2012年11月 世界のマルウェアランキング

この記事をシェア
2012年11月の月間マルウェアランキング結果発表
目次
デマに惑わされない一年を
David Harley、ESETシニアリサーチフェロー

以前、デマについてこのブログをはじめ様々な機会を捉えて取り上げたことがありましたが、いまだその終息は見えていません。さすがに、超破壊的で検出不可能なウイルスについてのネタはすっかり下火になりましたが。ここでは、電子メールやFacebookで最近耳にして、私の“ツボ”に入った3つの典型的な事例をご紹介しましょう (古典的なデマの多くは、電子メールからFacebookへと活動拠点を移行することで新たに息を吹き返しています)。

ここのところ話題に上っていなかったので一応説明すると、デマとは偽の情報を意味します(通常はチェーンメールや、リツイート、Facebookの「いいね!」と同等のソーシャルメディアを介して流通します)。こうした情報を転送する人のほとんどに悪意はありません。不注意だったとしても、他人をおとしめる意図はないのです。しかし、明白な動機がないケースがほとんどとはいえ、何らかのタイミングで嘘の情報は流通しています。強いて挙げるなら、他人の評価を貶めて自身のイメージアップを図ろうとする愚かな目的のため、でしょうか。この種の迷惑行為のカテゴリーに、フィッシング詐欺や419詐欺のようなわかりやすい詐欺は含めませんが、一部の人は判別が付かず、結果的に混乱を招いているように思えます。

私はまた、いくつかのチェーンメッセージを“準”デマとして分類しています。完全に虚偽ではないと見られるメッセージもあるためです。しかし、その一部は、故意なのか作成者が誤解しているためか、本当の事実を隠ぺいする、あるいはねじ曲げるような表現または修正が施されています。

  • 至急折り返しご連絡ください
    最初の準デマについては、今年に入って数例確認しましたが、数年前から(特にこの時期に)定期的に発生しています。
    この準デマでは、Royal Mail(英国で郵便事業を営む大手企業)、取引基準局、または英国で(情報付加料金を上乗せした)プレミアムレートの電話サービスを規制するICSTIS(現PhonepayPlus)、あるいはその代理人による警告がいまだに流通しています。その文面は使い回しされているようにいつも同様です。
    あなたの郵便受けに、PDS(Parcel Delivery Service)と名乗る会社からのカードが1枚差し込まれています。カードには、あなた宛の小包を預かっているとのメッセージが記載されており、0906-661-1911(プレミアムレートの番号)まで問い合わせるよう要求します。
    真実が含まれてはいるのですが、すでにこの警告文は準デマの一種であると私は考えています。確かに、その番号に関連付けられているベリーズのプレミアムレートのサービスに電話をかけるよう、ターゲットを仕向ける詐欺も以前には存在しました。しかし、その番号は2005年末に無効になり(その背後に潜む会社には1万ポンドの罰金が科されました)、電話をするだけで315ポンド(ベリーズのパターンでは15ポンド)が請求されることもいまやありません。このサービスの当時のレートは1分あたり1.50ポンドで、現在は、090で始まるプレミアムレートの場合、英国の加入者には1分あたり最大1.65ポンド(携帯電話では2.55ポンド)が請求されます。警告文は続きます。
    このような情報が記載されたカードを受け取った場合は、020-7239-6655からRoyal Mail Fraudまでご連絡ください。
    すでにそのようなカードが届く可能性は極めて低いのですが、たとえ同等のカードを受け取ったとしても、記載されている番号は無視して、こちらで紹介しているAction Fraudの番号に電話をしてください。ただし、詐欺メッセージを受け取るとしたら、カードが郵送されるよりも、電子メールやSMSテキストメッセージとして送られてくる可能性の方が高いと思われます。
    PhonepayPlusはデマに関する声明を出しており、Crime StoppersのWebサイトで詳しく解説されています。
    英国外ではこのような具体的な話は耳にしていませんが、まったく発生していないというわけではありません。実際には、国から国へと「翻訳」されるのが極めて一般的です。米国をはじめとする他の地域では、応対してはいけない人騒がせな携帯電話番号に関する問題が数多く報告されています。応じるとプレミアムレートのサービスにつながれてしまうのです (サービスプロバイダー各社はおおむね、着信が課金型の発信に切り替わる可能性を否定しています)。 ただしこれは、プレミアムレートのサービスをベースとする詐欺が現時点では存在しない、と意味しているわけではありません。
    日本では、「ワン切り詐欺」という手口が確認されています(ワン切りとは「1回鳴らして切る」という意味の日本語)。ソフトウェアを使用してランダムな番号(主に携帯電話)に電話をかけ、1回鳴らしたら電話を切ります。詐欺師たちは、着信に気付いたターゲットが、その番号がプレミアムレートであると認識せずに折り返し電話してくることを狙っているのです。この種の詐欺には、電話に出ると自動音声が再生されるパターンもあります。メッセージにはさまざまな詐欺の手法が採用されている可能性がありますが、賞品や何らかの払い戻しなどのインセンティブをぶら下げて、プレミアムレートの番号に電話をかけるようにターゲットを促す点は共通です。その際は、大きな利益が見込める国際電話をかけさせます。
    ESETラテンアメリカの友人は最近、同地域で検出されたAndroidデバイスを狙うマルウェアは、Boxerなどのプログラムが主流になっていると指摘しています。Boxer はSMS型トロイの木馬で、ターゲットがプレミアムレートのSMSの番号に電話をかけるようにひそかに仕向けます。
  • レッドブルには覚醒剤が混入されている
    これは紛れもないデマです。ある種の誤解に由来している可能性がありますが、そうだとすれば、間違った情報と欺瞞が幾重にも重ねられています。目の肥えた方には明らかな作り話に映るでしょう。
    このチェーンメッセージは、エナジードリンク「レッドブル」には合成覚醒剤が含まれているので世界の一部地域で販売が禁止されている、という内容です(私が確認したものではフランスとデンマークが対象地域とされていました)。さらに、偏頭痛から脳腫瘍、脳内出血、肝損傷に至るさまざまな症状を引き起こす可能性があると主張しています。レッドブルに含まれる添加物グルクロノラクトンを、ベトナム戦争の際に自軍の士気を高めるために米国防総省が開発した、とでっち上げるパターンもあります。
    実際には、グルクロノラクトンは海藻や軟骨に含まれる天然の成分で、人体に害を与えずに代謝し、同様の成分タウリンとともに幅広い食品に含まれています。グルクロノラクトンは多くの場合、さまざまなエナジードリンクに比較的高濃度に含まれていますが、指摘されたリスクについての検証可能な証拠は見つかっていません。レッドブルがフランスやノルウェーで禁止されているという主張はおそらく、カフェインやタウリンの含有量が問題視されて、フランスや北欧の一部地域で一時的な販売停止になった事実に関連付けられています。
    もちろん、ある特定ブランドに対して、ライバル会社がその評判を貶める目的でデマ情報を流す可能性も常にあります。ただし、レッドブルのケースがこれに当てはまると示す証拠は(私の知る限り)確認されていません。
    皮肉にも、この飲料は偏頭痛を誘発すると主張されているにもかかわらず、私の知人はレッドブルが偏頭痛から素早く回復するのに役立つと断言しています(ウォッカと混ぜたかどうかは知りませんが)。知人の持論が医学的に実証されているかはともかく、だから酒を少々飲み過ぎても大丈夫だという都合の良い言い訳には違いないでしょう。
  • 咳をすれば心臓発作は治まる
    最後に、ターゲットが何らかの健康上のリスクを抱えている場合に、実際には健康に悪影響を与える可能性のある健康関連の準デマをご紹介します。
    その内容は、心臓発作を患っているターゲットが苦しくなったもののすぐに助けを呼べない場合、「咳を何度も思い切りすることで」苦しみを抑えられるというものです。
    確かに「cough CPR(咳による心臓蘇生法)」と呼ばれる療法は存在します。しかし、決して万能というわけではなく、特定の環境(緊急時に医師の指示の下)でのみ効果があります。ほとんどのタイプの心臓発作に有効であると一般的に考えられている療法についても同様です。
    最も出回っているチェーンメッセージは、アメリカの名高い総合病院メイヨー・クリニックや心臓発作患者の支援団体であるMended Heartsによる承認を根拠にその信頼性を訴えています(PowerPointによるプレゼンテーション形式でも見ました)。実際には、メイヨー・クリニックでこれまでに承認されたという証拠はないようです。しかもこのメッセージは、Mended Heartsのニュースレターが明らかに初出と見られるテキストを複製したもので、同団体は後に撤回し、「咳をするだけでは心臓発作は治まらない」と声明を発表しています。
    それどころか、不適切かつ不正確な療法を試すのは体に悪影響を及ぼすばかりか、場合によっては死に至ることもあるようです。
    皮肉なことに、この嘘の情報は、私が最初に耳にした当時、英国国民保健機関(NHS)と連携する情報セキュリティの専門家グループの間でも広まっていました。
  • その他の情報とリソース
オンラインでホリデーギフトを安全に購入するための12のヒント

2012年の年末商戦到来です。購入前に自宅や業務用のパソコンでリサーチしたり、スマートフォンで店頭価格を調べたりと、年末年始のショッピングでデジタル機器が例年以上に活躍するのは間違いないでしょう。もちろんオンラインなら、ブラックフライデー前やサイバーマンデー(どちらも米国の感謝祭セール)、年末クリアランスセール、新春セールのお買い物は24時間可能です。

ESETでは昨年のこの時期に、このシーズンに買い物をしようと考えている方を対象として「ホリデーシーズン向けの安全なオンラインショッピング」をテーマにブログを執筆し、10のヒントを紹介したのですが、おかげさまでご好評の声をいただきました。そこで今年も新たなヒントを2つ加えて一層パワーアップした特集記事を組みたいと思います。ショッピングの際に役立てていただければ幸いです。

ここで紹介するヒントは、今年のホリデーシーズンはオンラインでショッピングをしようと考えている友人や家族とぜひ共有してください。あるいはこちらの「ESET's Guide to Safer Cyber-Shopping 2012」(PDF)をプリントアウトしてコピーを母校に持っていき、後輩たちに配るのも良いアイデアです (執筆中に助言や参考情報を提供してくれたCameron Camp、Aryeh Goretsky、David Harleyには感謝を捧げます)。

  • PCをショッピングモードに設定:ホリデーギフトを車に積んで遠く離れた実家へ里帰り。そんなときは事前に車のメンテナンスが欠かせません。オンラインショッピングも同様で、安全な買い物にはPCのお手入れが大切です。使用しているブラウザーやオペレーティングシステム、セキュリティソフトウェア一式のアップデート、パッチの適用を実施してセキュリティを向上させましょう。面倒とは思いますが年に一度ですから辛抱してください。パッチを適用すれば、マルウェア感染や詐欺サイトなどの危険回避に役立つだけではく、コンピューターの動作も快適になります。無料ですから使わない手はありません (www.eset.com/online-scannerでは、お使いのWindows PCに対しウイルススキャンを無料で実行することもできます)。
  • 購入は評判の良いサイトで:購入は他のユーザーの評価が高いサイトを選んだ方が安全です。「商品に関する情報が正確」、「配送時の状態が良好だった」、「指定した時間に届いた」といった声を参考にしてください。配送が間に合わないからと慌てて、友人や家族が望まないギフトを贈るのは避けたいですね。ときとして、何も贈らない場合よりも事態が悪化しかねません。
  • おいしい話にはご用心:話がうますぎるように思える場合、例えば「今シーズンで一番の人気商品を驚きの価格で提供」なんて触れ込みを目にしたら、「何か裏があるのでは」と考えて間違いありません。非常に魅力的に見えますが、信じられないほどの低価格で商品やサービス、ギフトカードを提供するサイトへのリンクは、リスクが高いと相場が決まっています。クリックしない方が安全です。とはいえ、こうした売り込みがすべて詐欺につながるとは限りません。リスクを背負ってまで購入する価値があるかどうか繰り返し自分自身に問いただしてみてください(あるいはGoogleでその商品や販売サイトに対する他のユーザーの評価を調べてみるのも有効です)。
  • 取引は安全な方法で:商品の注文手続き時にそのWebサイトでSSLが使用されているかを確認してください。SSLは安全な取引を保障するプロトコルで、いくつかの方法で確認できます。例えば、URLの先頭にhttpではなくhttpsという文字列が表示されているはずです。または錠前や鍵のアイコンがブラウザーのアドレスバーに表示される場合もあります。SSLを使用すると、クレジットカード情報などの情報は送信時に暗号化されるので、たとえ犯罪者の手に渡っても読み取られることはありません。疑わしく思える場合はGoogleで、そのサイト名と「詐欺」や「犯罪」といったキーワードを組み合わせて簡単に検索してみることをおすすめします。過去にどのような問題が発生したか把握できるでしょう。
  • 十分に検討してから行動を:件名に「URGENT(大至急)」などと記載された大量送信メールや、ソーシャルネットワーキングサイトの友達と称する相手からのメールには気をつけてください。ユーザーの母国語を問わず、でたらめな文章が本文に使用される場合や、どうも怪しく思える場合は、一層の警戒が必要です(添付ファイル付きの予期せぬ配送サービスからの電子メール など)。取引が本物であると確信できるときは、ブラウザーを開いて、アドレスバーにWebサイトの名前を直接入力してください。サイバー犯罪者が作成した偽のWebサイトへのリンクに引っかかることも防げます。こうしたサイトで収集されたユーザーの情報は活況を見せる闇市場へと送られ、クレジットカード詐欺や税金詐欺といった犯罪行為を画策する輩に対し売り出されます。
  • 流出リスクの高いホットスポットの利用は避ける:自宅であれ、ホットスポットであれ、Wi-Fi経由で買い物をすることになった場合は、安全な状態であることを確認します(Wi-Fi接続時に表示されるダイアログ内で錠前型のアイコンを探してください)。使っているノートPC(またはスマートフォンやタブレット)でショッピングをしていたら、いつのまにか個人情報や金融情報が盗み出されていた、などという事態は誰でも避けたいはずです。自宅外でWi-Fiを使用する場合は、PrivateTunnelPrivate WiFiなどのVPN(仮想プライベートネットワーク)の利用を検討してください(無料のVPNのほとんどには帯域幅の制限がありますので、頻繁にショッピングをする人は利用料金の支払いを覚悟した方が良いでしょう)。
  • デビットではなくクレジットを使用:詐欺被害に遭った場合にお金を取り戻そうとするのなら、デビットカードよりもクレジットカードで決済した方が返ってくる可能性は高くなります。代引き、オンラインを問わず、取引がより安く済むデビットカードでの支払いを好むベンダーも存在しますが、ホリデーシーズンのショッピングでは避けてください。クレジットカードを利用すると、犯罪者の侵入を防ぐ壁がさらに分厚くなります。
  • 細かすぎる質問には要注意:一部のマルウェアは、オンラインの入力フォームに質問を追加する能力を備えています。ショッピングサイトでの購入時にあまりにも膨大な量の情報の入力を求められたら(花の配達を注文するだけなのに社会保障番号の入力を要求される、など)、すぐに取引は中止してウイルススキャンを実行しましょう。
  • アンケートへの回答でお金をもらえるとは期待しない:多くの合法的なWebサイトでも満足度調査を行っていますが、ウィンドウがポップアップ表示され、「インターネットを日頃使用していますか?」といった簡単なアンケートと「回答者全員に現金(またはギフトカード)をプレゼント」といった触れ込みが表示されたら、ウィンドウを閉じてサイトを離脱しましょう。「10万円分のギフトカードを全員にプレゼント」などという誘い文句に目がくらみ、携帯端末の番号を入力してはいけません。皆さんが今まで経験したこともないような特典であれば、その限りではありませんが。
  • 休暇が終わっても油断は禁物:正月のほとぼりが冷めた頃、クレジットカードの明細書が郵送(または電子メールで送信)されてくると、思わず目を背けたくなるのではないでしょうか。おそらく、自分が思っているほど出費していなかったと信じたいのでしょうが、もし詐欺に遭っていたとすれば、明細書がその事実を教えてくれる最初の手掛かりとなるかもしれません。ざっとでも良いので目を通し、身に覚えのない引き落としがないか確認しておきましょう。例えばロシアに行ったことがなく、モスクワの郊外に住んでいる知り合いもいないのに、この地域に送金した形跡があれば詐欺に巻き込まれたと考えて間違いありません。措置を講じるのが早ければ早いほど、お金を取り戻せる可能性は高くなります。
  • デバイスロックを設定:パスワードはノートPCやタブレット、スマートフォンの守護神ともいうべき存在で、たとえ紛失したり、盗難に遭ったりした場合でも第三者によるデータへのアクセスを困難にします。こうした電子機器はそれぞれ設定メニューを備えており、セキュリティオプションに簡単にアクセスできます。自分にとっては覚えやすく、他者には推測にしくいパスワードやコードを選択し、動きがない状態が一定時間続いたら機器にロックがかかるように設定しましょう。タクシーや飛行機内に置き忘れた、盗難に遭った、友人に貸したら不適切に利用された、といったホリデーシーズンにありがちな危ない局面に遭遇しても、被害をくい止めることができます。
  • データのバックアップを取る:今年のホリデーシーズン中にノートパソコンを紛失したり、スマートフォンを盗まれたりするなど最悪の事態に陥ったとしても、データのバックアップを取っていれば(すなわち、ファイルのコピーを他の場所に安全に保存しておく)、不安は大幅に解消されます。スマートフォンはおそらく、お使いのコンピューターにバックアップされているでしょうから、バックアップ状態を今一度確認するとともに、コンピューターも外付けのハードディスクにバックアップしておきましょう。あるいはBackBlazeなどのオンラインバックアップを利用するのも有効ですが、両方を実行する方が望ましいです。

以上のヒントを実践すれば、年末商戦中も幾分安心して眠りにつけるでしょう。実世界と同様、オンラインの世界にも“おいしい話”は存在し、おそらくホリデーのショッピングシーズンとなれば、その数は一層多くなると考えてください。慎重かつ懐疑的に対応、というと陳腐に聞こえるかもしれませんが、対応策としては十分です。結局のところ、十分な時間を確保できそうもなければ、無理に買い物はしないというのも1つの手です。不正請求や疑わしい点だらけの取引、データ窃盗に遭遇する確率も必然的に低くなるわけですから。

Windows 8の登場に伴う新たなセキュリティの問題
David Harley、ESETシニアリサーチフェロー

かの有名なベンジャミン・フランクリンは「この世で確かなものは死と税金だけである」という言葉を残しました。彼がもし今も生きていたとしたら、この2つの後に「犯罪」も付け加えていたかもしれません。特定の事象が起これば、それが引き金となり特定のサイバー犯罪が発生するのも確かなのです。こうした事象は、例えば災害のようなケースもあれば、自然発生したものや人工的に作り出されたものもあります。同僚のUrban Schrottは、米国の東海岸に深刻な被害をもたらした大型ハリケーン「サンディ」に便乗した詐欺が発生する可能性があると注意を呼びかけ、FTCも顕在化しているチャリティー詐欺に関する適切なアドバイスをいくつか紹介しています。この種の詐欺は以前からESETのブログでも頻繁に取り上げられているので、サンディ関連の419詐欺やフィッシング攻撃、ブラックハットSEO、さらには明らかに金銭窃盗を目的としていない純粋なデマ情報について長々と論じるつもりはありません。Urbanのブログに掲載されている津波の画像は、実は異常気象に巻き込まれた地球を描いた映画『The Day After Tomorrow(邦題:デイ・アフター・トゥモロー)』の1シーンに手を加えたもので、Huffington Postが先日報じたところによると、今回のハリケーンに関連していると見られる名前で登録されたサイトの数はすでに1,100に達しているそうです。

新技術のリリースもサイバー犯罪の誘因になります。私たちは、重要な新技術が登場すると、必ずソーシャルエンジニアリング攻撃に利用されてしまうと考えてしまう傾向にありますが、一度でもそんな予想が外れたら両手を挙げて喜んでいはずです。とはいえ、固唾を呑んで見守り続けるというのも不本意です。すでに最新のiPad miniに特化した詐欺も確認されています(ただし、Facebookアプリや電子メール、SMSなどを経由する“無料”をうたったiPad詐欺も脅威の1パターンとしていまだ根深く残っていますが、タブレット端末全般や特定製品の人気の高さを考慮すれば驚くことではないでしょう)。そして少し前にはWindows 8が登場しました。この最新OSにはセキュリティ面で大幅な改善が加わっているとするAryeh Goretskyの意見に同意しますが(彼の方が私よりもWindowsの内部構造にはるかに精通しています)、安全性という観点で言えばOSそのものよりもオンライン活動の方が重視すべき点がはるかに多いという事実は無視できません(OSのセキュリティを強化し、適切に維持することも大切です)。

Windows 8のセキュリティは十分であると思えるかもしれませんが、各種ソーシャルエンジニアリング攻撃においてWindows 8はすでに広く利用されています。市場にリリースするはるか前から侵害の手法に関する調査が進められているのにもかかわらず、実際に攻撃が報告されているのです。Trend Microでは、Windows 8に特化したセキュリティプログラムと詐称した偽のアンチウイルスプログラムに対して警鐘を鳴らし、同社とSophosはWindows 8への「無償アップグレード」を実行するという電子メールに注意を促しています。

さて、そのようなメールに記載されたリンクをクリックすると、Sophosが紹介しているようなサイトへと誘導されます。私がこのスクリーンショットを入手したのは少し前のことで、さらにその数日前にはSophosとTrend Microに在籍する友人が関連する記事を執筆しています。フィッシング詐欺と見られますが、ハリケーンとは異なりなかなか終息しません。ターゲットがフォームへの入力を完了すると、その情報は未知のアドレスに送られます。ところで、フォームにWindows 8に言及する内容がないことに気付くかもしれません。ほとんどの詐欺行為で利用できるよう汎用的に作られているためです。フィッシング詐欺用メッセージは初期のもので、用いられているソーシャルエンジニアリングの手法も少し警戒しておけば事足りる程度の出来です (実際、Trend MicroとSophosが言及したメッセージには、まったく説得力がありません)。

続いて、この攻撃を少し異なる角度から見ていきます。ESETブログにかなり頻繁にコメントを寄せているVickiは先日、次のような話をしてくれました。「私の友人が最近、外国人らしき女性からの電話を受けました。その女性はMicrosoftから委託され、Windows 7ユーザーが遭遇した厄介なウイルスについて、すべてのユーザーに電話で連絡しているのだそうです」。

偶然にも、そのような電話を受けた話を聞いたことがあるばかりか、私自身もその体験者の1人です。インドからのサポート詐欺師の手口については、このブログで以前ご紹介しました。オランダでQuervar/Dorifelの検出数が急上昇した事実を持ち出して同地域のユーザーに駆除のサポートを申し出る、というものです。私も英国にて、同国で大流行しているウイルスへの対策を支援しているという詐欺師からの電話を受けたことがあります(そのウイルスの種類は聞き出せませんでしたが)。

私たちにもVickiの友人が受けたような、Windows 8を狙うウイルスやWindows 8に関連する他の問題の解決サポートを申し出る詐欺電話がかかってくるのでしょうか。現時点では何とも言えませんが、絶対に大丈夫だと安心できるレベルでないのは間違いありません。過去に拡散した詐欺のタイプについてユーザーの認識が高まるにつれ、詐欺師は新たなパターンを模索すると見られます。Windows 7からWindows 8への移行が進むに従い、その存在が明らかになるでしょう。

マルウェアランキングトップ10
1.INF/Autorun[全体の約4.61%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
2.HTML/ScrInject.B[全体の約4.24%]
前回の順位:4位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
3.Win32/Conficker[全体の約3.40%]
前回の順位:3位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
4.HTML/Iframe.B[全体の約2.08%]
前回の順位:2位
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
5.Win32/Qhost[全体の約1.87%]
前回の順位:7位
この脅威は、自分自身をWindowsの%system32%フォルダーにコピーしたあと動作を開始します。さらに、DNS経由で指令(C&C)サーバーと通信します。電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。
6.Win32/Sirefef[全体の約1.62%]
前回の順位:5位
このトロイの木馬は、検索エンジンでの検索結果を、アドウェアがホストされたWebサイトにリダイレクトします。
7.Win32/Dorkbot[全体の約1.51%]
前回の順位:6位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。
8.JS/TrojanDownloader.Iframe.NKE[全体の約1.34%]
前回の順位:8位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
9.JS/Exploit.Pdfka[全体の約1.32%]
前回の順位:16位
これは、CVE-2009-0927の脆弱性を悪用するための細工が施されたPDFファイルの検出名です。JavaScriptで記述されています。攻撃者は、この脆弱性を悪用し、リモートから脆弱性のあるシステム上で任意のコードを実行する可能性があります。
10.Win32/Ramnit[全体の約1.25%]
前回の順位:10位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2012年11月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち4.61%を占めています。

2012年11月の結果グラフ
ESET社について

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!