2013年6月 世界のマルウェアランキング

この記事をシェア
2013年6月の月間マルウェアランキング結果発表
目次
ますます多様化するマルウェア
David Harley、ESETシニアリサーチフェロー

英国のジャーナリスト、Kevin Townsend氏とはインターネットが普及する以前から電話で話す間柄ですが、先日もSkypeで有意義な会話を交わしました。私たちは、近年のマルウェアの進化についての意見を交換しました。この記事では、当時の会話を基に、新しい考えを少し交えながら進化の過程について解説していきます。

マルウェアが大きく進化したのは数年前、21世紀に突入した頃であったと私は推測します。ただ、その前からもマルウェアを利用しようとする動きはありました。1980年代と1990年代は自身の超絶したコーディングで仲間を一泡吹かせようとする愛好家がほとんどで、脅迫するケース(Dr Poppという人物がAIDSに関する情報と称して配布したトロイの木馬など)や、臆面のない破壊的なコード(Dark Avengerの一部など)はときおり確認される程度でした。ところが2000年代に入ると、さまざまな規模やタイプの金銭目的の犯罪が台頭し、明確な転換期を迎えます。中でも、スパマーの間で多用されるようになった大量メール送信機能や、洗練性が増し、規模が拡大したボットがその火付け役となりました。

より高度なプログラミングという野心は影を潜め、焦点は任務さえこなせれば十分とするレベルのコードへとシフトしました。洗練性よりも、収益性の高い機能を実装するうえでの有効性が重要視されるようになったのです。もしこうした転換期を迎えていなかったとしたら、Gapzのような極めて高度で複雑なマルウェアがもっと巷で騒がれていたでしょう。しかし、実際にはSpyEyeやCitadelのような極めて順応性の高いボットや、バックドア型トロイの木馬であるPoison Ivyのような使い勝手の良いマルウェアが目立っています。

この世界にはいまだ一般市民から金銭を巻き上げようとする不届き者が至る所に潜んでいます。一般的なフィッシング攻撃、ユーザーをプレミアムサービスへと誘導するモバイル攻撃、一度に数百ドルを奪おうとするサポート詐欺、スキミング(驚くほど洗練されたハードウェアが使用される場合もあるが概念自体はいたってシンプル)など、基本的なものはもとより、試験に裏打ちされた攻撃が用いられます。技術的かつプログラムに基づく攻撃を一切必要としない、ソーシャルエンジニアリング攻撃が使用される場合もあります。そのため、APT(標的型攻撃)が「唯一」の懸念すべき攻撃であるという印象を与える一部のセキュリティ企業は、脅威の実態をねじ曲げていることになります。しかし、こうした企業の傾向はビジネスの観点から見ると理にかなっています。

  • 日々確認される不正なバイナリーファイルは膨大な数に及びます。そのすべてに対処しようとしたら(少なくともブラックリスト化と削除を行うには)、マルウェア研究施設並みの分析用リソースと経験が必要になるでしょう (欠点はあるかもしれませんが、駆除機能はマルウェア検出において従来のブラックリスト方式が有効であると示す最大の証拠材料です)。毎日発生するマルウェアを軽視する傾向がある企業は、すべてに対処するためのリソースを確保できていないため、従来のマルウェア対策では適切に対応できないことが多い分野に注力するのは極めて合理的です。しかし、古典的なマルウェア対策に経済的なメリットがまったくなかったとしたら、今頃誰もマルウェアを追跡したりせず別の作業に精を出していたはずでしょうし、より高度なターゲティングに対する必要性もほとんどなくなるため、世に出回るマルウェアは取るに足らないものばかりであったことでしょう。
  • APT(間違えて覚えている人もいるようです)を重要視する企業と金銭目的の犯罪者はともに、収益の最大化につながる大企業をターゲットにする傾向があります。自社製品を採用してもらおうと大企業にアピールする取り組みは悪いことではありません(そもそも、大金や、ビジネスや軍事上の機密情報を狙う標的型攻撃は非常に現実的な問題です)。しかし、特定のターゲットの攻撃用に作成された未知のマルウェアを検出できない従来のアンチウイルス製品を軽んじる一部の企業は、APT偏重に拍車をかけているのです。

明白に進化している点を見てみると、洗練性ではなく、効率性の向上が挙げられます。一部のインドのサポートセンターは、いまだ偽のサポート電話でターゲットを騙そうと時間と労力を浪費していますが、一方でこの種の詐欺と本物のマルウェアとの協力体制も敷かれ始めています。ESETは4月に、画面をロックしてユーザーをコールセンターに連絡するよう促す、ランサムウェア型と偽のアンチマルウェアソフトウェアを組み合わせた不快な攻撃例を発見し、5月には私がその他のサポート詐欺関連の手法についてまとめました。画面のロックとサポート詐欺の混合型は今のところ主流ではなく、しかも初歩的な技術レベルですが、従来型の詐欺の要素が部分的に利用されているところを見ると、Windowsの内部構造に対し犯罪者がどの程度の知識を持ち合わせているかがわかります。おそらく今後も生成されていくのは基本的なマルウェアが中心になると考えられます。

偽のセキュリティソフトウェアが、ランサムウェアにポジションを奪われている傾向は明確であるように思えます。ランサムウェアが支持される理由は、ターゲットから見込める金額にあります。 ハードディスクに再びアクセスできるようにするために支払う金額と、スケアウェアのポップアップメッセージを信じ込み、システム内に“潜んでいる”とされる“ウイルス”を削除するために支払う金額。ユーザーがどちらにより多く支払うかといったら、おそらく前者です。スケアウェア攻撃については、ユーザーに継続的に対処法を教育していくことで、手っ取り早く成果を上げようとする犯罪者の目論みを阻止できるはずです。

一般的なフィッシング攻撃は、いまだ大量に出回っています。実際、現在の攻撃の一部はこの10年ほとんど変化しておらず、驚くほど単純な性質であるようです。一方でロシアや周辺の国々では、顧客ではなく銀行を直接狙った、より高度なレベルの攻撃の増加が確認されています。かの有名な銀行強盗であったウィリー・サットンの言葉を借りるのなら、「そこにお金があるからだ」ということなのでしょう。ひとたび銀行を襲えば大金をせしめることができるのに、なぜわざわざ個々のターゲットからはした金を奪おうとするのでしょうか。

こうした輩が用いる手口を、私は以前「モザイク攻撃」と呼んでいました。多くのターゲットから少額を奪い、最終的に大金を手にするというパターンが見て取れるからです。ターゲット1人から狙うのは200~300ドル程度。何百万ドルという莫大な金額ならまだしも、リソースに制限のある機関であればなかなか目が行き届かない金額に抑えるのがポイントです。このような手口はサラミ法とも呼ばれ、金融詐欺の手法としては上位に位置します。誰しも1回の取引で大金を手にしたいと考えるところ、あえて取引額を4桁以下という少額に抑えれば、マネーロンダリングとして検出されるリスクを回避できるのです。90年代後半に南米の某銀行がナイジェリア詐欺の被害に遭った際、その損失額は公表されませんでした。主なターゲットからの入金額がいずれも上層部の承認を必要とする取引額を下回っていたためです。これはおそらく、近年の経済危機の根本的原因についても通じる部分があるのではないでしょうか。

その他の大きな変化は、政治的な目的へのシフトであると私は考えます。Macのセキュリティを脅かす存在は極めて標的型のマルウェアへと変わり、そのターゲットもNGOや特定の政治組織、民族集団に絞られつつあります。 銀行などの金融機関を狙っていたマルウェアのCitadelも、世界のさまざまな地域で政治的な攻撃の道具として使用されるよう様変わりしています。Zeusの亜種であるCitadelは、ますます多くの市場に手を伸ばしていくことでしょう。ただし、APTに類似した攻撃は、南米やヨーロッパ、アジア太平洋地域が主戦場になっています。攻撃対象は、資金が豊富な機関だけではなく、NGOや技術系企業、学界、政府組織、医療、製造業、金融機関、公共施設など多岐にわたります。

医療データのセキュリティ対応状況

アンチウイルス研究者には、バッドアクターによる妨害を克服して情報技術の恩恵を最大限に受けられるようにするという共通の決意があります。もちろんアクターといっても、B級映画で見かけるような大根役者について語り合おうというわけではありません。ここでは、悪意のあるコードを使用してユーザーのコンピューターに感染するなど、自身の利己的な目的を達成するために不道徳で不法な行為に手を染める手合いを指します。

技術が悪用されれば、その技術が本来もたらすことのできる恩恵が損なわれるのは明らかです。では一切の悪用を回避できるようになるまでは、こうした技術の導入を見送るべきなのでしょうか。これは、多くの分野の組織が直面している重大な問題です。とりわけ、低コストでより良いケアを提供することを目的にデジタルシステムの導入が急速に進んでいる医療分野では深刻で、中でも、相互の距離が問題となる医師、患者、あるいは医療供給体制におけるその他の要素を通信技術を用いて結び、診療を行う遠隔医療という領域はセキュリティ対策が明らかに不十分とされています。

遠隔医療自体は新しい医療行為ではありませんが、昨今はかつてないほど急激な成長を遂げています。健康面とコスト削減の両面のメリットを期待される遠隔医療は、これまでにない強い成長圧力にさらされています。その結果、全世界の遠隔医療市場は、今後数年間で1年あたり20%程度成長するとみられ、順調にいけば2016年までに市場規模は270億ドルを超えると予想されてます(北米市場は約70億ドルに上り、市場の4分の1超を占めるとみられます)。こうした急速な技術展開は業界内の規制の変化が一因を担っているわけですが、情報セキュリティの専門家には警鐘のように聞こえてしまうこともしばしばです。その理由について、次の3つの要因を考えてみましょう。

  1. 医療セキュリティを巡る厳しい状況
    医療関連のセキュリティインシデントといえば、「800万人の健康記録が流出」といった衝撃的な見出しもあれば、「元家族の医療データを不正入手した元病院職員に罰金刑」などと非常にありきたりなケースもあります。実際のところ、多くの国の医療機関は患者のプライバシー保護に苦労しています。PwC、CIO Magazine、CSO Magazineが最近実施した世界規模の調査、「The Global State of Information Security Survey 2013」の統計情報には次のような記述があります。「調査対象の医療プロバイダーのうち、2012年に50件以上のセキュリティインシデントに遭遇したプロバイダーの数は、前年比で50%、2010年からは200%増となっている」。

    各報道の見出しや統計情報の背後にある物語には、多くの要因が絡んでおり、複雑な様相を呈しています。医療データのセキュリティ侵害は、大多数が怠慢に由来するコンピューターの紛失や盗難など、職員の過失が原因です。さらに、基本的なサイバー犯罪対策を講じていない医療機関は膨大な数に上ります。例えばPwCによると、医療プロバイダーの25%超が、悪意のあるコードを検出するツールを適切に導入していません。さらには、せっかくアンチウイルスソフトウェアを導入していても、使用していないプロバイダーが少なからず存在します。2012年後半に発表されたPonemon Instituteによる調査「Third Annual Benchmark Study on Patient Privacy & Data Security」からも、調査対象の80の米国の医療機関のうち、ノートPCやその他のモバイルデバイスへのアンチウイルスソフトウェアの導入を義務付けていた機関が25%にも満たなかったことが判明しています。加えて、組織内ネットワークへの接続前または接続後のいずれかのタイミングで、こうしたデバイスがスキャンされると回答したのは半数未満(40%)でした。

    残念ながら、患者データのプライバシーおよびセキュリティ保護を目的としたルールや罰金を明確に定めても、大した効果が期待できないことは米国で実証済みです。米国保健福祉省による報告を基に、不十分な保護体制下で侵害された健康情報の件数を調べてみると、2009年後半から3年半以上にわたり、平均して1万7000件以上の記録が毎日流出していることがわかります。米紙ワシントンポストが昨年掲載した記事の見出し、「ハッカーに対して丸腰の医療部門」は決して的外れではないのです。同記事では、ジョンズホプキンス大学の情報セキュリティ研究所のテクニカルディレクター、Avi Rubin氏によるかなり辛辣なコメントも掲載しています。次のとおりです。

    「ここまで大きなセキュリティホールが存在する業界は見たことがない。金融業界のセキュリティレベルが医療部門と同程度であったとしたら、私は慌ててベッドのマットレスの下にお金を隠していただろう」。

    Ponemonの調査からも、医療機関の苦労が伺えます。

    「医療機関は、保護された健康情報(PHI)または患者情報の紛失や盗難を阻止、抑制するための取り組みにおいて苦戦を強いられているようだ。(中略)十分な資金、ソリューション、専門知識を適度に持ち合わせていない場合、どんな未来が待っているかは明らかである。2010年に初めてこの調査を実施して以来、データ侵害を報告する医療機関の割合は右肩上がりが続き、減少する様子は見られない」。

    Ponemonの調査によると、過去2年間に1件以上のデータ侵害に遭遇した医療機関の割合は98%と驚異的な数値となりました。インシデントに対象を広げると、2年間の平均件数は4件を上回ります。

  2. 遠隔医療におけるセキュリティ軽視の歴史
    デジタル技術を活用した遠隔医療の提供は、医療ITにおいて、セキュリティ上の問題が深刻な悪影響を及ぼす可能性がある分野です。残念なことに、Vaibhav Garg氏とJeffrey Brewer氏が2011年に公開した遠隔医療関連文献の系統的レビューにより、何らかの悪意のある要素による攻撃を回避するにあたり、同分野が本来求められる形でセキュリティに向き合っていなかった実態がかなり明確になっています。

    「調査下にあるすべての慢性疾患にわたり、遠隔医療のセキュリティにおける標準化が不足している。また、遠隔医療の研究者の多くは、概してセキュリティという分野に不慣れであるように思える」。

    遠隔医療の従事者による患者データ保護をサポートする製品やサービスが現在開発されていますが、実際に採用に至るかは不透明です。最近開催された医療ITのカンファレンスで、医師や病院向けに安全な医療レポートの配信システムを販売している企業担当者と話をする機会があったので、たいていの医師はどのようにして医療レポートを提供しているのか、と質問してみました。すると、60%が「最も遅く、最も高価で、そのうえ最も安全性の低い」ファクスを使用しているとの回答が返ってきたのです。

    遠隔医療において重要なカギを握るのは医療機器であると思われますが、米国食品医薬品局は今月、「患者モニターや撮像装置などの機器に影響を及ぼす、セキュリティインシデントが最近上昇している」状況を引き合いに出し、ハッカーやマルウェアに対抗するため製品の強化を医療機器メーカーに要求しました(これは、ここしばらくESETが着目しているトピックです。David Harleyによる医療機器のセキュリティに関するブログもご覧ください)。

    遠隔医療におけるITセキュリティを軽視する傾向は、医療分野に広がる同様の怠惰を反映しています。例えば、PwCのグローバルレポートでは、「ITプロジェクトを実施する際は、事前にITセキュリティに対処しておく」と回答した医療プロバイダーがわずか39%であったとする過去の調査結果を引用しています。さらに、従業員や顧客の個人情報の正確な記録を保持していると回答したプロバイダーはわずか43%でした。

  3. マルウェア産業の台頭
    先に挙げた2つの要因は遠隔医療に関する嘆かわしいニュースに違いありませんが、3つ目の要因である洗練されたマルウェア産業の台頭はおそらく最も恐ろしいトピックといえるでしょう。それは、医療ITの重要性を認識している人が世界中でまだまだ少ないためです。確かに、倫理やネットサーフィンをする際の基本的な知識の欠如こそがサイバー犯罪に巻き込まれる原因である、と理解している一般ユーザーは現時点で十分な数ではありません。

    近年は、デジタル世界における違法行為の新たな段階に突入しています。マルウェアの作成や難読化からマネーミュールまで、個人や企業から金銭を騙し取るために犯罪者が必要とするあらゆる要素は、1つの市場というシステム内でレンタルや購入が可能となっています。こうした市場のバックアップ、そして市場によって促進される労働の専門化と分業化という自然のプロセスにより、悪意のあるコードの要素(ドロッパー、bootkit、rootkit、キーロガー、エクスプロイトパック、DDoSモジュール、スパムモジュール、難読化ツール、パッカー、インジェクションスクリプトなど)の作者は、自身が最も得意とする分野に専念し、製品やサービスを最高入札者に販売することが可能で、ほとんどの場合、起訴はおろか検出されるリスクもほとんどありません。そのため、新しい攻撃がこれまで以上に開発され、迅速に展開される可能性があります (こちらのマルウェアの産業化に関するスライドとノートもご覧ください)。

    遠隔医療システムを介してやり取りされる膨大な量のデータを侵害して利益を得る方法を見つけようものなら、犯罪者たちはすぐさま市場に襲い掛かるでしょう。銀行システムや小売業者、通信事業者など、莫大な金銭を扱う組織で確認された攻撃が再現されるとみられます。遠隔医療の場合、マルウェアをベースとする攻撃は市民の命を脅かしかねませんが、犯罪者たちにとっては何のブレーキにもならないでしょう。
  • 医療ITセキュリティの今後の見通し
    メディアがどう言うかは関係なく、たいていのセキュリティ研究者はテクノロジーをこよなく愛していますので、遠隔医療は今後、市民や社会に莫大な恩恵をもたらしてくれると思います。米国遠隔医療学会の会長、Edward Brown医師は最近、「アカウンタブルケア機構や再入院率罰則、さらには遠隔ホームケア、遠隔監視、文字通信、ビデオ会議、電子協議を含む、遠隔医療が核となるプログラムである在宅医療などの」興味深い新たな取り組みについて言及しています。

    Ponemonによる調査の一連のデータは、安全かつ持続可能な方法でこうしたメリットを実現させる取り組みが、一筋縄では済みそうもないことを示しています。この点は、医療データに関するセキュリティインシデントのうち、犯罪者の攻撃として分類されている割合を見れば明らかです。実際のところ、2010年から2012年にかけて20%から33%にまで上昇しており、セキュリティの専門家が少ないほど、措置が講じるのも遅くなるという結果が見て取れます。この結果が医療業界全般に当てはまるのか、遠隔医療に特有なのかに関係なく、状況に適切に対応できなければ、有望視される業界の未来は苦痛と悲劇に満ちているのかもしれません。
  • 注: 本記事の一部の初出はSan Diego Business Journalでした。
ESETのコーポレートニュース
  • Windows 8:リリースから6カ月が経過
    ESETは、ESET Live Gridテレメトリを使用してWindowsのシェア状況について調査しました。その結果、Windowsユーザーのうち、8を導入しているのが全体の3%、一方で、Vistaが4%、XPが44%、7が49%であると判明しました。また、Windows NT4.0およびWindows 2000を使用しているユーザーはごく少数でした。最新オペレーティングシステムWindows8のセキュリティは、リリース前から幾度となく議論の的にされていましたが、シリーズ中で最も安全であるというESETの過去の予想は今のところ外れていません。詳細については、ESETの上級研究者Aryeh Goretskyによるホワイトペーパー「Six Months with Windows8」をご覧ください。
  • ESET、CommunicAsia 2013に出席
    ESETは、6月18日から21日にかけて、シンガポールのマリーナベイサンズで開催されたアジア最大の情報通信技術系イベントCommunicAsia2013に出席しました。イベントでは、個人ユーザーおよび企業ユーザー向けのセキュリティソリューションについてそれぞれ紹介したほか、研究者のSieng Chye Ohが「What Keeps CIO’s up at night」と題したプレゼンを行い、Androidプラットフォームに関するセキュリティ上の問題について説明しました。
  • Litecoinを盗み出すトロイの木馬「MSIL/PSW.LiteCoin.A Trojan」を検出 マルウェアに狙われる暗号通貨は、いまやBitcoinだけではありません。Litecoinを盗むように設計されたトロイの木馬も検出されています。今日は、Bitcoinのマイニングを行う種から、ターゲットからBitcoinのウォレットを直接盗み出す種、あるいはその両方を実行する種など、暗号通貨を標的とするマルウェアファミリーは多数存在しています。ESETでWin32/Scoinetとして検出されるSkynetは、最も新しい「暗号通貨関連のマルウェア」の1種です。このマルウェアの詳細については、welivesecurity.comの記事をご覧ください。
  • 6~7月に世界各地で開催されるセキュリティイベント
    ESETは6月、世界各地で開催される次のようなイベントに出席します。
    • ・ 6月3日~7日、World Partners Conference、アルブフェイラ(ポルトガル)。
    • ・ 6月8日~11日、BiTS、アルブフェイラ(ポルトガル)。
    • ・ 6月15日~21日、FIRST Conference、バンコク(タイ)。
    • ・ 6月18日~21日、CommunicAsia 2013、マリーナベイサンズ(シンガポール)。
    • ・ 6月23日~25日、Recon、モントリオール(カナダ)。
    翌7月には、ESETの代表者が、27日から8月1日にかけて米国ラスベガスで開催されるBlack Hat USAとDefconに出席する予定です。6日間にわたる両カンファレンスには世界中のセキュリティ専門家が学習、交流、スキル構築を目的に集結します。
マルウェアランキングトップ10
1.WIN32/Bundpil[全体の約3.47%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。通信にはHTTPプロトコルが使用されます。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

2.HTML/ScrInject[全体の約2.57%]
前回の順位:3位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
3.INF/Autorun[全体の約2.55%]
前回の順位:2位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。
4. JS/Kryptik.ALB[全体の約2.33%]
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。多くの場合、別のマルウェアの一部であり、自身のコピーは作成しません。
5. Win32/Sality[全体の約2.32%]
前回の順位:4位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
6. HTML/Iframe.B[全体の約2.15%]
前回の順位:5位
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
7. Win32/Dorkbot[全体の約2.05%]
前回の順位:6位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。

8. Win32/Conficker[全体の約1.82%]
前回の順位:7位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。
9. Win32/Ramnit[全体の約1.49%]
前回の順位:8位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
10. Win32/Qhost[全体の約1.48%]
前回の順位:9位
この脅威は、自分自身をWindowsの%system32%フォルダーにコピーしたあと動作を開始します。さらに、DNS経由で指令(C&C)サーバーと通信します。電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年6月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.47%を占めています。

2013年6月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るNOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは25年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2012年9月に75回目となるVirus Bulletin誌の「VB100アワード」を獲得したESETのNOD32アンチウイルスは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。またVirus Bulletin以外にも、AV-ComparativesやAV-TESTなどの独立系テスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Endpoint Solution、ESET Mobile Security、ESET Cyber Security(Mac用ソリューション)は、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてサンパウロ(ブラジル)とプラハ(チェコ共和国)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!