“サービス”をエサにクレジットカード情報を聞き出そうとする場合、そのユーザーのシステムへのリモートアクセスを許可させるよう説得できるかが重要になります。

英国からの報告によると、詐欺師の間で利用頻度が高いのは「LogMeIn」というリモートアクセスサービスですが(Team Viewerを利用しているとの報告も多数寄せられました)、米国ではたいていの場合、「Ammyy」のサービスが利用されているようです。実際、同社がサービスの不正利用に直接関与している事実を示す証拠は確認できていないものの、米国ではこの種の詐欺は“Ammyy詐欺”として認知されています。

これに対し、Ammyyはこの問題を重く受け止め、詐欺事件とは何ら関わりがないと主張しています。以下は、同社のコメントです。

「“Microsoft”またはその関連会社を名乗る人物から電話が掛かってきて、PC上でウイルスやエラーが見つかったとして、Ammyy Adminを利用したサポートを申し出てきた場合、それは間違いなく詐欺です。」

同社はまた、詐欺師の罠にかかってしまったユーザーに対するアドバイスも掲載しています。まず、インターネット接続を切断して、銀行口座を凍結するよう銀行に連絡します。そこまでする必要があるのかと思われるかもしれませんが、ご自分の金融機関の口座が狙われる心配はないと断言できる要素はどこにもありません。次に、PCを再起動して、ウイルススキャンを実行します。再三繰り返していますが、たとえ紛れもなく不正なソフトウェアの存在が確認されていないとしても、理にかなった対策を講じる必要があります。最後に、詐欺師たちに再アクセスさせないようにするにはどうすればよいか気をもんでいる方には、次のアドバイスが有効でしょう。

「...Ammyy Admin Serviceがインストールされておらず、自動モードで動作しないことを確実としてください。そのためには、Ammyy Adminのメイン画面から [Ammyy]、[Service]、[Remove] の順にクリックします。その後、PCを再起動します。」

同社はまた、ユーザーがAmmyy adminの使用を今後希望しない場合、アンインストールする必要はなく、.exeファイルを削除するだけでよいとしています。

スマホにも忍び寄るモバイル脅威
Robert Lipovsky

従来の携帯電話ユーザーを狙った犯罪といえば、ほとんどが窃盗や強盗に限られていました。この種の攻撃はいまだ陰りを見せていませんが、スマートフォン時代の到来に伴い、ユーザーから金銭を搾取する手法はますます多様化しています。仮想世界での強盗は相変わらず頻発しており、皆さんが使っているスマートフォンにも危険が忍び寄っていることでしょう。

モバイル用マルウェアの検出数の大幅な増加が確認されていますが、中でも顕著なのはAndroidプラットフォームです。これは、ユーザーからの人気が高く、そこに目を付けたサイバー犯罪者が多い実態を示しているといえます。後半に掲載したグラフは、過去12カ月間のAndroidを狙ったマルウェアの検出数を示しています。散発的に発生する少数のマルウェアから深刻な脅威まで、その数が増加しているのは極めて明らかです。

(付属資料の図2を参照)

mTAN mADness

一般ユーザーにとっての現実的な脅威というと、金融機関を標的とするトロイの木馬による攻撃です。SMSテキストメッセージの送信時にmTAN(モバイル取引認証番号)を含める2ファクタ認証を回避するため、犯罪者は金融機関を狙うトロイの木馬のモバイルコンポーネントを利用します。犯罪者が描くシナリオは次のとおりです。

  1. ユーザーのPCが、ドライブバイダウンロードにより金融機関をターゲットとするトロイの木馬に感染する
  2. このトロイの木馬は、ユーザーが金融機関のWebサイトのアドレスを入力するとアクティブになる
  3. トロイの木馬は、金融機関のWebサイトにHTML要素を挿入し、偽の新しいセキュリティ証明書を表示してユーザーに携帯端末のタイプ(SymbianやAndroidなど)と電話番号を入力するよう要求する
  4. 偽の認証用のダウンロードリンクを記載したSMSがユーザーの元に送信されるが、実際はモバイルマルウェアのコンポーネントで、ユーザーは気付かずにインストールする
  5. デスクトップPCにこのトロイの木馬が侵入し、ユーザーが知らないうちに犯罪者の銀行口座に振込をする
  6. 金融機関からユーザーの端末に認証用SMSが送信されるが、モバイルコンポーネントによって犯罪者に転送される。このモバイルマルウェアは、端末の着信音をミュートにしたり、メッセージを削除したりすることもできるため、ユーザーは何が起こったのか気付かない可能性がある
  7. 犯罪者は認証用のmTANを保持しているため、ユーザーの金銭を受け取ることができる

上位のモバイル脅威

「脅威レベル」や「深刻度」の観点から見れば、上記のようなタイプは上位にランクインするでしょう。拡散状況を考慮すると(統計情報上で増加に最も貢献している種など)、SMSを盗む単純なトロイの木馬や、モバイルのアドウェアやPUA(ユーザーにとって好ましくない動作をする可能性のあるアプリケーション)が上位に名を連ねます。SMSを盗むトロイの木馬の場合、攻撃者は通常、ハードコードされた割増料金の電話番号に秘密裏にSMSメッセージを送信し、その所有者に高額な通話料金を支払わせることで利益を得ます。他方、モバイルのグレイウェア(アドウェアや各種PUA)はまったく別の話です。ご存知のとおり、無料のモバイルアプリの多くは、広告でサポートされています。しかし、こうした広告ネットワークの一部では、かなり悪質といえる動作が確認されています。例えば、携帯端末から膨大な情報を収集する、端末に勝手に変更を加える(ブラウザーのホームページやアプリのショートカットなど)、迷惑なポップアップ広告を表示する、などがあります。

自分自身を保護するための簡単かつ無料で実践できる対策は、実はデスクトップの場合と非常に似ています。デスクトップユーザーに対する「軽はずみなクリックは避ける」というアドバイスは、モバイルユーザーでは「軽はずみなアプリのインストールは避ける」に置き換わります。大半のモバイルマルウェアは、ユーザーの同意なしでインストールが可能になるまで高度化していませんが、代わりにソーシャルエンジニアリングを利用したり、人気の正規アプリを装ったりします。スマートフォンユーザーは、インストールしたアプリから権限を要求された場合、本当に許可してもよいか慎重に検討する必要があります。

ビジネスユーザーであれば、組織内でモバイル活用に関するポリシーを制定する、非公式のアプリストアのアプリのインストールを禁止する(さらに厳しい対応として、ホワイトリストにある特定のアプリのみインストール可能とする)、といったベストプラクティスが考えられます。

マルウェアランキングトップ10
1.INF/Autorun[全体の約4.62%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
2. HTML/ScrInject.B[全体の約3.55%]
前回の順位:2位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
3. Win32/Conficker[全体の約3.06%]
前回の順位:3位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
4. Win32/Sirefef[全体の約2.75%]
前回の順位:4位
Win32/Sirefef.Aは、検索エンジンでの検索結果を、アドウェアがホストされたWebサイトにリダイレクトします。
5. HTML/Iframe.B[全体の約2.66%]
前回の順位:11位
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
6. JS/Iframe.AS[全体の約2.04%]
前回の順位:9位
JS/Iframe.ASは、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
7. Win32/Dorkbot[全体の約1.49%]
前回の順位:5位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。
8. Win32/Qhost[全体の約1.45%]
前回の順位:21位
この脅威は、自分自身をWindowsの%system32%フォルダーにコピーしたあと動作を開始します。さらに、DNS経由で指令(C&C)サーバーと通信します。電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。
9. JS/TrojanDownloader.Iframe.NKE[全体の約1.36%]
前回の順位:7位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
10. Win32/Sality[全体の約1.21%]
前回の順位:6位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2012年8月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち4.62%を占めています。

2012年8月の結果グラフ
付属資料
mal1208_img01s.gif
拡大して見る

図1

専門化  モジュール化  分業化  標準化市場

mal1208_img02s.gif
拡大して見る

図2
Androidを狙ったマルウェアの検出数
ESET社について

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!