- MI5を名乗る詐欺メールが出現
- VIRUS BULLETINで発表予定のESETの論文
- 4~5月に世界各地で開催されるセキュリティイベント
- マルウェアランキングトップ10
- マルウェアランキングトップ10(グラフ)
- ESET社について
- ESETが提供するその他の情報源
先日投稿したブログ「SpookSpeak: cryptic, but not cryptographic」で取り上げましたが、MI5のWebサイト(馴染みのない方のために一応補足しますと、MI5とは英国情報機関、保安局の別称です)に最近、なかなか興味深いアラートが掲載されました。
その内容は、保安局の職員と称する人物(Jonathan Evans長官を名乗るケースも)が、電子メールまたは電話で一般人に接触を図ろうとするが、これは同局や長官とは一切関係のない明白な金融詐欺である、というものです。
残念ながら、現時点で明らかになっているのはこれだけで、続報は入ってきていませんが、秘密主義のMI5にさらなる情報公開は期待できないでしょう。それでも、アラートで言及されているタイプの詐欺について詳細を把握しておくと、有益かもしれません。とはいえ、この種の詐欺は419詐欺、または何らかのランサムウェアともいえる可能性を残しており、認識して対処する方法も多岐にわたります。今のところ、実際のケースは確認できていません。
このアラートについてはJohn Leyden氏も、後にThe Registerで取り上げました(「MI5 undercover spies: People are falsely claiming to be us」)。記事では私のブログにも触れており、「先払い詐欺(別名419詐欺)でよくある、差し押さえられた資産を持ち出すための協力要請」というよりも、Revetonに似たランサムウェアではないか、と指摘しています(ところでこの記事は副題もいい味出してます。ぜひ読んでみてください)。Leyden氏の見解はごもっともですが、一方で私の頭に思い浮かんだのは「死去した某独裁者の遺産3,000万ユーロをあなたの郵便局口座に移したい」と持ちかけるのではなく、殺害予告をチラつかせて金銭を支払わせようとするタイプの419詐欺でした。
実際、私が419詐欺であると考えるに至ったのは局長の名前が使われたことが理由です。ランサムウェアの場合は一般に、個人名よりも組織名を持ち出して脅迫します。
暗殺関連の419詐欺は目にすることも多くなり、ブログ記事「A Deadly 419」でも思わず吹き出してしまいそうなメールを紹介しています。この種のメッセージについては、本気で金銭を奪おうとしているのではなく、使えそうな素材を寄せ集めて作成しただけ、という印象が拭えませんが、長きにわたり出回っている419詐欺のサブカテゴリーをベースとしています。以下は、2007年以降、増加しているパターンの一部です。
「拝啓
このメッセージは特に慎重に目を通し、追って連絡するまで絶対に外部に漏らしてはならない。実際に会う機会が訪れるまでは、私がどこの誰であるかをあなたが知る必要もない。私はある人物から5万ドルの報酬で仕事の依頼を受けている。依頼内容は、とある理由によりあなたの人生に終止符を打ってほしい、というものだ。その人物はおそらくあなたにとって親友と呼べる存在だろう。さて、私はここ一週間と三日ばかり、あなたの行動を詳細に監視してきたが、どうも死に値しない人物であると判明した。あなたの動きは常に見張っているので、くれぐれも警察やFBIに通報したり、このメールのコピーを送信しようとは考えないことだ。そんなことをすれば、報酬と引き換えに受けた任務を遂行しなければならなくなるだろう。私がターゲットに秘密裏にコンタクトを取ったのは今回が初めてだ」。
もちろん、“MI5”が金銭を搾取しようとする場合、この暗殺のシナリオとはまったく異なる性質を帯びることになるかもしれません。本部のあるテムズハウスの方々が永続的なルールを改め、もう少し情報を公開することを決定しない限りは何ともいえませんが。
以前にも繰り返し警告したと思いますが、こうしたメッセージは皆さんの元にも届く可能性はありますので用心してください。
今年もまた、ESETの研究者は権威あるVirus Bulletinカンファレンスに出席する予定です。AMTSO(Anti-Malware Testing Standards Organization)の代表も務めるRighard Zwienenbergは、「The Realtime Threat List」と題した論文を発表します。以下はその概要です。
「ユーザーが遭遇する「In-the- Wild(実際に感染報告のある)」マルウェアの追跡は、長い歴史があり、アンチウイルス業界内における連携が適切に機能していることを示しています。業界では10年以上にわたり、Joe Wells氏が策定し、現在はICSALabsが運用しているWildListが標準とされてきました。このアクティブな脅威のリストは長年、テスト機関、ユーザー、開発者に重宝されていますが、問題がないわけではありません。特にオンライン上の脅威の性質は変化し続け、WildListでは「リアルタイム」の脅威を追跡できないので、効果的な「In-the- Wild」テストには不向きとされているのです」。
「このプレゼンテーションでは、WildListの欠点を指摘するとともに、ESETのソリューション「リアルタイム脅威リスト(RTTL)」を紹介します。AMTSOによってホスト、支援されるこのリストは、Aviraのサンプル共有システムをベースとしており、実運用環境で検出された脅威をリアルタイムに確認できるよう設計されています。リストでは、クエリのカスタマイズが可能で、テスト機関は特定の地域の特定の脅威に関する情報だけでなく、他のさまざまな興味深いテストシナリオに関する情報も得られます」。
「RTTLは、すべてのAMTSOのメンバーがシステムにサンプルを提供することができるような設計になっています。さらに、Aviraの現行システムにすでに参加している多くのベンダーの作業負荷を軽減させます。したがって、このソリューションは、実際に出回っている脅威を追跡してカタログ化するための、より将来を見据えた手法となると確信しています」。
「講演の間には、システムのプロトタイプ版を紹介し、さらにこのシステムが今後どのような進化を遂げるか、そしてRTTLが実現する今までにないテストシナリオについても説明します」。
一方、David HarleyとIntegoのLysa Myersは、「Mac hacking: the way to better testing?」と題した論文を発表します。以下は概要です。
「Windowsプラットフォーム上でのアンチマルウェアテストについては、いまだ激しい議論が交わされています。数百ものマルウェアサンプルを使用して定期的かつ頻繁にテストを実施するようになってから約20年が経ちますが、なかなか終息の見通しがつきません。一方、Macは脅威の数が少なく、テスト手法のベースとなる過去のテストも限られるため、主軸となる健全なテスト手法の確立がはるかに困難です。しかし、今やMacの普及率とMacを狙うマルウェアの検出数はともに増加しており、OS Xの内部セキュリティを補完するように意図されたソフトウェアのテストの重要性も増しています」。
「では、どのような機能やシナリオが、Macのテストをそれほどまでに厄介にしているのでしょうか。私たちは、内蔵された既知のマルウェア検出機能により、OS Xのセキュリティを内側から強化しようとするAppleの懸命な取り組みが、実際にはWindowsのテストでかつて採用されていた静的テストというスタイルにテスト機関を引き戻している流れを見ていきます。そして、どのような手法がMacのテストをより容易にするのでしょうか。テスト機関がテストを現実的なシナリオにより近づけるには、どうすれば良いでしょうか。合理的に実施されるべきもので、公平性や精度を高くする反面、現実離れしたテストに向かわせる要素が存在するのでしょうか。本論文では、MacとOS Xに固有のテストシナリオを検討するとともに、関連性と公平性の両者を満たすテストの作成方法における可能性を示します」。
これはDavidにとって14件目のVirus Bulletin用の論文で、過去の論文(ESETに加わる前に執筆したものを含む)と一緒にThe Geek Peninsulaブログからご覧いただけます。
ESETは4月、世界各地で開催される次のようなイベントに出席します。
- 4月6日、Security Session、ブルノ工科大学(チェコ共和国)。
- 4月8日、HITB EU、アムステルダム(オランダ)。
- 4月11日、Infiltrate、マイアミ(米国)。
- 4月23日、Mobile Rulezz、ブラティスラバ(スロバキア)。
- 4月23日、Infotrendy 2013、ブラティスラバ(スロバキア)。
- 4月23日、Infosec UK、ロンドン(英国)。
- 4月24日、APWG Counter-eCrime Operations Summit、ブエノスアイレス(アルゼンチン)。
- 4月25日、SYSCAN’13、シンガポール。
- 4月27日、Android Roadshow 2013、コシツェ(スロバキア)。
続いても5月も、ESETの代表者がAMTSOをはじめとする各種イベントに出席します。ちなみにAMTSOは5月14日~15日にスロバキアのブラティスラバで開催され、ESETはリアルタイム脅威リストを紹介し、デモンストレーションを行います。
5月16日~17日には同じくブラティスラバにてCAROにも参加します。こちらは、ESETが組織しており、標的型攻撃やAVセキュリティ、APTの「いつ」、「どこで」、「何が」について解説します。
これらの活動に加えて、米国のラスベガスで5月6日~10日にかけて開催される主要なビジネステクノロジーイベントであるInterop Conferenceにも出席します。
締めくくりとなるのは5月24日のPhDaysです。International information protection CTFコンテストも実施されるこのイベントでは、Robert Lipovskyがハッキング活動に関するトピックをいくつか取り上げます。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年4月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.98%を占めています。
プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るNOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは25年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2012年9月に75回目となるVirus Bulletin誌の「VB100アワード」を獲得したESETのNOD32アンチウイルスは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。またVirus Bulletin以外にも、AV-ComparativesやAV-TESTなどの独立系テスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Endpoint Solution、ESET Mobile Security、ESET Cyber Security(Mac用ソリューション)は、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。
ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてサンパウロ(ブラジル)とプラハ(チェコ共和国)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
この情報は、ThreatSense.net(※)の情報を元に作成しています。
- ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。