本来、ランサムウェア（身代金要求型不正プログラム）には何一つユーモラスな点はありません。マルウェアによって重要な業務ファイルが暗号化されてしまって、3000ドルを支払う羽目になったオーストラリアの企業、TDC Refrigerationのオーナーの身になったら、誰もがそう思うのではないのでしょうか。しかも、当の犯人グループは支払いを受け取ったにもかかわらず復号化用の暗号鍵を提供しなかったので、完全に払い損になってしまいました。それでも、最近アイルランドの新聞数紙で報じられた、アイルランド語が使用された初のウイルスが発見されたとする記事を面白半分にとらえている人もいるかもしれません（もちろん、“本物”のウイルスとは異なり、自己複製機能は備わっていないようです。最近のマルウェアは自己複製を行わない種も多く、ほとんどのランサムウェアもこのタイプに該当します）。

このケースでは、ドニゴール州のユーザーがPCを使おうとしたところ、どういうわけかロックされていました。画面に表示されたメッセージによると、以前ポルノサイトにアクセスした（あるいは、アクセスした可能性がある）という理由でアイルランドの政府機関によってロックされたというのです。メッセージはアイルランド語（ゲール語の一種）で書かれていますが、インタビューに応じたコンピューターの技術者によれば、一部で自動翻訳ソフトウェアを使用した形跡が見られるそうです。文面はさておき、アイルランドの国旗を取り入れたロゴも記載されているためか、公文書と信じ込ませるには十分な説得力があるように思えます。そもそも、官僚だからといって、必ずしも質の高い文章を書き上げるとは限りません。

この記事を論評した各レポートでは、いずれも「Gaeilge（アイルランド語でゲール語の意）のようだ」、あるいは端的に「Gaeilgeだ」と書かれており、馴染みのない人は「Gaeilge」が悪意のあるプログラムを指す恐ろしい言葉と誤認してしまうでしょう。私が知る限り、アイルランド語の「Gaeilge」は単純に東のアイリッシュ海側で使用されるゲール語を指しています。もしターゲットがメッセージの内容を理解していたら、「Irish Virus」というデマ情報と混同していただろうと思います。このデマ情報のメッセージは、次のような文面です。

あなたのPCは、「IRISH VIRUS」に感染しています。

このウイルスは、信頼できるシステム上で動作しています。ハードドライブ上のファイルをすべて手動で削除し、このウイルスをメーリングリストに登録しているユーザー全員に転送してください。

（信じられないかもしれませんが、一部のアンチウイルスソフトウェア企業では、悪意のあるデマ情報としてこのメールをサイトに掲載し、ユーザーに拡散させないよう警告しています。これらの企業は、ESET以上に顧客の知性をハナから疑っているようです。）

「Irish virus」という語句には別の用法もあります。セキュリティとは何の関係もないばかりか、アイルランドという国家に対し非常に失礼な意味合いがあるため、詳述は控えます。

サンプルか少なくともファイルのハッシュ値を利用できない限り、ドニゴールの事件で指摘されたマルウェアが後述のランサムウェアとまったく同じ特徴を有しているかどうかはわかりません。しかし、ランサムウェアを用いる犯罪者たちがターゲットを特定の人物に絞るとも思えません （アイルランドを代表する歌手、ポール・ブレイディのRocks of Bawnについてコメントがありましたら、こちらからご自由にどうぞ）。

しかし、この最初の報道から程なくして、問題のメッセージの興味深いサンプルをいくつか入手したというKafeine氏から連絡を受けました。

こちらに掲載されているメッセージの画面例は、ドニゴール・デイリー紙やその他の報道の内容とは正確には一致しませんが（例えば、アイルランド国旗ではなく、アイルランド警察（Garda）のロゴなど）、ソースが同じであると判断するには十分な類似性を備えています。あいにく私はゲール語の知識は持ち合わせておらず、グラフィックからテキストを解析できる自動翻訳ソフトウェアも利用できないのでメッセージの内容まではわからないのですが、サクソン系の先祖から受け継いだ私の目には、私でも理解できる言語で書かれたこのページの画面例と内容が酷似しているように見えます。私にとってありがたいことに、この詐欺師は不用意にもフランス語のテキストをアイルランドをターゲットとする詐欺メッセージに一部再利用していました。何ともお粗末です。

Kafeineによると、ドニゴールで報告されたマルウェアのサンプルが送られてきた場合、それはUrausyというトロイの木馬の別の亜種のようです。Revetonに似たマルウェアであり、ESETではWin32/Injectorの亜種として検出される可能性が高いと見られます。UrausyをGoogle検索してみると、削除ツールを提供するサイトやアンチウイルスソフトウェアでは検出できないと告げるサイトがヒットするかもしれません。たとえアンチウイルスソフトウェアがすべての亜種を検出することはないとしても、自分を見失っていない限り、Google検索で引っかかったユーティリティーのダウンロードには特に慎重になってください。すべて本物だということはまずなく、他のセキュリティソフトウェアに関する嘘の情報を提供しているのならなおさらです。

こちらは同じくKafeine氏から送られた別バージョンの詐欺メッセージです。今回はアイルランドの国旗を含んでいます（そのうえ、ほとんど同じソーシャルエンジニアリングが使用されているように思えます）。

英語を含む各種言語で作成された、他のさまざまなデザインを手掛ける専門のグラフィックデザイナーに関する情報を入手するには、こちらのKafeine氏の投稿、フランス語に詳しい方であればこちらのMalekal氏の投稿をチェックしてみてください。

デザイナーと詐欺師の間で、コミュニケーションがうまく取れていないことを表す例もあります。例えば、アイルランド語ユーザーをターゲットにしているにもかかわらず、中身はペルシャ語になっています。このジョークは、「ウシュク・ベーハ（Uisce Beatha＝アイルランド語で「生命の水/ウイスキー」）を一杯やる価値がある」などと思えてくるから不思議です。犯罪者たちはアイルランドの民族構成をよく知らないのかもしれません（私も自信はありませんが）。こうなってくると、ウェールズ語版の登場が待ち遠しいですね。では、皆さん乾杯。

この記事の締めくくりとして、このタイプのランサムウェアの特徴について大まかに紹介します（とりあえず、Kafeine氏が指摘しているものだけですが）。

• 一見、公文書のように見えますが、対象言語のネイティブスピーカーにとっては自動翻訳の結果であることは明白なのかもしれません。
• ユーザーが所在する地域の法律に違反していると示唆する場合があります。著作権侵害やポルノ（小児性愛や獣姦といったコンテンツを含む）規制に関する法律で、マルウェアをばらまいているユーザーのPCは適切な保護が必要だとする方向に話を持っていきます。お住まいの地域に、ポルノや著作権に関する法律が実際にあるかもしれませんが、言い渡される可能性のある地域の刑法や処罰の細部は実際の法律とは関係ありません。いずれもただ単にユーザーを脅す目的でのみ言及されます。
• 被害の拡大を回避するためとして、72時間以内に100ドル（あるいはユーロ、スイスフランなど）の罰金を支払うよう要求します。ターゲットを混乱させ、考える時間を与えないまま目的の行動へと導く、よくある詐欺の手口の1つです。
• kashやMoneypak、paysafecardなどの電子マネーを利用して支払うよう要求します。しかし、警察や司法機関が、こうした前払い振込を求めるとは思えません。いずれも犯罪目的で手軽に悪用される電子決済システムです（ロシアの同僚が執筆したブログをいくつか読んだことがあれば、実際に遭遇してもすぐにピンと来るでしょう）。

メッセージでは、ユーザーのシステムが48時間以内にロック解除されるとしています。もちろん、実際に解除されることはありません。思い当たることがあったら、まずご利用になっているアンチウイルスベンダーのヘルプデスクに連絡することをおすすめします。

時間があれば、ESETアイルランドのUrban Schrottが執筆した興味深い記事もご覧ください。こちらもアイルランドの言語での宝くじ詐欺に関する話で、私も少し前に執筆に協力しました。419詐欺（先払い詐欺）は、たいていの場合、笑い話では済まされません。詐欺師の罠にかかり大金を失った方もいます。しかし、一方でこちらの記事「Irish 419-er seeks Spanish Lady」で紹介しているような何とも愚かなメッセージもあります。

ボットの設定データやC＆CサーバーのURL、ペイロードのデータ、盗まれたデータ等の情報収集の目的で行われるフォレンジック分析は、サイバー犯罪グループの捜査において重要な役割を果たしています。一方で、高度な脅威として分類される今日のマルウェアの一部は、さまざまなテクニックを駆使して、フォレンジックを回避し、感染システム上での自身の存在を隠します。この論文では、幅広く利用されているアンチフォレンジック技術である隠し暗号化ストレージの実装について、現在実際に出回っている次の脅威を用いた技術的かつ詳細な分析を紹介します。

• Win64/Olmarik（TDL4）
• Win64/Olmasco (MaxSS)
• Win64/Rovnix/Carberp
• Win64/Sirefef (ZeroAccess)
• Win32/Hodprot

これらの高度な脅威は、隠し暗号化ストレージ領域を使用して、データを隠蔽し、オペレーティングシステムのファイルシステムに不具合を引き起こします。論文の著者らは、隠しストレージの実装の詳細に加え、各種マルウェアがシステム内に潜伏する方法にも焦点を当てます。最初の分析対象は、初期化の手順とその背後にあるメカニズムです。隠しコンテナへのデータの格納とデータの取得に使用されるシステムのメカニズム、およびマルウェアのメカニズムへの依存具合を明らかにします。中でも、隠しストレージにコンテンツを隠ぺいしておき、システムやセキュリティソフトウェアによる修正からコンテンツを守る目的で搭載されている自己防衛メカニズムについては、特に詳しく述べられています。また、懸念される脅威ごとの隠しファイルシステムの詳細な説明や、ここで分析される他の脅威との機能の比較情報も提示されています。

論文の最後では、隠しストレージ内のデータを取得するためのアプローチが紹介され、自己防衛のメカニズムを撃退し、ハードドライブ上の隠しストレージを見つけ出してプレーンデータを読み取るために講じるべき措置について説明しています。

今日では、社員が個人所有のインターネット接続対応端末を職場で使用するのは珍しくもない光景となりました。企業や学校などの経営者は、社員や学生が私物の端末を使用するようになれば、大幅な経費削減につながると考えるでしょう。しかし、実際のところはどうでしょうか。経済的なメリットにばかり目を向けているのではないでしょうか。

BYOD（私物端末の業務利用）にはさまざまなメリット、デメリットが潜んでいます。サポートの必要があると見られるデバイスは膨大な数に上り、問題を引き起こす可能性があります（そのうえ、組織が把握していないデバイスが利用されているケースもあるでしょう）。この論文では、危険である、あるいは潜在的に危険であるとユーザーが認識していないインターネット接続対応端末を含む、BYODのメリットとデメリットについて見ていきます。

これらの端末を利用する際、たいていの場合はApp Storeやアプリマーケットからアプリをダウンロードします。アプリにはもちろん高い安全性が求められますが、はたして個人ユーザーや企業のデータにどのようなリスクをもたらすでしょうか。さらに、論文では、企業ネットワークを狙う各種攻撃や厄介なデータ漏洩のリスクに関連する問題について解説します。例えば、携帯端末上の企業データの暗号化が徹底されていない、などが挙げられます。最後に、ユーザー固有の環境でBYODポリシーを策定する方法、そしてその実践にどれだけのメリットがあるかについてアドバイスを提供します。Live USBメモリからPCをブートするWindows 8の機能「Windows To Go」は、おそらくBYODをIT部門の管理化に置くうえで最適です。OSの実行や各種アプリのインストール、管理者によるグループポリシーの適用を可能にします。

留意すべきなのは、BYODは今後予測されるトレンドではなく、すでに定着した概念であるという点です。BYODとは、巨大（Big）で、そのうえ（Yet）社外（Outside）へのデータ流出を回避するための防壁（Defence）の略であるべきなのです。

Win32/Dorkbotは、2011年の初めに出現した途端に短期間で検出数が急上昇し、年間を通じてラテンアメリカで最も大きな影響を及ぼしたマルウェアになりました。拡散手段にはリムーバブルメディアやソーシャルネットワークを使用、出現からわずか3カ月で脅威検出数ランキングのトップに上り詰めました。Win32/Dorkbot（これはアンチウイルス業界で用いられている表記で、作者はNgrbotと表記するのを好んでいます）は、ラテンアメリカのサイバー犯罪者の間で人気の高い攻撃手段として際立っており、多様なメディアや経路を介して広範囲に拡散しています。

これまでに小規模のボットネットが大量に検出されており、いずれも感染PCから個人情報やネットバンキングのログイン情報の窃盗を目的としています。攻撃者は、リムーバブルメディア経由で.lnkファイルを介して拡散させたり、Facebookなどのソーシャルネットワーク上でカスタマイズが施されたメッセージをばらまいたりするほか、ローカルニュースや脆弱性のあるWebページも使用します。IRCプロトコルを介してボットを制御し、システムを乗っ取ってボットネットを構築しています。

本論文ではWin32/Dorkbotの主要な能力と特徴を解説するとともに、Autorun経由の拡散から.lnkファイル利用の拡散までに至る進化の各過程や、情報を盗み出す技術についても取り上げます。また、このワームで最も広く拡散している亜種であるWin32/Dorkbot.Bは、そのコンストラクターがWeb上に流出しており、利用可能になっています。私たちは、該当地域でアクティブなボットネットの1つを追跡し、サイバー犯罪者によって実行される主な活動を調べました。

調査の結果、ボットマスターと通信しているボットPCの数が数千台にも及ぶことが判明しました。ボットマスターは、複数のサーバーや脆弱性のあるWebページを利用して、フィッシング攻撃を仕掛けたり、脅威を拡散させたります。

ソーシャルメディアを利用したメッセージの拡散も有効な手段で、FacebookやWindows Live Messengerを介してこのマルウェアのコピーが広まっています。拡散目的のメッセージに用いられるトピックには、各国の首脳や著名人、世界中で起こった出来事などがあります。また、メールアカウントは、このマルウェアに盗み出されたり、乗っ取られたりしています。

私たちはさらに、ラテンアメリカと世界の他の地域とではWin32/Dorkbotの活動状況がどの程度差があるのか、そしてなぜ差が生じているのかという点に目を向け、インターネットの利用状況やソーシャルメディアの普及具合、ユーザー教育などのトレンドも見ていきます。これらの要因が相まって、該当地域において膨大な数の感染をもたらしています。ボットネットの制御や命令、プロトコルといった主な特徴については、この論文で解説されています。

マルウェアに関する誤った解釈を、友人や家族だけでなく、業界の専門家からも聞かされることがあります。こうした誤認識、誤記述の一部は単なるケアレスミスで済まされるのですが、他方で、悪意のあるコードの実態や動作、拡散手法について懸念を抱いてしまうような解釈をしている人もいます。このプレゼンテーションでは、コンピューターユーザーを対象としたベンダーニュートラルな調査の結果を明らかにします。マルウェアの脅威に対する実際の認識についての適切な把握を目的としており、対象者からはマルウェアに関するさまざまな質問に対する回答を得ています。

ある問題を解決するにはその問題への理解が必要不可欠である、と私たちは考えています。アンチウイルス研究者は、この数十年間、悪意のあるコードが出現するたびにその機微への理解に注力してきました。こうしたコードは、世界中のコンピューティングデバイスに感染し、さまざまな問題を引き起こしています。現在も活動中のコードは決して少なくありません。問題の側面を理解する目的で感染によって現れる外面的な症状も研究されており、突き詰めていくとなぜコンピューターがいまだ感染しているのか、という疑問にぶつかります。このプレゼンテーションでは、この疑問への回答は掲示していませんが、問題を理解するうえで重要な役割を担う次の質問に焦点を置いていきます（物議を醸すかもしれませんが）。

• 一般ユーザーはマルウェアについてどのようなことを知っているか。
• 一般ユーザーはどこで情報を入手しているか。
• 一般ユーザーはリスクのある行動などの概念について、どの程度理解しているか。
• 感染が発覚後、一般ユーザーのオンラインでの行動に変化が見られたか。

Win32/SpyEye並みのサイズと複雑さを備えた銀行標的型のトロイの木馬は、今後なかなか現れないだろうと思っていました。ところが、そんな考えは昨年発見されたWin32/Gatakaによって覆されました。Win32/Gatakaは、HTMLページにコンテンツを挿入する能力と、プラグインを使用して容易に拡張できるモジュール型アーキテクチャーを備えている銀行標的型トロイの木馬です。コンピューターにインストールされると、ボットネットのオペレーターの命令に従い、個人情報を盗み出します。現在、ドイツ、オランダ、オーストラリアなどの国で銀行の口座情報を盗み出す目的で利用されています。

このプレゼンテーションでは、このマルウェアの発見や内部構造に加え、認知度の高い別の銀行標的型トロイの木馬、Win32/SpyEyeとの類似点について説明します。例えば、どちらも同じWebinject設定ファイルの構文を共有しています。これは、マルウェア作者の専門化を示す良い例です。特定の機関を標的とするWebinjectファイルが、異なるマルウェアのプラットフォーム間で相互運用できるようになっています。また、高度なWebinject設定ファイルも取り上げ、ファイルに含まれているスクリプトを利用した自動の個人情報窃盗や不正な銀行振込の実行について説明します。最後に、過去1年にわたり追跡してきたこの新しいタイプのマルウェア活動の一部に目を向け、どのように国家機関をターゲットにし、どのように各種の2ファクタ認証プロセスを回避しているかについて解説します。

今日のマルウェア関連のニュースを見てみると、StuxnetやDuqu、Flamerなど、新しい標的型やハイテク、そして軍事レベルの悪意のあるコードばかりが見出しを飾っています。ESETのセキュリティ研究所の研究者が数カ月前に発見したマルウェアもその１つでした。ラテンアメリカの一部の国でその検出率が大幅に上昇していたのです。たいていの場合、検出率は近隣諸国間で極端な差が現れることはないため、この種の拡散パターンが見つかるケースは非常にまれです。中でも検出率が高かったのは「ACAD/Medre」という種で、人気の高い設計ソフトウェアであるAutoCADをターゲットにするマルウェア用に作成されたシグネチャによって見つかりました。

この情報を基にワームのサンプルを分析したところ、AutoCADで作成した設計資料や地図、青写真を盗み出すために開発された産業スパイ用のマルウェアであると判明し、ペルーの機関や企業の情報を盗む目的で拡散していることが明らかになりました。

このワームは、スクリプト言語のAutoLISPとVisual Basicで記述されており、感染マシン上で開かれたAutoCADファイルをすべて攻撃者のメールボックス（複数の中国の電子メールアカウント）宛に送信する機能が搭載されています。さらに、拡散がほぼラテンアメリカに限られていることから、この脅威は、同地域では初となる大規模かつ高度な標的型攻撃であるといえます。

攻撃について調査を進めたところ、最近2年間でAutoCADで作成された図面が1万点以上も流出していた事実が明らかになっています。

本論文では、私たちの研究成果を紹介するとともに、事件の一連の流れを追いかけながら、発覚に至った経緯から分析手法、コードの主な性質、攻撃の全体シナリオについて解説します。

ブラックハットSEOとソーシャルメディアスパムの進化に後押しされ、偽のセキュリティ製品はいまやサイバー犯罪活等における一分野を築いています。極めて応用性が高いため長期間利用されていると同時に、適切に記録されてきました。とはいえ、ローテクなWindowsサポート詐欺はセキュリティ業界では軽視されがちで、これはおそらく技術的な「詐欺対策」ソリューションの影響はほとんど受けない主要なソーシャルエンジニアリングと見られているせいであると考えられます。それでも、犯罪者にとっては安定的に金稼ぎができる手段として機能し続けており、しかも密かに洗練さを増しています。

論文では、次の点について取り上げます。

• 「Microsoftの代理で、お客様のPCに侵入したウイルスを削除します」といった初歩的な身分の偽りから、イベントビューアーやASSOCなどのシステムユーティリティーからのデータについての嘘の説明といった、より技術的に洗練された手口まで、電話サポート詐欺における偽情報戦術の進化。
• 電話をバックアップするPR指向型インフラの開発：偽の会社のウェブサイトや欠点だらけのFacebookページ、スクレイピングした情報コンテンツ、偽のお客様の声の用意。
• 注目に値する詐欺師との接触：詐欺師と被害者の人口統計学。会話を重ねて情報を集め、段階的にリモートからのクリーニングや最適化サポートへと持ち込むための、詐欺師のテクニックやツール、心理操作。
• サポート詐欺業界、その他の電話詐欺、主流のマルウェアおよびセキュリティ関連のねつ造の接点。
• 今後の展開の予測：詐欺師の今後の動向、法的措置の影響、詐欺師たちの生計を絞り上げるためのアイデア。

新しいものを追い求めるセキュリティ業界ではここ数年、マーケティング目的で軍事用語を採用する傾向が強まっており、一方、容認する政府や軍当局（特に西側諸国で顕著です）は、同調するかのように、悲惨で恐ろしいシナリオを予測しています。セキュリティに精通した専門家は、「サイバー戦争」、「サイバーテロ」、「サイバー攻撃」、「サイバーエスピオナージュ（スパイ活動）」といった「サイバー」というフレーズを用いて現代の戦争という視点から脅威を表現し、私たちが住むこの世界の平和と戦争はワンクリックという薄い壁で隔てられていると主張します。

いまや一般化したこの種の標語を大義名分として、国家は、これらの「新時代」の脅威を追跡、軽減、反攻、撃退するために予算と人員の編成を進めています。しかし、その証拠はどこにあるのでしょうか。マルウェア作者や犯罪者、ハッキング活動家、聖戦者、心なき破壊者が野放しにされているため、国家によって恐ろしいハッカー集団が配置される必要があるほど、この世界は本当にそこまでねじ曲がっているのでしょうか。それとも、こうした概念は、現実世界に対する行き場のない恐怖や地上で起こる戦争、麻薬とテロとの永久的な「戦い」に踊らされた人間の単なる被害妄想の表れでしょうか。安全保障に関する対話は、誇大広告や政治的なご都合主義に振り回されているのではないでしょうか。もしかしたら、SF小説を日頃から愛読するマニアたちが自身をセキュリティ業界の英雄と思い込んでいるのかもしれません。彼らは光り輝く鎧（あるいは革のロングコートでも何でも）を身にまとった勇者に成りきり、剣を握り締めて世界中にはびこる実体のつかめない悪の秘密結社と対峙するシーンを思い浮かべているのです。

このプレゼンテーションでは、さまざまな要因が絡み合った現代のマルウェア産業を、一切の制限を設けず、極めて独断的な視点から論じ、これらの重要な疑問について考えていきます。激しい議論に転じるのは間違いないでしょう。

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2012年9月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち4.87%を占めています。

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

• ESETのホワイトペーパー
• ESETブログ
• ESETポッドキャスト
• 独立テスト機関によるベンチマークテスト結果
• アンチマルウェアソフトウェアのテストと評価について