2013年1月 世界のマルウェアランキング

この記事をシェア
2013年1月の月間マルウェアランキング結果発表
目次
再生を繰り返すデマメッセージ
David Harley、CITP FBCS CISSP、ESETシニアリサーチフェロー

この世界には永久不変なものなどありません。だからこそ、人は物事のゆっくりとした移ろいに思いを馳せるのでしょう。とはいっても、それがユーザーを欺き、拡散させようとするデマメールのこととなれば、のん気に構えていられません。さらに困ったことに、こうしたデマが数年前、あるいは数十年前に拡散されていたものとまったく同じであるケースも珍しくないのです。 ここでは、今月私が目にした、あるデマメッセージを取り上げます(正確には2つのデマです)。今をさかのぼること10年以上前、1990年代にも妻と私はまさしくこのようなデマに遭遇しました。意図的ではなかったのでしょうが、友人から妻の元に送られてきたのです。当時、このバージョンは電子メールで送られてきましたが、同一または類似のデマはいまや、Facebookを筆頭にソーシャルメディアを介しても拡散しています。以下にそのテキストをご紹介しましょう(ちなみに、余分なスペースを削除するなど少しばかり手を加えています)。

URGENT - PLEASE READ - NOT A JOKE
(緊急 - 必ずお読みください - ジョークではありません)

確かに面白い内容ではないでしょうね (受取人がの名が、後段であげつらうSimon Ashton氏と同じだったらなおさらでしょう)。デマメールで「これはジョークではありません」、「正真正銘の本物です」といった言い回しが使われている背景には、ユーザーが以前よりも疑い深くなっているという事実が少なからずあるのでしょう。

IF A PERSON CALLED SIMON ASHTON (SIMON25@HOTMAIL.CO.UK) CONTACTS YOU THROUGH EMAIL DON'T OPEN THE MESSAGE. DELETE IT BECAUSE HE IS A HACKER!!
(SIMON ASHTONと名乗る人物からメールが送られてきても(SIMON25@HOTMAIL.CO.UK)、メッセージは開かずに削除してください。彼はハッカーです。)

実のところ、このメッセージは、ハッカーが幾度となく名前を変えることで長きにわたり拡散しています。例えば最近使用された名前には、Christopher Butterfield、Tanner Dwyer、Stefania Colac、Alejando Spiljnerなどがあります。しばしば、「問題のハッカーは友人申請をしてあなたに接触を図ろうとする」などと説明することがあります。こうした文言を加えることで、Facebook経由で送られてきた場合に説得力をさらに高める効果があるのです。続いて以下のパラグラフですが、Facebook経由では目にする可能性は低いかもしれません。これは電子メール版に固有の文章ですが、雑然としており、説得力に欠けます。

TELL EVERYONE ON YOUR LIST BECAUSE IF SOMEBODY ON YOUR LIST ADDS HIM THEN YOU WILL GET HIM ON YOUR LIST. HE WILL FIGURE OUT YOUR ID COMPUTER ADDRESS, SO COPY AND PASTE THIS MESSAGE TO EVERYONE EVEN IF YOU DON'T CARE FOR THEM AND FAST BECAUSE IF HE HACKS THEIR EMAIL HE HACKS YOUR MAIL TOO!!!!!......
(連絡先リストのすべてのユーザーに知らせてください。リスト内のユーザーが彼を追加してしまったら、あなたのリストにも追加されます。彼があなたのコンピューターのIPアドレスを突き止めてしまう前に、急いでこのメッセージをコピーし、メールに貼り付けてすべてのユーザーに送ってください(日頃あまり交流のない相手にも送るようにしてください)。リスト内のユーザーの電子メールのみならず、あなたの電子メールもハッキングされてしまいます。)

フラグはつけていませんが、ここから文章が突然変化を来します。加えて、すべて大文字のメッセージが急に行頭だけになるのには何らかの意味があります。ちなみに大文字の過度の使用は、デマメッセージでよく見られる特徴です。真剣かつ本物であることを印象付けるためだと考えて間違いありません。

Anyone-using Internet mail such as Yahoo, Hotmail, AOL and so on.. This information arrived this morning, Direct from both Microsoft and Norton. Please send it to everybody you know who has access to the Internet. You may receive an apparently harmless e-mail titled 'Mail Server Report'
(YahooやHotmail、AOLなどインターネットメールをご利用の皆さま。この情報は今朝、MicrosoftとNortonの両社から直接送信されました。インターネットを利用している知り合い全員にこの情報を送ってください。「Mail Server Report」というタイトルの一見無害の電子メールがあなたの元に届く可能性があります。)

さて、どこから突っ込みを入れましょうか。インターネットメールを利用している、またはインターネットに接続できるすべてのユーザーをターゲットにしていることから、送り主の動機が浮かび上がってきます。もちろん、他人の幸せを本気で願っている真の善人、なんてことはありません。

私がこのメッセージ(あるいは酷似したメッセージ)を初めて目にした当時は、「Microsoftから送られてきたセキュリティに関するメッセージは、深刻に受け止めなければならない」という考えはそれほど浸透していなかったのですが、以降、同社はセキュリティ啓発活動とセキュリティベンダーの両方の観点から評価されるようになっています。そのため、Microsoftの権威を笠に着るように装っているのでしょう。

「この情報は今朝届いた」という文言も、それ自体がヒントのようなものです。ご存知だとは思いますが、デマメールでは、正確な日付をはじめ、(裏付けを得られるかどうかを問わず)本当の情報を見つけるうえで役立つ可能性のある一切の情報については曖昧にされます。ゆえに、受け取り側が、メッセージが何度も多くの人に転送されていると気付いた場合で、このアプローチの弱点が露呈されます。「今朝」とはいつのことを指すのか考え始め、さらなる情報を入手しようとする可能性があるからです。しかし、この種の電子メールの過去の受信者リストからは、多くのユーザーは深く考えずに漫然と受け止めていることが強く示唆されており、衝撃を受けました。

このデマは「Life is beautiful」というウイルスデマの1バージョンです。こちらのウイルスデマは、メッセージに「Life is beautiful.pps」という名前の、Powerpointファイルを装った悪意のあるファイルが添付されている、と主張するものでした。当時、悪意のあるファイルには、特定かつ識別可能な名前が用いられていたのです。今でも識別はできると思いますが、電子メールと一緒に送信される悪意のあるファイルの名前を変える方法をマルウェアの作者たちはいくらでも知っていますので、その可能性は低いと見られます。しかし、このケースでは、デマメールは「Mail Server Report」と称し、大量メール送信型のマルウェアであるWin32/Warezovの実際の亜種(かなり前に消滅しましたが)を幾分絡めています。 今回のケースには当てはまりませんが、メッセージには時おり、「verified by Snopes(Snopesによって検証済み)」という文言が記載されることがあります。これは、デマや都市伝説などに関する情報の広く知られるリファレンスソースであるSnopesが、実際のWarezovマルウェアが本物であると記載した事実に基づいている、ということを意味します。

If you open either file, a message will appear on your screen saying: 'It is too late now, your life is no longer beautiful.'
(いずれかのファイルを開くと、「It is too late now, your life is no longer beautiful.(もう手遅れだ。あなたの人生は汚れてしまった)」というメッセージが画面に表示されます。)

どう見てもLife is beautifulバージョンにあやかった表現です。

Subsequently you will LOSE EVERYTHING IN YOUR PC, And the person who sent it to you will gain access to your name, e-mail and password.
(その後、PC内のすべての情報が失われます。送り主はあなたの名前、電子メールアドレス、パスワードを取得します。)

いつものことながら、よくもまあここまで言えますね。確かにマルウェアに感染した結果、個人情報を一部あるいは丸々取得される可能性はありますが、このメッセージで言及されているマルウェアは架空のものですからもちろん何も起こりません。

This is a new virus which started to circulate on Saturday afternoon.. AOL has already confirmed the severity, and the anti virus software's are not capable of destroying it .
(これは、土曜日の午後に流通し始めた新種のウイルスです。AOLはすでに危険性を認識していますが、アンチウイルスソフトウェアを使用しても破壊することはできません。)

なんてことでしょう。これは、なかなか“厄介な”ウイルスに違いありません。いつの土曜日かわからない上に(あるいは、おそらくシステムの破壊が発覚する前の週から流通していたのでしょう)、アンチウイルスソフトウェアで破壊することもできないというのですから。同業のImpervaは私たちの製品ではマルウェアを検出できないと相変わらず批判していますが、彼らですら、私たちが把握しているマルウェアを削除できないとまではまず主張しません。それに、侵入したシステムをすべて破壊するようなウイルスのタイムラインを、どうやって詳細に知ることができるのかも不明です。

AOLはどうでしょうか。これはデマの作成時期を示す1つの手がかりになると思います。おそらく、出版社のフロアがパソコン雑誌の付録として添付されたAOLのディスクやCD-Rで常に溢れかえっていた時代、そして内容により「真実味」を持たせ、恐怖心を煽る目的で、AOLやMicrosoftが本文中に頻繁に登場していた時代に作成されたのでしょう。

The virus has been created by a hacker who calls himself 'life owner'..
(このウイルスは、「life owner(人生のオーナー)」を自称するハッカーによって作成されました。)

ピリオドを余分に打っているのは、さらに重みを付けるためです。あるいは、少しでも行を長くしようという狙いなのでしょう。この行も、「Life is beautiful」の特徴を受け継いでいます。

「よく聞いて!。クリスマスツリーのベルの音は天使が翼を貰った合図よ」。おっと失礼。「Life is beautiful」と聞いて、ついフランク・キャプラ監督の映画『It's a Wonderful Life(邦題:素晴らしき哉、人生!)』のラストシーンを思い出していました。

Virus Bulletin 2012の論文2件が新たに公開

テキサス州ダラスで開催された2012年のVirus Bulletinカンファレンスは、ESETにとっては大成功のうちに幕を閉じました。もし皆さんがESETの研究者によるプレゼンテーションの聴衆の1人であったら、研究者が登壇してから降壇するまで微動だにせず耳を傾けていたかもしれませんね。カンファレンスペーパーページには現在、ESETの論文2件が新たに掲載されています。どちらの論文も初出はVirus Bulletin 2012カンファレン発表論文集で、著作権を所有するVirus Bulletinにより閲覧が許可されています。

BYOD:(B)rought (Y)our (O)wn (D)estruction?
Righard Zwienenberg

今日では、社員が個人所有のインターネット接続対応端末を職場で使用するケースは珍しくもない光景となりました。企業や学校などの経営者は、社員や学生が私物の端末を使用するようになれば、大幅な経費削減につながると考えるでしょう。しかし、実際のところはどうでしょうか。経済的なメリットにばかり目を向けているのではないでしょうか。

BYOD(私物端末の業務利用)にはさまざまなメリット、デメリットが潜んでいます。サポートの必要があると見られるデバイスは膨大な数に上り、問題を引き起こす可能性があります(そのうえ、組織が把握していないデバイスが利用されている場合もあるでしょう)。この論文では、危険である、あるいは潜在的に危険であるとユーザーが認識していないインターネット接続対応端末を含む、BYODのメリットとデメリットについて見ていきます。

これらの端末を利用する際、たいていの場合はApp Storeやアプリマーケットからアプリをダウンロードします。アプリにはもちろん高い安全性が求められますが、はたして個人ユーザーや企業のデータにどのようなリスクをもたらすでしょうか。さらに、論文では、企業ネットワークを狙う各種攻撃や厄介なデータ漏洩のリスクに関連する問題について解説します。例えば、携帯端末上の企業データの暗号化が徹底されていない、などが挙げられます。最後に、ユーザー固有の環境でBYODポリシーを策定する方法、そしてその実践にどれだけのメリットがあるかについてアドバイスを提供します。Live USBメモリからPCをブートするWindows 8の機能「Windows To Go」は、おそらくBYODをIT部門の管理化に置くうえで最適です。OSの実行や各種アプリのインストール、管理者によるグループポリシーの適用を可能にします。

留意すべきなのは、BYODは今後予測されるトレンドではなく、すでに定着した概念であるという点です。BYODとは、巨大(Big)で、そのうえ(Yet)社外(Outside)へのデータ流出を回避するための防壁(Defence)の略であるべきなのです。

Dorkbot: Hunting Zombies in Latin America
Pablo Ramos

Win32/Dorkbotは、2011年の初めに出現した途端に短期間で検出数が急上昇し、年間を通じてラテンアメリカで最も大きな影響を及ぼしたマルウェアになりました。拡散手段にはリムーバブルメディアやソーシャルネットワークを使用し、出現からわずか3カ月で脅威検出数ランキングのトップに上り詰めました。Win32/Dorkbot(これはアンチウイルス業界で用いられている表記で、作者はNgrbotと表記するのを好んでいます)は、ラテンアメリカのサイバー犯罪者の間で人気の高い攻撃手段として際立っており、多様なメディアや経路を介して広範囲に拡散しています。

これまでに小規模のボットネットが大量に検出されており、いずれも感染PCから個人情報やネットバンキングのログイン情報の窃盗を目的としています。攻撃者は、リムーバブルメディア経由で.lnkファイルを介して拡散させたり、Facebookなどのソーシャルネットワーク上でカスタマイズが施されたメッセージをばらまいたりするほか、ローカルニュースや脆弱性のあるWebページも使用します。IRCプロトコルを介してボットを制御し、システムを乗っ取ってボットネットを構築しています。

本論文ではWin32/Dorkbotの主要な能力と特徴を解説するとともに、Autorun経由の拡散から.lnkファイル利用の拡散までに至る進化の各過程や、情報を盗み出す技術についても取り上げます。また、このワームで最も広く拡散している亜種であるWin32/Dorkbot.Bは、そのコンストラクターがWeb上に流出しており、利用可能になっています。私たちは、該当地域でアクティブなボットネットの1つを追跡し、サイバー犯罪者によって実行される主な活動を調べました。

調査の結果、ボットマスターと通信しているボットPCの数が数千台にも及ぶことが判明しました。ボットマスターは、複数のサーバーや脆弱性のあるWebページを利用して、フィッシング攻撃を仕掛けたり、脅威を拡散させたります。

ソーシャルメディアを利用したメッセージの拡散も有効な手段で、FacebookやWindows Live Messengerを介してこのマルウェアのコピーが広まっています。拡散目的のメッセージに用いられるトピックには、各国の首脳や著名人、世界中で起こった出来事などがあります。また、メールアカウントは、このマルウェアに盗み出されたり、乗っ取られたりしています。

私たちはさらに、ラテンアメリカと世界の他の地域とではWin32/Dorkbotの活動状況がどの程度差があるのか、そしてなぜ差が生じているのかという点にも目を向け、インターネットの利用状況やソーシャルメディアの普及具合、ユーザー教育などのトレンドも見ていきます。これらの要因が相まって、該当地域において膨大な数の感染をもたらしています。ボットネットの制御や命令、プロトコルといった主な特徴については、この論文で解説されています。

マルウェアランキングトップ10
1.INF/Autorun[全体の約3.27%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
2.HTML/Iframe.B[全体の約2.77%]
前回の順位:3位
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
3.HTML/ScrInject.B[全体の約2.66%]
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
4.Win32/Qhost[全体の約2.13%]
前回の順位:4位
この脅威は、自分自身をWindowsの%system32%フォルダーにコピーしたあと動作を開始します。さらに、DNS経由で指令(C&C)サーバーと通信します。電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。
5. Win32/Sality[全体の約1.61%]
前回の順位:12位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
6.Win32/Conficker[全体の約1.47%]
前回の順位:2位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
7.Win32/Ramnit[全体の約1.17%]
前回の順位:7位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
8.Win32/Dorkbot[全体の約1.15%]
前回の順位:5位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。
9.JS/TrojanDownloader.Iframe.NKE[全体の約1.08%]
前回の順位:6位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
10.Win32/Sirefef[全体の約0.76%]
前回の順位:9位
このトロイの木馬は、検索エンジンでの検索結果を、アドウェアがホストされたWebサイトにリダイレクトします。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年1月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.27%を占めています。

2013年1月の結果グラフ
ESET社について

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!