この世界には永久不変なものなどありません。だからこそ、人は物事のゆっくりとした移ろいに思いを馳せるのでしょう。とはいっても、それがユーザーを欺き、拡散させようとするデマメールのこととなれば、のん気に構えていられません。さらに困ったことに、こうしたデマが数年前、あるいは数十年前に拡散されていたものとまったく同じであるケースも珍しくないのです。 ここでは、今月私が目にした、あるデマメッセージを取り上げます（正確には2つのデマです）。今をさかのぼること10年以上前、1990年代にも妻と私はまさしくこのようなデマに遭遇しました。意図的ではなかったのでしょうが、友人から妻の元に送られてきたのです。当時、このバージョンは電子メールで送られてきましたが、同一または類似のデマはいまや、Facebookを筆頭にソーシャルメディアを介しても拡散しています。以下にそのテキストをご紹介しましょう（ちなみに、余分なスペースを削除するなど少しばかり手を加えています）。

確かに面白い内容ではないでしょうね （受取人がの名が、後段であげつらうSimon Ashton氏と同じだったらなおさらでしょう）。デマメールで「これはジョークではありません」、「正真正銘の本物です」といった言い回しが使われている背景には、ユーザーが以前よりも疑い深くなっているという事実が少なからずあるのでしょう。

実のところ、このメッセージは、ハッカーが幾度となく名前を変えることで長きにわたり拡散しています。例えば最近使用された名前には、Christopher Butterfield、Tanner Dwyer、Stefania Colac、Alejando Spiljnerなどがあります。しばしば、「問題のハッカーは友人申請をしてあなたに接触を図ろうとする」などと説明することがあります。こうした文言を加えることで、Facebook経由で送られてきた場合に説得力をさらに高める効果があるのです。続いて以下のパラグラフですが、Facebook経由では目にする可能性は低いかもしれません。これは電子メール版に固有の文章ですが、雑然としており、説得力に欠けます。

フラグはつけていませんが、ここから文章が突然変化を来します。加えて、すべて大文字のメッセージが急に行頭だけになるのには何らかの意味があります。ちなみに大文字の過度の使用は、デマメッセージでよく見られる特徴です。真剣かつ本物であることを印象付けるためだと考えて間違いありません。

さて、どこから突っ込みを入れましょうか。インターネットメールを利用している、またはインターネットに接続できるすべてのユーザーをターゲットにしていることから、送り主の動機が浮かび上がってきます。もちろん、他人の幸せを本気で願っている真の善人、なんてことはありません。

私がこのメッセージ（あるいは酷似したメッセージ）を初めて目にした当時は、「Microsoftから送られてきたセキュリティに関するメッセージは、深刻に受け止めなければならない」という考えはそれほど浸透していなかったのですが、以降、同社はセキュリティ啓発活動とセキュリティベンダーの両方の観点から評価されるようになっています。そのため、Microsoftの権威を笠に着るように装っているのでしょう。

「この情報は今朝届いた」という文言も、それ自体がヒントのようなものです。ご存知だとは思いますが、デマメールでは、正確な日付をはじめ、（裏付けを得られるかどうかを問わず）本当の情報を見つけるうえで役立つ可能性のある一切の情報については曖昧にされます。ゆえに、受け取り側が、メッセージが何度も多くの人に転送されていると気付いた場合で、このアプローチの弱点が露呈されます。「今朝」とはいつのことを指すのか考え始め、さらなる情報を入手しようとする可能性があるからです。しかし、この種の電子メールの過去の受信者リストからは、多くのユーザーは深く考えずに漫然と受け止めていることが強く示唆されており、衝撃を受けました。

このデマは「Life is beautiful」というウイルスデマの1バージョンです。こちらのウイルスデマは、メッセージに「Life is beautiful.pps」という名前の、Powerpointファイルを装った悪意のあるファイルが添付されている、と主張するものでした。当時、悪意のあるファイルには、特定かつ識別可能な名前が用いられていたのです。今でも識別はできると思いますが、電子メールと一緒に送信される悪意のあるファイルの名前を変える方法をマルウェアの作者たちはいくらでも知っていますので、その可能性は低いと見られます。しかし、このケースでは、デマメールは「Mail Server Report」と称し、大量メール送信型のマルウェアであるWin32/Warezovの実際の亜種（かなり前に消滅しましたが）を幾分絡めています。 今回のケースには当てはまりませんが、メッセージには時おり、「verified by Snopes（Snopesによって検証済み）」という文言が記載されることがあります。これは、デマや都市伝説などに関する情報の広く知られるリファレンスソースであるSnopesが、実際のWarezovマルウェアが本物であると記載した事実に基づいている、ということを意味します。

どう見てもLife is beautifulバージョンにあやかった表現です。

いつものことながら、よくもまあここまで言えますね。確かにマルウェアに感染した結果、個人情報を一部あるいは丸々取得される可能性はありますが、このメッセージで言及されているマルウェアは架空のものですからもちろん何も起こりません。

なんてことでしょう。これは、なかなか“厄介な”ウイルスに違いありません。いつの土曜日かわからない上に（あるいは、おそらくシステムの破壊が発覚する前の週から流通していたのでしょう）、アンチウイルスソフトウェアで破壊することもできないというのですから。同業のImpervaは私たちの製品ではマルウェアを検出できないと相変わらず批判していますが、彼らですら、私たちが把握しているマルウェアを削除できないとまではまず主張しません。それに、侵入したシステムをすべて破壊するようなウイルスのタイムラインを、どうやって詳細に知ることができるのかも不明です。

AOLはどうでしょうか。これはデマの作成時期を示す1つの手がかりになると思います。おそらく、出版社のフロアがパソコン雑誌の付録として添付されたAOLのディスクやCD-Rで常に溢れかえっていた時代、そして内容により「真実味」を持たせ、恐怖心を煽る目的で、AOLやMicrosoftが本文中に頻繁に登場していた時代に作成されたのでしょう。

ピリオドを余分に打っているのは、さらに重みを付けるためです。あるいは、少しでも行を長くしようという狙いなのでしょう。この行も、「Life is beautiful」の特徴を受け継いでいます。

「よく聞いて！。クリスマスツリーのベルの音は天使が翼を貰った合図よ」。おっと失礼。「Life is beautiful」と聞いて、ついフランク・キャプラ監督の映画『It's a Wonderful Life（邦題：素晴らしき哉、人生！）』のラストシーンを思い出していました。

テキサス州ダラスで開催された2012年のVirus Bulletinカンファレンスは、ESETにとっては大成功のうちに幕を閉じました。もし皆さんがESETの研究者によるプレゼンテーションの聴衆の1人であったら、研究者が登壇してから降壇するまで微動だにせず耳を傾けていたかもしれませんね。カンファレンスペーパーページには現在、ESETの論文2件が新たに掲載されています。どちらの論文も初出はVirus Bulletin 2012カンファレン発表論文集で、著作権を所有するVirus Bulletinにより閲覧が許可されています。

BYOD:(B)rought (Y)our (O)wn (D)estruction?
Righard Zwienenberg

今日では、社員が個人所有のインターネット接続対応端末を職場で使用するケースは珍しくもない光景となりました。企業や学校などの経営者は、社員や学生が私物の端末を使用するようになれば、大幅な経費削減につながると考えるでしょう。しかし、実際のところはどうでしょうか。経済的なメリットにばかり目を向けているのではないでしょうか。

BYOD（私物端末の業務利用）にはさまざまなメリット、デメリットが潜んでいます。サポートの必要があると見られるデバイスは膨大な数に上り、問題を引き起こす可能性があります（そのうえ、組織が把握していないデバイスが利用されている場合もあるでしょう）。この論文では、危険である、あるいは潜在的に危険であるとユーザーが認識していないインターネット接続対応端末を含む、BYODのメリットとデメリットについて見ていきます。

これらの端末を利用する際、たいていの場合はApp Storeやアプリマーケットからアプリをダウンロードします。アプリにはもちろん高い安全性が求められますが、はたして個人ユーザーや企業のデータにどのようなリスクをもたらすでしょうか。さらに、論文では、企業ネットワークを狙う各種攻撃や厄介なデータ漏洩のリスクに関連する問題について解説します。例えば、携帯端末上の企業データの暗号化が徹底されていない、などが挙げられます。最後に、ユーザー固有の環境でBYODポリシーを策定する方法、そしてその実践にどれだけのメリットがあるかについてアドバイスを提供します。Live USBメモリからPCをブートするWindows 8の機能「Windows To Go」は、おそらくBYODをIT部門の管理化に置くうえで最適です。OSの実行や各種アプリのインストール、管理者によるグループポリシーの適用を可能にします。

留意すべきなのは、BYODは今後予測されるトレンドではなく、すでに定着した概念であるという点です。BYODとは、巨大（Big）で、そのうえ（Yet）社外（Outside）へのデータ流出を回避するための防壁（Defence）の略であるべきなのです。

Dorkbot: Hunting Zombies in Latin America
Pablo Ramos

Win32/Dorkbotは、2011年の初めに出現した途端に短期間で検出数が急上昇し、年間を通じてラテンアメリカで最も大きな影響を及ぼしたマルウェアになりました。拡散手段にはリムーバブルメディアやソーシャルネットワークを使用し、出現からわずか3カ月で脅威検出数ランキングのトップに上り詰めました。Win32/Dorkbot（これはアンチウイルス業界で用いられている表記で、作者はNgrbotと表記するのを好んでいます）は、ラテンアメリカのサイバー犯罪者の間で人気の高い攻撃手段として際立っており、多様なメディアや経路を介して広範囲に拡散しています。

これまでに小規模のボットネットが大量に検出されており、いずれも感染PCから個人情報やネットバンキングのログイン情報の窃盗を目的としています。攻撃者は、リムーバブルメディア経由で.lnkファイルを介して拡散させたり、Facebookなどのソーシャルネットワーク上でカスタマイズが施されたメッセージをばらまいたりするほか、ローカルニュースや脆弱性のあるWebページも使用します。IRCプロトコルを介してボットを制御し、システムを乗っ取ってボットネットを構築しています。

本論文ではWin32/Dorkbotの主要な能力と特徴を解説するとともに、Autorun経由の拡散から.lnkファイル利用の拡散までに至る進化の各過程や、情報を盗み出す技術についても取り上げます。また、このワームで最も広く拡散している亜種であるWin32/Dorkbot.Bは、そのコンストラクターがWeb上に流出しており、利用可能になっています。私たちは、該当地域でアクティブなボットネットの1つを追跡し、サイバー犯罪者によって実行される主な活動を調べました。

調査の結果、ボットマスターと通信しているボットPCの数が数千台にも及ぶことが判明しました。ボットマスターは、複数のサーバーや脆弱性のあるWebページを利用して、フィッシング攻撃を仕掛けたり、脅威を拡散させたります。

ソーシャルメディアを利用したメッセージの拡散も有効な手段で、FacebookやWindows Live Messengerを介してこのマルウェアのコピーが広まっています。拡散目的のメッセージに用いられるトピックには、各国の首脳や著名人、世界中で起こった出来事などがあります。また、メールアカウントは、このマルウェアに盗み出されたり、乗っ取られたりしています。

私たちはさらに、ラテンアメリカと世界の他の地域とではWin32/Dorkbotの活動状況がどの程度差があるのか、そしてなぜ差が生じているのかという点にも目を向け、インターネットの利用状況やソーシャルメディアの普及具合、ユーザー教育などのトレンドも見ていきます。これらの要因が相まって、該当地域において膨大な数の感染をもたらしています。ボットネットの制御や命令、プロトコルといった主な特徴については、この論文で解説されています。

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年1月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.27%を占めています。

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

• ESETのホワイトペーパー
• ESETブログ
• ESETポッドキャスト
• 独立テスト機関によるベンチマークテスト結果
• アンチマルウェアソフトウェアのテストと評価について