2012年12月 世界のマルウェアランキング

この記事をシェア
2012年12月の月間マルウェアランキング結果発表
目次
ESET Threat Blogで2012年を振り返る
David Harley、ESETシニアリサーチフェロー

以前、デマについてこのブログをはじめ様々な機会を捉えて取り上げたことがありましたが、いまだその終息は見えていません。さすがに、超破壊的で検出不可能なウイルスについてのネタはすっかり下火になりましたが。ここでは、電子メールやFacebookで最近耳にして、私の“ツボ”に入った3つの典型的な事例をご紹介しましょう (古典的なデマの多くは、電子メールからFacebookへと活動拠点を移行することで新たに息を吹き返しています)。

2012年のThreat Blogではさまざまなトピックを取り上げましたが、扱うべき話題があまりにも多く、その結果、すべてをカバーできなかったかもしれません。それでも、以下の要約をご覧になれば、2012年のブログ担当チームの歩みを大まかに把握していただけると思います。

1月は、Facebook関連の不正活動が立て続けに発生しました。そのため、ESETブログでは関連トピックが幅広く取り上げられています。

Stephen Cobbは、Facebookが新たに投入したタイムライン機能の不人気、不信に乗じて発生した多くの詐欺について論じました(「Facebook's timeline to fraud-a-geddon?」)。

私は、「あなたの誕生日にチャート第1位だった曲は?」といった、Facebook上の悪質なメッセージを確認しました(「Facebook, your birthday #1, and survey scams」)。ちなみに私が若かった頃はヒットチャートなどありませんでしたから、『夏は来たりぬ』という小粋な曲を挙げておきました。

Facebookの監視サイトであるFacecrooksは、ユーザーがFacebook上で無駄にした時間(失礼!“滞在”した時間ですね)を教えてくれるという偽アプリをベースとする詐欺にフラグを付けました。いまだ横行する、「自分のプロフィールを閲覧したユーザーを確認する」詐欺を思い出した方もいるかもしれません(このようなアプリは実現不可能です)。私もブログでこの件について取り上げました(「Facebook scam: the hours I spend...」)。

Aleksander Matrosovは、ユーザーがFacebookにログインしようとしたときに偽のFacebookページを表示してユーザーから金銭を巻き上げようとする手口を含め、Carberpというトロイの木馬におけるいくつかの変化について説明しました(「Facebook Fakebook: New Trends in Carberp Activity」)。当該ページには、「あなたのFacebookのアカウントは一時的にロックされています」と表示され、Ukashのバウチャーで20ユーロを支払うようターゲットに要求します。

もちろん、Stephenが指摘しているように、他のソーシャルメディアも標的にされました(「Tricky Twitter DM hack seeks your credentials, malware infection, and more」)。

実際に、詐欺の発生は1月の脅威動向において非常に顕著でした。2012年の最初のブログでは、ESETアイルランドのUrban Schrottが提供してくれた情報を交えて419詐欺について論じましたが、詐欺師はアイルランドのゲール語に翻訳するのに苦労した模様です。私には、その良し悪しが判断できませんが(「Irish 419-er seeks Spanish Lady」)。今年の後半には、Irish Timesが「アイルランドの言語が使用された初のウイルス」の発見を報じ、大きな反響がありました(「Irish Ransomware Report」)。ただし、正真正銘の(自己複製型)ウイルスではなく、実質ランサムウェアでしたが、メッセージはゲール語に翻訳されています。Kafeineが言及したアイルランドをターゲットに詐欺メッセージもなかなか興味深く、注目に値するものでしたが、ゲール語ではなくイラン語に翻訳されていました。どうやら犯罪者の間で伝達がうまくいっていなかったようです(「Ransomware Part III: another drop of the Irish」)。

また、Aryeh Goretskyが、SOPA詐欺(「Beware of SOPA Scams」)、そしてUS-CERTとAnti-Phishing Working Groupからの、フィッシングメッセージに対する警告メッセージに扮して送信された、何とも奇妙なZeuS関連のマルウェアへの注意を呼びかけました(「Phishing and Taxes: a dead CERT?」)。

Sebastian Bortnikは、北朝鮮の金正日総書記の死去に便乗したマルウェアの手口にフラグを付けています(「Malware exploits death of North Korea's Kim Jong-il」)。

パスワードは、今年もコンスタントに高い関心を集めたトピックです。私は、ブログでCormac Herley氏とPaul van Oorschot氏による興味深い論文に言及するとともに、ユーザーに有用で、かつ興味を駆り立てるであろう、ESETブログをはじめとする各種リソースへのリンクを掲載しました(「Passwords, passphrases, and big numbers: first the good news...」)。以下にも、これらのリソースへのリンクを記しておきます。

Cameron Campは、侵害事件に遭遇したアパレル関連の通販サイトZappos.comに学ぶ教訓をまとめています(「Zappos.com breach - lessons learned」)。同社は、2012年に入って早々、大規模な顧客情報の漏洩に遭いましたが、その後、迅速かつ効率的に対応しました。

Cameronはまた、タブレット向けの最新アプリを楽しんでいるユーザーを対象に、有用なアドバイスをいくつか紹介しています(「New Year’s resolutions for securing your new tablet」)。

Peter Stancikは、今こそDNS設定をチェックするべきではないかと問いかけ、DNS Changerのボットネットの解体後も感染マシンの所有者がインターネットに接続できるようにしていた代替サーバーの運用停止日が訪れる前に(期日は延長されましたが)、自分のシステムがこのマルウェアに感染しているかどうかを確認するための方法についてアドバイスをしました(Time to check your DNS settings?)。

私たちは、ESETラテンアメリカによる2012年のトレンド予測レポート「Trends for 2012: Malware Goes Mobile」の英語版を作成、公開しました。また、AryehはPUA(Potentially Unwanted Application:ユーザーにとって好ましくない動作をする可能性のあるアプリケーション)に関するホワイトペーパーを更新しています(「Potentially Unwanted Applications White Paper Updated」)。

 

2月には、私はVirus Bulletin誌の記事で言われている以上に有害であるかもしれない、Facebook上のミーム(ここでは、ちょっとしたユーモラスな投稿の意)について再び取り上げました(「Living the Meme」)。一方、Stephenは、Facebookのログイン承認機能が有効であるとし、その設定方法をわかりやすく説明しています(「How to improve Facebook account protection with Login Approvals」)。

Cameronは、スマートフォンのデータの収集や転送を実行する際にユーザーの同意を義務付ける法案(「CarrierIQ-style data gathering law to require mandatory notification/opt-in?」)や、増加傾向にあるAndroidマルウェアを撃退するためのGoogleによる試み(「Google responds to Android app Market security with stronger scanning measures」)、顧客のソーシャルメディアのコモディティ化(「Facebook/app data privacy - sharing gone wild」)に目を向けたほか、月の締めくくりとしてBYODのトレンドの綿密な調査も行いました。

予想していたとおり、バレンタインデーに便乗した不正活動が多数確認され、Stephenはこの問題について幅広く説明しています(「Cookie-stuffing click-jackers rip off Victoria's Secret Valentine's giftcard seekers」)。

英国で警察幹部の方々とPCサポート詐欺について話をする機会が得られました(「Cybercrime and Punishment」および「Cybercrime, Cyberpolicing, and the Public」)。この種の詐欺については、私自身、長きにわたって向き合ってきました。

私はまた、ESETアイルランドの委託を受けてAmarach Researchが実施した若年層のオンライン活動に関する調査についてブログにまとめました(「Your Children and Online Safety」)。Urban Schrottもこのトピックについて考察しています。ESETノースアメリカのCEO、Andrew Leeは、知的財産や著作権侵害、法規制といったトピックを再び取り上げています(「ACTA and TPP: The wrong approach to intellectual property protection」)。

Windows Phone 8のセキュリティについて念入りに調査したのは、Aryeh Goretskyです(「Windows Phone 8: Security Heaven or Hell?」)。

技術分析の面では、Aleksandr MatrosovとEugene Rodionovが、Olmarik/TDL4に関するさらなる研究の成果を発表しました(「TDL4 reloaded: Purple Haze all in my brain」)。

さらに、ESETに入ってからはまだ日が浅いものの、セキュリティ業界では長いRighard Zwienenbergが、パスワード管理について考察しています(「Password management for non-obvious accounts」)。

 

3月には、Cameronがサンフランシスコで開催された大規模なRSAカンファレンスの一連のレポートを発表。Stephenもブログでフォローしています(「Information Security Disconnect: RSA, USB, AV, and reality」)。カンファレンスでは、高い知識を備えているはずのセキュリティの専門家の一部が、Wiredに、「アンチウイルスソフトウェアを使用しておらず、また誰も使用すべきではない」という趣旨の発言をしており、私はブログでこの意見に反論しています(「Security professionals DO use anti-virus」)。

Stephenは、RSAで発表した“マルウェアカンパニー”をテーマとしたすぐれたプレゼンテーション「Changing how people see the malware threat: images can make a difference」を公開したほか、Googleがアクセスする可能性のあるすべてのデータに関するブログをインフォグラフィック付きで投稿しています(「Google's data mining bonanza and your privacy: an infographic」)。

また彼は、社員にFacebookのログイン情報の開示を義務付ける企業に取り巻く問題や、今春に報告されたIRS関連の詐欺についても考察しています(「Facebook logins toxic for employers, violate security and privacy principles」および「Spring Brings Tax-related Scams, Spams, Phish, Malware, and the IRS」)。

さらに技術的なトピックとしてRighardは、新しいノートPCにSkypeをインストールした後に遭遇した驚きの出来事を紹介したほか(「SKYPE: (S)ecurely (K)eep (Y)our (P)ersonal (E)-communications」)、Androidのロックメカニズムの解析(この情報は、5月に開催されたEICARカンファレンスで私が発表したプレゼンテーション「PIN Holes: Passcode Selection Strategies」を作成するうえで有用でした)や、Win32/Georbotについても取り上げています(「From Georgia With Love: Win32/Georbot information stealing trojan and botnet」)。

Kelihosというボットネットについてのブログは、ESETのカナダチームの計らいで、彼らの調査結果の一部にアクセスできたので、かなり説得力のある文章に仕上がったのではないかと思います(「Kelihos: not Alien Resurrection, more Attack of the Clones」)。

Robert Lipovskyは、詐欺が拡散する手法に関してなかなか深く論じているほか(「Modern viral propagation: Facebook, shocking videos, browser plugins」)、Javascriptの感染にも目を向けています(「Vulnerable WordPress Leads to Security Blog Infection」)。

サポート詐欺で使用される手法について、私の詳細な分析はこちらに掲載しています(「Support Scammers (mis)using INF and PREFETCH」および「Fake Support, And Now Fake Product Support」)。ESETロシアのメンバーも、Javaを狙う新手の攻撃に関する情報を多数提供してくれました(「Blackhole, CVE-2012-0507 and Carberp」)。

さらにAlexis Dorais-Joncasは、Macを標的とするマルウェアが潜むよどんだ世界を深く探索しています(「OSX/Imuler updated: still a threat on Mac OS X」および「OSX/Lamadai.A: The Mac Payload」)。

 

4月には、擬似テストとアンチウイルスソフトウェアの有用性(または無益性)に対する疑問が再浮上。私は、VirusTotalのJulio Canto氏と共同でこの問題に関する論文をようやく投稿しました。SC Magazineでは議論(のようなもの)に臨み(「VirusTotal, Useful Engines, and Useful AV」)、ブログでは、Andrew Leeとともに、「アンチウイルスソフトウェアにお金を払う価値はない」とする主張に落ち着いて対応しました(「Free Anti-virus: Worth Every Penny?」)。これにて一件落着、と言いたいところですが、なかなか一筋縄では行かなさそうです。12月には同じやり取りを繰り返す羽目になりました(後段参照)。

最新の攻撃キットの技術を取り上げたのはAleksandrです(「Exploit Kit plays with smart redirection (amended)」)。Righardは、フィッシング詐欺における比較的目新しいアプローチを深く掘り下げるとともに(「Phishing Using HTML and Intranet Security Settings」)、FBIによるDNS Changerのボットネットの解体後に設置された代替サーバーの運用停止に対し、適切なアドバイスを提供しています(「DNS Changer (re)lived, new deadline: 9 July 2012!」)。

Stephenは、社員の私物端末使用についてブログにまとめました(「BYOD Infographic: For security it's not a pretty picture」)。このブログで使用したインフォグラフィックもなかなかの好評を博しています。このトピックについては、ESETメンバーのほとんどが、今年に入って何度もブログやカンファレンス、取材の場で質問されたり、執筆の要請を受けたりしています。

Stephenはまた、WISP(Written Information Security Program:書類情報セキュリティプログラム)の確立を法的に義務化することは良いアイデアであると主張しているほか、Macを狙うトロイの木馬、Flashbackへの対策の解説や、QRコードやNFCチップに関する詳細な調査も行っています(「QR Codes and NFC Chips: Preview-and-authorize should be default」)。

Alexis Dorais-JoncasとPierre-Marc Bureauの両名が、OSX系のマルウェア(要するに「OSX/xxxx」といった種のことです)に関するブログをそれぞれ投稿しました。一方、CameronはPinterestのセキュリティについて論じたほか、次世代自動車にはセキュリティソフトウェアを搭載する必要があるか問いかけています(「Could your next new car be hacked (should you be scared)?」)。

そして、私はPCサポート詐欺について執筆しました(またかと思われるかも知れませんが)。しかし、PCサポート詐欺を見分ける方法を周知することは、決して時間の無駄ではないはずです(「How to recognize a PC support scam」)。

 

5月1日、私は五月祭のフォークダンスを見に行こうと思っていたのですが、結局、Internet Storm Centerが実施したサポート詐欺に関するアンケート調査についてブログを執筆する羽目になりました。今世紀に入って盛んになり現在も続くPCサポート詐欺の状況を良く知らない方、例えば2001年までにヘルプデスクでの業務から退いた人にとっては、私の生活の大半がこの問題で埋め尽くされているように思えるかもしれません。。

この月は大半をEICAR、CARO(Aleksandrは自身のプレゼンテーションについてのブログを執筆)、AMTSOに向けた準備が占めたほか、Infosecurity Magazineから予想だにしていなかった取材も受けました。

その一方で、懐かしいWhaleウイルスを思い起こす機会もありました(「Win32/Flamer: the 21st Century Whale」)。

Stephenは、旅行者向けに、非常に有用なアドバイスを提供しました(「11 Tips for protecting your data when you travel」および「Foreign Travel Malware Threat Alert: Watch out for hotel Internet connections」)。

彼はまた、オンラインの世界にばかり入り浸っているインドア派にもアドバイスを紹介しているほか(「How to stop Twitter tracking you and keep private the websites you visit」)、データや金銭を盗み出すプロセスについて、リモートアクセス型トロイの木馬の攻撃者の視点から解説した動画も公開しています(「Malware RATs can steal your data and your money, your privacy too」)。

Aryehは、クルーズ旅行詐欺やバケーションオーナーシップ詐欺に対する新たなアプローチについて説明したブログを投稿しました(「Press One if by LAN, Two if by Sea…」)。

Cameronも、SMSテキストによるフィッシング詐欺(「SMSmishing (SMS Text Phishing) - how to spot and avoid scams」)、Facebookのプライバシー設定(「Millions have not reviewed Facebook privacy settings: Here's how」)、DNSサーバーの代替サーバーが運用停止になるまでに求められる対応(「DNSChanger ‘temporary’ DNS servers go dark soon: is your computer really fixed?」)に関するブログをそれぞれ投稿しています。

 

6月には、Stuxnetとその兄弟分(もしくは子孫)がまたもや大きな問題になりました。これは、関連性の高いマルウェア、Flamerによる被害が大きかったからだけでなく、米国政府がStuxnet攻撃の片棒を担いだとする報道が突如出たことも、少なからずや一因であるように思えます。Stephenは、政府主導のマルウェアに対する私たちの意見を代弁しており(「Stuxnet, Flamer, Flame, Whatever Name: There's just no good malware」)、国家に及ぼすマイナスの影響について鋭い指摘をしています(「The negative impact on GDP of state-sponsored malware like Stuxnet and Flame」)。

彼は、旅行者に対しさらなるセキュリティ上のアドバイスを紹介しましたが(「Data security and digital privacy on the road, what travelers should know」)、ホリデーシーズンが北半球でピークを迎えると、新学期に備えてデジタルデバイスを新調しないかと持ちかける詐欺師の誘いに注意するよう呼びかけ、見極める方法について説明しています(「Back to school scams? They may be just around the corner」)。

一方で、Aryehは、家電量販店のBest Buyを標的とした詐欺(「SMSmishing Unabated: Best Buy targeted by fake gift card campaign」)や、カリブ海へのクルーズ旅行を騙った詐欺(「Close Call with a Caribbean Cruise Line Scam」)の執筆に追われました。私がサポート詐欺で陥ったのと同じように、彼も少し前に取り上げた別のクルーズ旅行詐欺と判別が付かず混乱したようです。

私たちはそれぞれ、パスワードとPINの設定という、なかなか終息を見せないトピックについて論じました(「Guarding against password reset attacks with pen and paper」および「Passwords and PINs: the worst choices」)。

その傍らで私は、ESETアイルランドのUrban Schrottの依頼でカンファレンスに出席するため、スロベニアに数日滞在しました(思い切り日焼けしたのはイタリアのヴェネツィアです)。

Cameronは、Googleから、LinkedInやFacebook(「Your Facebook account will be terminated - again」および「Facebook policy changes - does the 'crowd' really have a seat at the table?」)まで、ソーシャルネットワークのセキュリティに焦点を当てました。

これだけに留まらず、彼は自動車のセキュリティについても熱弁しています(「How much will your driverless car know about you (and who will it tell)?」)。

技術分析の面では、Jean-Ian BoutinがWin32/Gatakaに目を向け、Robert LipovskyとRighard Zwienenbergの両名はACAD/Medreについて調査しました。

一方、Aleksandr MatrosovはZeroAccessルートキットについて議論し、Aleksはまた、Microsoft XMLコアサービスの脆弱性に関する興味深いデータにも言及しています(「CVE2012-1889: MSXML use-after-free vulnerability」)。

 

7月は、Aryehがクルーズ旅行詐欺に続き、依然として根強く横行する「.ASIA」ドメイン名詐欺について執筆しました(「.ASIA Domain Name Scams Still Going Strong」)。またもや私はサポート詐欺関連の記事を数件投稿しました。まあ、仕事ですから仕方ありません。

Peter Stancikと私は、いくつかのブログ記事で、DNS Changerの感染ユーザー用に設置された代替サーバーの運用停止の期日について取り上げました。期日を過ぎてインターネットにアクセスできなくなっても、私たちに責任はありませんよ。

Righardは、スケアウェアに使用されるACAD/Medre.Aの例をいくつか確認しました(「Scareware on the Piggy-Back of ACAD/Medre.A」)。

Aleksは、Flameとその兄弟分および前身Rovnixの骨組みの最新情報、Javaの脆弱性を狙う攻撃Carberpのボットネットに関するブログをそれぞれ投稿しています。

Stephenと私は、パスワードに関連する問題について解説しました。どちらも何としてもブログに書いておきたかった内容です(「Passwords of Plenty*: what 442773 leaked Yahoo! accounts can tell us」および「Password Party Weekend? Millions exposed now include Phandroid, Nvidia, me」)。

Stephenはまた、Instagramの脆弱性についてコメントを寄せています。

Cameronは、ブラックハット、Defcon、YouTube動画からMP3への無料変換ソフト(「Free YouTube .mp3 converters - with a free malware bonus」)、ゲーム会社であるGamigoのサイトのハッキング(「Gamigo game site hack lessons learned (and what should you do)」)に関するブログを執筆しました。一方、英国のジャーナリスト、Kevin Townsend氏が取り上げた、永久的で検出不能なバックドアを作成するという不正プログラム「ラクシャーサ」には私も目を留めました(ちなみにラクシャーサとは元々はヒンドゥー教の鬼神を指します)。私個人としては、絶対に検出できないということはないと考えています。

 

8月は比較的穏やかな月でした。AleksはFlamerを分析し(「Flamer Analysis: Framework Reconstruction」)、一方でEugene Rodionov(彼とAleksが共同で行った分析の結果の多くはESETブログで紹介してきました)は、StuxnetやDuqu、Flameとの類似性の高いマルウェア、Gaussに目を向けています(「Interconnection of Gauss with Stuxnet, Duqu & Flame」)。

Stephenは、Revetonランサムウェアがターゲットから金銭を搾取する手口を分析しました。

Sebastien Duquetteは、マルウェア拡散サービスへのアクセス権を販売するWebサイトの包括的な分析に関するブログを執筆。背後に潜む犯罪者は自分のサイトの周知を望んでいるようにみえますが、ESETのフィルタリング機能は、彼らがこのブログを利用してさらなるカスタマイズを施すのを阻止しました。私たちはそんなに間抜けではありません。

Robert Lipovskyは、Win32/Quervarについて解説し(「Quervar-Induc.C reincarnate?」)、その技術分析とサポート詐欺の間の意外な接点を取り上げています(「Support scams and Quervar/Dorifel」)。

実のところ、この月はサポート詐欺の周辺でさまざまな動きが報告されました。例えば、Ammyyのリモートアクセスサービスがたびたびインドの詐欺師たちに悪用され(米国では、Ammyy詐欺と呼ばれることもあります)、参考になる情報と警告をブログで発信しました。その傍らで、単調で台本に忠実な詐欺師からかかってきた電話はちょっとした息抜きとなりました(「Support Scammer Anna's CLSID confusion」)。このトピックに関する最適な材料を引っさげて私は、9月に開催されたCFETとVirus Bulletinのカンファレンスでプレゼンテーションを行いました。

Cameronは、Mac OSX/iOSのセキュリティを論じたほか(「Mac OSX/iOS hacks at Blackhat - are scammers setting their sights?」)、ゲーム会社Blizzard Entertainmentのハッキング被害や、Facebookでの写真のタグ付けに関するブログを投稿しました。

Stephenは、Javaの無効化についての素晴らしいアドバイスを提供しています(「Java zero day = time to disable Java, in your browser at least」)。

Cameronはまた、FinFisherスパイウェアに関する長めのブログを書いており、私も、読者からESETによるこのスパイウェアの検出(ESETではWin32/Belasek.Dとして検出)についてのコメントが寄せられた際に、このテーマを取り上げました(「Finfisher and the Ethics of Detection」)。

私は以前、膨大な数の不適切なパスワードについて説明しましたが、パスワードに使用されることの多い文字列の上位(ちなみに私のブログでは上位25種を掲載)さえ使用しなければ安全であるかのごとく、使用頻度の高い文字列をリストアップするだけのジャーナリストたちにはうんざりしており、より建設的なアプローチの採用を試みました(「Bad password choices: don't miss the point」)。

そのほか、セキュリティ系の技術に精通したジャーナリストである、IT総合誌The RegisterのJohn Leyden氏との会話を元にしたブログも投稿しています(「Carbon Dating and Malware Detection」)。

 

9月もVirus Bulletinカンファレンスが開催されるまでは穏やかな日々が続きました。私たちはもちろん、アンチマルウェア業界に籍を置く人のほとんどが1年で最も重要なイベントの1つととらえており、2012年に私が執筆したESETの論文の要約や記事からもわかるとおり、本カンファレンスに向けて多くのプレゼンテーションの準備に追われました。

Righardと私はまた、英国のカンタベリーで開催された、小規模ながら常に内容の濃いフォレンジックカンファレンスでも発表を行いました。カンタベリー滞在中には、ATMのセキュリティに関するブログを再度執筆する際に、ほとんどそのまま使用できそうな写真を確保できました(「ATM Security? Don't bank on it」)。このブログは、コンピューターセキュリティに精通した偉大なジャーナリストであるBrian Krebs氏の記事に由来しています。

残念ながら、Pierre-Marc Bureauはここ最近、ブログの執筆時間の確保に苦労していましたが、彼の記事は常に必読に値します。違法の「Pay Per Install(PPI)」モデルについて取り上げた記事「Dancing Penguins - A Case of Organized Android Pay Per Install」もその例外ではありません。

Aryehは、Androidのセキュリティにも着目しています(「The Dynamic Duo for Securing your Android: Common Sense and Security Software」)。

また、Pierre-MarcはOSX/Flashbackの(非)稼働状況についてまとめています(「Flashback Wrap Up」)。

私たちは、メッセージが(アイルランドの)ゲール語(Gaeilge)に翻訳された、非ウイルス型のランサムウェアとみられる「アイルランドの言語が使用された初のウイルス」を確認しました。その後、研究熱心なブロガー“Kafeine”氏のおかげで、他の国や言語に合わせて作成されたメッセージのサンプルにも目を通すことができました。この種の不正活動は笑い事ではありませんが、ゲール語の文章中にフランス語のテキストが一部うっかり混ざっているのには思わず失笑してしまいました。他にも、トップレベルドメインのと.irと.ieを明らかに見間違えたとされるメッセージもあり、ゲール語のユーザーをターゲットとしているのは明白であるにもかかわらず、テキストはイランの言語で作成されています。

私はまた、PINの適切な選択に再び目を向け、DataGeneticsによる研究に対しコメントをしました(「Choosing a non-obvious PIN」)。

Cameronは、Facebookのタイムライン機能に関するブログを執筆し(「Facebook timeline security & privacy: steps to keep your account & identity safe」)、続けてその続編も投稿しています「Facebook timeline privacy/security: protect your account and identity (2/2)」。

私はサプライチェーンに入り込むマルウェアに関するブログ記事を執筆しました。若干珍しいスタイルになりますが、Kevin Townsend氏、Dan Raywood氏、John Leyden氏のジャーナリストの3氏の過去の発言や記事を引用しています(「Nitol Botnet: You Will Never Break The Chain」)。

 

10月はまず、Cameronが、Google Playからダウンロード可能な、Android搭載デバイスをUSSDコードの脆弱性から保護する無料のESETのアプリに関するブログをアップしました(「Free Android USSD vulnerability protection from ESET now on Google Play」)。

Aryehも、一部の製品について情報を提供しています(「W8ing for V6: What ESET has in store for Windows 8 Users」)。

Stephenは、同月が米国サイバーセキュリティ啓発月間であることから、サイバーセキュリティの認識をテーマに、セキュリティトレーニングは本当に必要か、ユーザーに問いかけています(「How’s Your Cyber Security Awareness? Or, do we really need security training?」)。質問の答えはもちろんイエスです。フォローアップとして、彼は若年層の方が高齢者層よりもオンラインセキュリティへの関心が低いとするHarris Pollの世論調査の結果を公開し(Younger people less secure online than their elders new study suggests)、アメリカ州行政府のCISOの86%が、サイバーセキュリティに対処するうえでの大きな障壁として、「十分な資金を確保できていない」実態を明らかにしています(「Brutalized! South Carolina breach exposes data security woes at State level」)。

Stephenはまた、サプライチェーンなどに入り込む、中国IT企業の脅威に関する懸念を取り上げました。今回は政府の誇大妄想に関連しています(「Huawei? The how, what, and why of telecom supply chain threats」)。

Aleksは、典型的かつ詳細な技術分析をいくつか寄稿しました(「Olmasco bootkit: next circle of TDL4 evolution (or not?)」)。

Stephenが、技術サポート詐欺と偽のアンチウイルスソフトウェアの連邦取引委員会(FTC)による撲滅についてブログを投稿したので(FTC cracks down on tech support scams and feds nail fake AV perps)、私はサポート詐欺関連の執筆をお休みできたのですが、この問題のなかなか終息しないことに業を煮やし、2週間も経たないうちに筆を執っていました(「Telescammer Hell: What's Still Driving The PC Support Scammers?」)。

とはいえ、詐欺のタイプはもちろんこれだけではありません。私たちは、他のタイプについてもレポートを行っていました。

Cameronは、選挙関連の詐欺に注意するよう呼びかけました(「Avoid Election Season Scams: Donations and cruises to avoid」)。

サポート詐欺以外の電話による詐欺に関する記事を投稿(「Telephone Scams: it's not all about PC support」)。月の終わりには、Urban Schrottの助けも借りて、フィッシング詐欺に関する3つのパートで構成される大掛かりなブログを執筆しており、こちらは現在では1つのホワイトペーパーとしてご覧いただけます。

マルウェアと医療機器に関するブログ記事も執筆しました(「Malware and Medical Devices: hospitals really are unhealthy places...」)。後になって知ったのですが、テレビシリーズ『HOMELAND』のシーズン2に、似たような「遠隔制御ペースメーカーによる殺人」を取り上げたエピソードがあったようです。

必然的と言うべきか、11月には同じようなテーマがいくつか継続しました。

技術的な面では、Jean-Ian BoutinがWin32/Gatakaに関する最新の展開を取り上げました(「Win32/Gataka - or should we say Zutick?」)。

Pablo Ramosは、Android/TrojanSMS.Boxer.AAに関する2つのブログ記事を投稿しました。1つは高度な技術分析ですが、もう1つはより一般ユーザー向けの内容となっています(「Don't pay high phone bills: SMS Trojans can trick you via premium-rate numbers」)。専門的な知識を持ち合わせていない読者でも、技術色の濃い内容に辟易せず、何らかの悪意のある技術がなぜ自分のオンライン生活に影響を及ぼすのか理解できるように、こうしたタイプの執筆ももっと増やしていきたいところですが、少人数編成のブログ担当チームでは幾分困難でもあります。読者との関連性が高く、興味を駆り立て、それでいて誤解を招かない技術的な内容を書くことは、専門性の極めて高い文章を執筆するのと何ら変わらず、大変な作業なのです。それでも、Pierre-Marcが投稿したWin32/Mortoというマルウェアファミリーに関する記事は、幅広い読者を引き付けるバランスの取れた内容に仕上がっています(「Win32/Morto - Made in China, now with PE file infection」)。

Stephenの報告によると、英国で古参のマルウェアファミリーの検出数が急増しました(「Wauchos Warhorse rides again」)。統計データは興味深いものですが、この件に関しては何が原因なのかはっきりとしていません。

Windows 8の専門家と言えばAryehですが、私は、Windows 8のリリースやハリケーン「サンディ」などの当時の流行トピックが、ソーシャルエンジニアリング攻撃に利用されるメカニズムについて執筆しました(「Windows 8: there’s more to security than the Operating System」)。また、Pabloがブログで取り上げたプレミアムレートの悪用について、大きく異なる一面に着目しています(「Premium Rate Scams and Hoaxes」)。

PCサポート詐欺で新たに確認された大きな変化について論じました(「Support Scams and the Surveillance Society」および「New Support Scam Gambits: Frozen Virus a Frozen Turkey」)。

Stephenは、データ窃盗についての自身の見解を新たな角度からフォローしているほか(「Digital photos demand a second look as picture-stealing threat develops」)、非常に役立つと好評だった、ホリデーシーズンにぴったりの記事を公開しました(Safer cyber-shopping makes for happier holidays: 12 simple safety tips)。

 

12月をやっと半分が過ぎた時点でこのまとめを書いているのですが、すでに他の月と同様に波乱に富んだ1カ月になりつつあります。

チベット活動家を標的とする、Macに特化した新たな攻撃が発覚しました(「Spying on Tibetan sympathisers and activists: Double Dockster」)。一方、Stephenはパスワードの設定という厄介な問題を再び取り上げています(「Password handling: challenges, costs, and current behavior (now with infographic)」)。深刻な被害を招きかねない、ユーザーのずさんな管理体制が、いまだオンライン上で主流になっているのには思わずため息をつきたくなります。

あるセキュリティベンダーが、「アンチウイルスソフトウェアにお金を払うぐらいなら、我が社の製品に費やした方が良い」と主張し、その根拠として、無料のWeb サービスVirusTotalの不適切な使用に基づく設計の甘い“テスト”を持ち出しました。Righardは、そのロジックの欠陥をいくつか指摘し(「Why Anti-Virus is not a waste of money」)、私は、外部(非ESET)の某ブログでVirusTotalのサービスの誤用というテーマについて再度考察しています(このテーマに対しては、すでに同社のJulio Canto氏と共同で策定した論文で対処しています)。

ちなみに、私たちESETのメンバーは、ESET外でもブログをはじめ各種の執筆を数多く担当しており、その数は以下で紹介した論文や記事をはるかに上回ります。私たちが今年1年に執筆した文章をすべてリストアップしようとすれば、膨大な時間と掲載スペースが必要になっていたでしょう。

リムーバブルメディアのAutorun機能の悪用を撲滅しようとMicrosoftが取り組んでいるにもかかわらず、その攻撃手段を使用する脅威が成長を続けているという事実に、セキュリティ業界は突然目を向けました。正確に言うと、私たちにとっては初耳というわけではありませんでした。INF/Autorunとその亜種は、ESETの脅威レポートで常に上位に名を連ねているからです。一方、Stephenは、このトピックに関する興味深くて役立つ新しい情報を提供しました(「My Little Pronny: Autorun worms continue to turn」および「Are your USB flash drives an infectious malware delivery system?」)。

私の元に419詐欺のメールが届きました。差出人は、この種の詐欺で常連のナイジェリアの元大統領の妻となっており、久々にその名前を目にして何とも懐かしい感覚に陥りました(「Maryam Abacha rides again: yes, Virginia, there IS a Sani-ty Clause!*」)。

OntinetのJosep Albors氏は、知らない人が突然電話をかけてくるボイラールーム詐欺や、代替投資詐欺が横行する濁った世界へと私を導いてくれました(「Diamonds are forever, and so are investment scams」)。

Sebastian Bortnikは、ESETラテンアメリカによる2013年のマルウェアのトレンドを予測したホワイトペーパー、「Trends for 2013: astounding growth of mobile malware」を公開しました。妥当なところですが、Androidマルウェアの大幅な増加が見込まれています。他のESETの研究者もそれぞれ、下旬にかけて来年の動向を予測しています。

Aleksは、銀行を狙うマルウェア、Win32/Spy.Ranbyusによって悪用されるスマートカードシステムの脆弱性に関する進行中の研究の最新情報を提供しています。

Pabloは、Virus Bulletinカンファレンスで自身の論文の主題であったDorkbotに再び目を向けています。

さらに、Aryehはクリスマスシーズン向けのデジタル機器の保護について紹介する、この時期限定となる特集記事の連載を開始しました。

Pierre-MarcがLinuxを対象とする不正活動についてまとめたレポートに多くの関心が集まり、続けて、私も、その意味合いを明確にすることを目的とした、悪意のあるApacheモジュールに関するブログ記事を投稿しました。

2013年のThreat Blogではどのような重要ニュースが取り上げられるのか、私たちは非常に興味がありますが、皆さんにも引き続き注目していってほしいと思っています。ブログでは、技術サポートやライセンスに関する質問には回答できませんが、コメント欄やaskeset@eset.com宛に寄せられた皆さんの声は大変重要であると考えています。賛成、反対に関わらず、来年も引き続き、皆さんのご意見、ご感想を寄せていただけると幸いです。

ESETのブログ担当チーム一同、2013年がすべての皆さんにとって実り多き1年となりますよう、お祈り申し上げます。

2012年に公開したESETの各種ペーパーとメディア掲載記事

ESETポッドキャスト
http://www.eset.com/us/resource/presentations/podcast/

ESETのWebキャスト
http://www.eset.com/us/resource/presentations/webinars/

2012年のマルウェアランキングトップ10
1.INF/Autorun[全体の約5.17%]
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
2.HTML/ScrInject.B[全体の約4.44%]
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
3.HTML/Iframe.B[全体の約3.51%]
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
4.Win32/Conficker[全体の約3.00%]
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
5.Win32/Sality[全体の約1.61%]
前回の順位:7位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
6.Win32/Dorkbot[全体の約1.55%]
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。
7.JS/TrojanDownloader.Iframe.NKE[全体の約1.39%]
前回の順位:8位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
8.Win32/Sirefef[全体の約1.31%]
前回の順位:5位
このトロイの木馬は、検索エンジンでの検索結果を、アドウェアがホストされたWebサイトにリダイレクトします。
9.Win32/Ramnit[全体の約0.98%]
前回の順位:10位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
10.Win32/Qhost[全体の約0.76%]
前回の順位:7位
このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。
エンドユーザーへの影響
Windowsのレジストリー設定に精通しているユーザーであれば、Win32/Spy.Ursnif.Aがシステムに存在するかどうかはさまざまな方法で確認することができますが、新しいアカウントが作成されたことを確認する方法を知らない一般ユーザーがこのスパイウェアの存在に気づくことは難しいでしょう。
いずれにしても、このマルウェアが使用する設定の細かい部分は、その進化の過程で変更されていくものと予想されます。この種のスパイウェアへの感染を防ぐためには、アンチウイルスソフトウェアをはじめとするセキュリティソフトウェア(パーソナルファイアウォールなど)を導入および実行し、常に最新の状態に維持するだけでなく、最新のパッチを確実に適用し、意図しないファイルのダウンロードやリダイレクト、添付ファイルに注意するというあたりまえの対策を実施することが最も重要となります。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2012年のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち5.17%を占めています。

2012年12月の結果グラフ
ESET社について

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!