2013年3月 世界のマルウェアランキング

この記事をシェア
2013年3月の月間マルウェアランキング結果発表
目次
ESETに寄せられた2種類の詐欺メール
David Harley、CITP FBCS CISSP、ESETシニアリサーチフェロー

今回はまず、私のメールボックス(askeset@eset.com)に最近送られてきた、何ともお間抜けな419詐欺(先払い詐欺)のメールをご紹介します。

IFC(おそらく「International Finance Corporation:国際金融公社」のことなのでしょう)の職員と称する送信者の「Harry Cole」氏によると、同機関がある故人の財産を調査していたところ取引休止状態の預金口座が見つかり、私が「所有者不在となったその預金を全額受け取れる可能性がある」のだそうです。

興味深く思うかもしれませんが、笑い話では済まされません。これは、詐欺師がある金融機関の職員を名乗り、その機関の口座を所有していた人物が遺書も残さぬまま突然亡くなり、既知の相続人もいないとしてターゲットに接触を図るシンプルな419詐欺の1種です。私がその申し出を断れば、その預金は汚職事件に関わる役人のような受け取るに値しない人物の手に渡るか、同機関の金庫で眠ることになるのでしょう。(それならば受け取ってもいいかな、と考える人もいるかもしれません。しかしこうした判断が、後々詐欺だと気付いたときに「一時は自分も誘い文句に乗ってしまったわけだし」といった負い目で、報告を踏み止まらせてしまうこともあるのです)。メールの受信者が何の疑いもなく信じ込んでしまうような純真な心の持ち主であれば、いずれお金を受け取るためとしてさまざまな支払いを要求される(すなわち「先払い」です)ことでしょう。もちろん、後で入金されるなんてことはありません。

このメールを読んでいてどこか間の抜けた印象を受けたのは、「貴殿のお名前と電子メールが故人のそれと似ているため、貴殿に有利な形でこの故人の口座を整理させていただきます」という本来ならばターゲットを食いつかせるはずの文章に原因があります。この送信者たちは、私のミドルネームが本当に「AskESET」であると思ったのでしょうか。

それにしても、ESETが新たに立ち上げたブログおよびリソースサイトは、一般ユーザーのみならず、サイバー犯罪者の関心まで集めてしまっているようです。問い合わせ用のメールアドレス(askeset@eset.com)には大量の詐欺メールや迷惑メールが送られてきます。私が最近執筆したブログ記事「Job Scams: Nice Work If You Can Get It」でもそのうちの1通を取り上げました。以下にその記事を一部抜粋します。

「ESETの新しい形式のブログは、ユーザーの皆さんからの大きな注目を浴びているようです。おかげさまで仕事の依頼も次々と舞い込んでいます。ただし、どれもこれもセキュリティブロガーや本サイトを運営するチームのようなWeb開発者を対象としているとは思えないオファーばかりですが。

職場はカナダのとあるホテルで仕事内容については一切の記述なし。これでは、どうして私たちに依頼してきたのか疑問でなりません。おそらく送信者たちは、自分たちのメールの文章を推敲してくれる人材を必要としているのでしょう(綴りや文法上の誤りが散見されます)。一部の表現は、西アフリカで横行する419詐欺との強い関連性を匂わせます。そもそも、そのような遠方に出向いてまで編集の業務に携わりたいほど、私たちも仕事に困っているわけではありません。しかし、ESETアイルランドの同僚が最近指摘したように、世界経済の危機に伴い、失業者を騙して自身が抱える雇用問題や財政問題を解決しようとする輩は膨大な数に膨れ上がっています。求人情報は、失業者をおびき寄せる打ってつけのネタなのでしょう。

ウイルス感染が企業にもたらす影響とは?
David Harley、CITP FBCS CISSP、ESETシニアリサーチフェロー

私は最近、企業におけるウイルスの影響について執筆依頼を受けました。何の気なしに書き進めたところ、気が付けばおそらく掲載スペースに収まりきらないほどの文章量となってしまったのですが、読者の皆さんにとって興味深いあるいは役に立つ内容に仕上がったのではないかと自負しています (基本的に楽天家ですから)。この記事は、ジャーナリストから寄せられた多くの執筆リクエストを基に、いくつかの具体的な質問に対し解説をしていく形式で構成されています。

>主なウイルスの脅威は何ですか。

厳密に言うと、ウイルスは技術的な観点から自己複製型のマルウェアと定義されます。小規模なものが多い反面、中には深刻な影響を及ぼす種もあります。その代表例はStuxnetとその亜種です。感染件数自体は比較的少ないのですが、それにそぐわない甚大な被害をもたらしました。しかし今日では、ウイルスとマルウェア(悪意のあるソフトウェア)を正確に使い分けられているのはセキュリティ業界の人間ぐらいなもので、一歩外に踏み出すと同義語として扱われているケースをよく目にします。実際のところ、最近のマルウェアのほとんどは自己複製型ではなく、スパムメールの大量送信キャンペーンなどの別の手段を介して拡散しています。
今日確認される主要なマルウェアとその関連攻撃には次のようなものがあります。

  • Zeusとその亜種からCarberpに至る、金融機関を狙うトロイの木馬
  • ランサムウェア(ユーザーのデータを暗号化またはPCへのアクセスを遮断し、正常な状態に戻すためとして金銭を要求するマルウェア)
  • フィッシング(何らかの形でトロイの木馬を使用している可能性がある)
  • ボット(攻撃者は、スパムメール配信、フィッシング、マルウェア拡散、ゆすり目的が多いDDoS攻撃(分散サービス妨害攻撃)、キャプチャクラッキングなど、さまざまな犯罪活動を行うために大規模なマシンのグループ(ボットネット)を制御することが可能)
  • 標的型攻撃(以下参照)

本レポートの後半に掲載している今月のマルウェアランキングトップ10では、世界中で拡散している主要な脅威について解説しています。ただし、ESETによる検出の一部は極めて包括的です。これはすなわち、アドバンスドヒューリスティックの使用により、1回の検出に共通の特性を備えるマルウェアの種も含まれる可能性があるという意味で、必ずしも同じファミリーに属していたり、作者が同一人物であったりするわけではありません。例として、以下をご覧ください。

  • INF/Autorunには、Windowsの自動実行メカニズムを悪用してシステムに感染しようとする個々の悪意のあるコードがすべて含まれます。Windowsの最新版に加えられた修正により、この感染経路の有効性は大幅に低下していますが、その割合を見れば、このメカニズムを利用するコードを含むマルウェアがいまだに数多く存在していることがわかります。
  • Kryptikは、単一のトロイの木馬ファミリーではなく、特定のコーディング技術を共有する幅広いマルコードを指します。
  • ScrInjectは、ブラウザーを悪意のあるURLにリダイレクトするマルウェアを指す総称です。
  • Dorkbotは、2011年以降南米で異常なほどに拡散しており、トップ10に名を連ねているボットです。

なお、各割合はESETのテレメトリがフラグを立てたマルウェアのインスタンスのみに関連付けられている点に注意してください。ESETのソフトウェアで保護されているマシンには、感染しようとする攻撃が検出された場合にESETラボに報告できるオプションが用意されています。こうした報告は、私たちが拡散状況を分析するうえで役立つ同時に、(おそらくもっと重要な意味を持つ)検出技術の改善にもつながりますが、世界中の感染マシンの絶対数には特に影響はありません。誤解を招く可能性があるため、絶対数については公表を控えています。

一方で、中にはその重要性の高さに相反してトップ10にまったく手の届かないマルウェアもあります。この種の顕在化しない標的型脅威はセキュリティ業界でしばしばAPT攻撃と呼ばれ、拡散範囲が非常に限られているため、長期間検出を免れ続けている可能性があります。こうしたマルウェアの興味深い例には、感染が突如加速したことでようやくその存在が発覚したStuxnetがあります。ESETは当初、ヒューリスティック技術で検出していましたが、感染件数の急増を受け、Stuxnetに特化した検出方法を開発しました。ただし、「急増」という表現は他の脅威と比べてという意味です。トップ10で確認できる割合に基づく各脅威の感染件数はたいていの場合、Stuxnetがこれまでに被害を及ぼした件数よりもはるかに多いのです。

  • 脅威はどのようにユーザーを欺き、ユーザーはどのように対処することができますか。

ほとんどのマルウェアは、ソーシャルエンジニアリングに部分的または完全に依存しています。電子メールやソーシャルメディアなどを介したスパムメールの大量送信キャンペーンでは、悪意のあるコードが仕掛けられたサイトにターゲットをおびき寄せようとします。中には、何らかのハッキング被害に遭っている正規サイトもあります。悪意のあるコードは、自動実行型(ドライブバイダウンロード)であるか、魅力的で便利なガジェットなどを装った不正なバイナリーファイルの形式である可能性があります。標的型の脅威は、特定タイプのドキュメント(最近は大半がPDF)に存在する脆弱性を悪用するケースが多く、メールやインスタントメッセージの添付ファイルとして配信されることもあります。電子メールフィルタや類似の防御技術では、パッチ未公開の何らかの脆弱性が狙われる場合は特に、プログラムではなく添付ファイルとしてドキュメントを通過させてしまう可能性が高くなります。しかし、ターゲットが最終的に添付ファイルを開くかどうかはいまだ、そのように仕向けることができるか否かに委ねられています。犯罪組織は、Ammyyのような正規のプログラムやサービスを使用して感染マシンに侵入するためのバックドアを設置したり、明らかに悪意のあるコードが末端に仕掛けられている、ソフトウェアコンポーネントとWebリダイレクションのチェーンを構成したりするなど、さまざまな手法を用いてマルウェアの検出を困難にします。そのため、不正なコードが既知の場合でも、チェーン内の全ステップをカバーできない限り、アンチウイルススキャナーでも検出されない可能性があります。

アンチウイルス研究者からのアドバイスとしては違和感を覚えるかもしれませんが、アンチウイルスソフトウェアへの依存は禁物です。十分な保護対策を講じている企業が採用するような多層防御技術であれば、アンチウイルスソフトウェアでは対応できない多くのセキュリティギャップを解消できるでしょう。たとえマルウェアをマルウェアとして認識しなくても、感染への足がかりを得るために使用される経路をいくらかブロックします。一部のISPやメールプロバイダもまた、大規模企業で導入されているツール(ファイアウォールや侵入検知/防止など)を使用していますが、ホームユーザーも同様に、適切なセキュリティスイートを使用することで自身のデスクトップ環境を同等の技術で保護できます。無料のアンチウイルスプログラムの利用はゼロよりかははるかに安全と言えますが、有料版並みの保護機能やサポートは期待できません。社内に私物端末を持ち込んだり、自宅のPCや端末を使用して仕事を行うユーザーが膨大な数に上る今日、組織が自社のセキュリティ全般について検討する際は、こうした個人所有の端末の保護も含めて検討することが重要です。

  • 感染してから修復するよりも事前に防止する方が適切とはいえ、最悪の事態が発生した場合はどうすれば良いですか。

とりわけ企業環境では、マルウェアを除去するよりもシステムを再構築した方が手っ取り早いケースもあります。しかし、一部のセキュリティ専門家が示すほど、頻繁にそのような事態に追い込まれることはおそらくないでしょう。というのも、こうした状況下では、良好なサポート契約によって(インストールやメンテナンスのサポートといった面での価値とは別に)十分なカバーが見込めるためです。一部の大規模企業(すぐに思いつくところではLockheed MartinやBoeingなど)は、「多くの場合、新種の脅威に真っ先に遭遇するのは自分たちのような企業である」という事実を考慮して、マルウェアに対処するための十分なトレーニングを積み、極めて専門的な知識を有するプロフェッショナルの確保に投資を惜しみません。たとえ小規模な企業でも社内に専門スタッフを抱えているケースもあります。一応、私自身もその1人で、かつてユーザー数が2,000人に満たない医療研究機関向けのウイルス対策の管理に携わっていました。一方で、極めて大規模でありながら、マルウェアやセキュリティに関する専門スタッフが常駐しておらず、深刻な局所的感染が発生した場合に対処できる知識を備えたシステム管理者がいない企業も存在します。そのため、セキュリティ製品の導入費用のみならず、そのサポート体制も合わせて評価することは適切と言えるでしょう。または、セキュリティサポートの外注や、社内のITスタッフ向けのトレーニング費用を組み込んだ予算編成を検討することをおすすめします。

  • ウイルス感染は企業の世評にどのような影響を及ぼしますか。

専門家としての立場上、個人的に関わりのある特定企業の侵害管理について語るのは不適切でしょうし、かといって他のインシデントを議論するとなると憶測が先行してしまいがちです。それでも、最も不名誉なウイルス感染インシデントは、と聞かれたら、あるマルウェアの存在が幅広く認識されており、かつ「十分な保護対策を講じていれば、そのマルウェアによる攻撃を事前に認識、阻止できるはずだ」と誰もが思うような状況において、感染が確認された場合、と答えるでしょう。しかし、対策が不十分な組織では、侵害の原因を正確に究明できない(あるいはその意志がない)ケースがあります。多くの国では、侵害によって顧客データが危険にさらされる場合、企業は顧客に通知することが法律で義務付けられていますが、侵害に関する詳細情報をすべて提供する必要はありません。例えば、ある企業が「APT攻撃を受けた」と発表した場合、その発言の裏には「どうしてかわからないが私たちはトラブルに巻き込まれたようだ。しかし、その原因が私たちにあったとは思われるのは何としても避けたい」という本音が見え隠れするケースも少なくありません。標的型攻撃の発生頻度が増加し、さまざまな組織に被害をもたらしている昨今、侵害に遭った際の対応でその後の評価は変わります。「私たちのセキュリティ対策には問題がありました。○○が発生し、再発防止のため××という取り組みを進めています」などとしっかりとした説明ができれば、評価の低下をある程度抑えられるのではないかと思います。とはいえ、内部事情を過度に詳しく述べるべきではありません。事実、自社の情報を提供し過ぎるのはセキュリティの観点ではかえって逆効果です。それでも、顧客との関係修復にばかり目を向けるのではなく、自社がセキュリティ管理についても誠実に対応していることを示す必要はあるでしょう。

マルウェアランキングトップ10
1.INF/Autorun[全体の約3.59%]
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
2. Win32/Sality[全体の約2.19%]
前回の順位:3位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
3.HTML/ScrInject.B[全体の約2.10%]
前回の順位:4位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
4.Win32/Dorkbot[全体の約2.09%]
前回の順位:5位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。
5.Win32/Ramnit[全体の約1.79%]
前回の順位:6位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
6.Win32/Conficker[全体の約1.42%]
前回の順位:7位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
7.HTML/Iframe.B[全体の約1.29%]
前回の順位:2位
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
8.HTML/Fraud[全体の約1.06%]
前回の順位:45位
このトロイの木馬は、電話番号やメールアドレスなどの個人情報を盗み出してリモートのコンピューターに送信しようとします。ユーザーに個人情報を入力させるため、簡単なアンケートへの参加を要求するダイアログウィンドウを表示します。複数のURLを保持しており、通信にはHTTPプロトコルが使用されます。
9.Win32/Qhost[全体の約0.98%]
前回の順位:8位
この脅威は、自分自身をWindowsの%system32%フォルダーにコピーしたあと動作を開始します。さらに、DNS経由で指令(C&C)サーバーと通信します。電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。
10.JS/TrojanDownloader.Iframe.NKE[全体の約0.94%]
前回の順位:9位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年3月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.59%を占めています。

2013年3月の結果グラフ
ESET社について

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!