MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2013年7月 世界のマルウェアランキング

この記事をシェア
2013年7月の月間マルウェアランキング結果発表
目次
エラーメッセージにまつわる問題
David Harley、ESETシニアリサーチフェロー

この記事の本バージョンは、Anti-Phishing Working Groupのブログにも掲載されました。

ウィキペディアの「エラーメッセージ」のページでは、悪質な(かつ混乱を招く)メッセージをいくつか取り上げていますが、次の私のお気に入りは記載されていません。

キーボードが検出されませんでした。いずれかのキーを押して続行してください

別に都市伝説を語ろうというわけではありません。細かい言い回しまでは定かではありませんが、ユーザーサポートを担当していた頃、こんな感じのエラーメッセージを日に2、3回は目にしたものです。

さて、私が「エラーメッセージ」や「セキュリティアラート」関連のリンクを求めてWeb上を探し回っていたのには、れっきとした理由があります。きっかけとなったのは、先日たまたま目にした米国心理学会(APA)のWebサイトに掲載された1件の記事でした。カンザス州立大学の心理学者Gary Brase氏とコンピューターセキュリティの研究者Eugene Vasserman氏の両名に対し、より効果的なオンラインアラートの作成を目的として15万ドルの研究費補助金が与えられたというのです。私には、同様の取り組みを行うセキュリティ企業がどれだけあるかはわかりません。とはいえ、いずれかの企業は必ず、製品やユーザーインタフェースの開発に、心理学者やフォーカスグループ、人間工学者(あるいは人間とコンピューターの相互作用=HCIについて関心や専門知識を持ち合わせたその他の研究者)を起用していることでしょう。しかし、誰もがソフトウェアによって生成された意味不明なアラートを散々目にしており、HCIという側面にもう少し配慮が必要とされるソフトウェアが少なからずや存在しているのも周知の事実だと思います。さてこの記事を読んで私は、「EICAR test virus not-a-virus detected(EICARのテストで、ウイルスではないウイルスが検出されました)」という、頻繁に見かける動作確認のアラートのことを考えました。

まずソーシャルサイエンスを学んだ私自身は、後からコンピューターサイエンスの世界に入ったというバックグラウンドのためか偏見があるのかもしれませんが、ビットやバイトにばかり目を向けるコンピューターセキュリティが、この世界に横行するサイバー犯罪やサイバーエスピオナージュなど、今日のあらゆるサイバー関連の問題を解決するとは思いません。確かにユーザーが困惑するようなセキュリティアラートが存在します。「これは一体どういう意味なのだろう」と考え込んでしまうようなメッセージは、ユーザビリティーの観点では落第です。

APAの記事では、Brase氏が例をいくつか紹介しています。

「この署名付きのアプレットを信用しますか?」または「このアプリケーションのデジタル署名にはエラーがあります。このアプリケーションを実行してもよろしいですか?」

率直に言えば、私がかつて目にしたメッセージの方がはるかに厄介で、普通のユーザーだったら混乱のあまり壁に頭を打ち付けてしまうほどのシロモノでした。こうしたメッセージには、エラーコードや16進数文字列、「ファイル[ファイル名]のスキャン中に不明なエラーが発生しました」などの文、あるいは空白のメッセージボックスが含まれるケースが多く、いずれもセキュリティアラートの本質的な問題が示されています。はたして15万ドル程度でより良い解決策が見つかるのか私は疑問です。

Brase氏が示した例は、言い回しではなく、概念に問題があります。プログラムの背後にあるアルゴリズムがリスクについて信頼に足る決定を下すことができなければ、後はユーザーの方で何とかしてくれるだろうと期待するのは筋違いです。実際、同氏はサイトがたとえ何らかの方法で侵害されていないと断定できない場合でも、(通常は)オーケーだと理解しているのでしょう。ソフトウェアには、プログラムの特性やテキストの自動分析から以外ではユーザーの意図を推測できないというデメリットがあります。また、「magna cum laude」というフレーズやScunthorpeという名前が世界中のポルノ検出アルゴリズムの引き金となっていた時代から、フィルタリング技術が目覚ましい発展を遂げている一方で、電子メールやオンラインのフィルタリング機能よりも知識のある人間の方が適切な決定を下すことができている状況は少なくありません。しかし、「知識のある」人間がこの種の研究のメインのターゲットではありません。Brase氏は「すぐれたセキュリティとは、その意図に関係なく、すべてのユーザーに適しているべきである」と述べ、スキルや知識レベル、利用するサイトを問うべきではないと示唆しています。重要なポイントはこの点にあります。すなわち、犯罪者の意図のみならず、ユーザーの意図もくみ取る必要があるのです。実のところ、Jeff Debrosse氏と私は数年前に論文「Malice Through the Looking Glass: Behaviour Analysis for the Next Decade」を執筆し、セキュリティ企業はプログラムの振る舞いだけでなく、ユーザー行動の分析結果をソフトウェアに組み込むことで有効性を高めることができると論じました(私個人としてはそれが現実となる日は当分先だと思っていますが)。もしかすると、これはBrase氏が指摘する問題に対処する1つの手段かもしれません。ユーザー教育が、複雑化の一途を辿るネット取引の進化の速度に追い付いていないというのは 紛れもない真実です。だからこそコンピューターはユーザーに親しみやすく(making computers people-literate)あるべきなのです(同名の本を執筆したElaine Weiss氏にはすばらしいネーミングの才があります)。

しかし論理上の欠陥があります。セキュリティアラートの表示形式を改善したところで、セキュリティソフトウェア(あるいはGoogleのセーフブラウジングなどの技術を搭載したブラウザーなど、セキュリティ機能を備えた他のソフトウェア)が現状以上にユーザーの意図を識別できるようになるわけではないのです。ただそこまで悪い話ではありません。フィルタリング機能を使っても悪意まではふるい分けられませんが、プログラム上でも意味上でも、悪意のある振る舞いの特性についてどれだけプログラミングされているかがポイントとなります。ただし、悪意のある振る舞いは常に動的に変化し続けています。平均的なセキュリティプログラムが、適度な認識能力を備えた人間並みに行間を読めるようになるには随分と時間がかかるでしょう。

Googleの技術は、ソーシャルエンジニアリングをはじめとする攻撃に対抗する技術には限界があることを示す好例といえます。Googleによると、セーフブラウジングによって、1日あたりなんと1万ものサイトが悪意があるとしてフラグを立てられているそうです。同社の透明性レポートには同様のデータが公開されています。主要な脅威としての地位を確立してから数年、今なおフィッシング強力な攻撃と見なされていますが、攻撃の主な起点はいまや電子メールではなくなり、ソーシャルメディアなどのWeb上でホストされるサービスやWebブラウザーが、大部分の攻撃で利用されるようになっています。

念のため断っておくと、セーフブラウジングを批判するつもりはありません。オンラインユーザーには極めて有効な保護機能であるのは事実で、開発者の努力には惜しみない拍手を送りたいと思います(Chromeのみならず、FirefoxやSafariのユーザーも利用できます)。要するに、アンチマルウェア技術では、悪意のあるプログラムやURLを完璧に検出することはできないということです。もしそれが可能であったとしたら、私たちの住む世界は大きく変わっていたはずです。そもそも、ちんぷんかんぷんな質問への回答を促すアラートを、ユーザーにポップアップ表示する必要はありません。ユーザーがアクセスしようとしているサイトやアプリケーションは、悪意があると判断されたため実行が拒否された、と通知するだけで十分です。

しかし、この世界の至る所に悪意のあるサイトをはじめさまざまな攻撃が大量に潜んでいる点に留意する必要があります。ESETのラボでは1日に数十万もの脅威を処理していますが、そのすべてが上述した1万個のサイトに由来するわけではありません。Googleの透明性レポートの統計情報は興味深く有益であると思われますが(企業としての評価を高めようという狙いもあるのでしょうが)、それでもユーザーは警戒を緩めることなく、サイトにアクセスする際は慎重になる必要があります。セキュリティ機能が有効であるからといって好き勝手にクリックする行為は控えるべきです。

とはいえ、頭の痛いニュースばかりではありません。つい先日見つけた、これまでで最も低レベルな419詐欺メールを最後にご紹介しましょう。

  • 送り主はGen Peter Blayという人物です
  • 件名には「1」とあります
  • 本文は 実質ありません。ただし 「ぜひお金をお受け取りください」という署名があります

こんなメールに引っかかる人がいるとは到底思えません。詐欺の実態が明らかでないばかりか(おそらく先払い詐欺あたりでしょうが)、そもそも詐欺師がターゲットに何をさせたいのかがわからないのですから。

状況にもよりますが、私だったら詐欺師のテスト用メールと見なし、相手にしなかったでしょう。それにしても、内容を見る限り、この詐欺師が息を引き取るまでに419詐欺の手法を確立できるのかが疑問です。いやいや、私が詐欺と勝手に勘違いしているだけなのかもしれませんね。そうであれば、Gen Peter氏にはESETノースアメリカのオフィスの私宛に数百万ドルを送るようぜひお願いしたいところです。

ESETのコーポレートニュース

10年連続、通算80回目のVB100アワードを獲得

ESETは7月初め、当社が持つ獲得回数記録を更新する80回目のVB100アワードを獲得し、同時に、同アワードの10年連続獲得というアンチウイルス業界における歴史的な記録を打ち立てました。VB100は、著名な独立系のセキュリティソフトウェアテスト機関であるVirus Bulletinが主催するアワードです。ESETのNOD32テクノロジーが達成したどちらの偉業も、他社のアンチウイルスソフトウェアを上回る、VB100アワード史上最高の記録となります。「VB100」アワードは、「In-the-Wild」と呼ばれるマルウェア(実際に感染報告のあるマルウェア)を、誤検知なしですべて検出したアンチウイルス製品および研究開発チームに与えられる認定です。

Torを用いるボットネットの台頭

Torを用いるボットネットは2013年に入ってからその存在が明らかになっていましたが、ESETの研究者は今夏、Torを介した通信を行うマルウェアファミリーの増加を確認しました。マルウェア研究者Anton CherepanovとセキュリティインテリジェンスチームのリーダーAleksandr Matrosovは7月、Win32/AtraxおよびWin32/Agent.PTAのマルウェアファミリーをベースとする、Torを用いるボットネット2種を発見しました。いずれもさらなる詐欺活動を可能にするフォームグラビング機能を備えています。

7~8月に世界各地で開催されるセキュリティイベント

ESETは7月、米国で開催される次のイベントに出席します。

  • 7月27日~8月1日、Black Hat USAおよびDefcon、ラスベガス(米国)。

翌8月には、ESETの代表者が、15日から21日にかけてドイツのケルンで開催されるヨーロッパ最大のインタラクティブなゲームとエンターテイメントのトレードショー、GamesCom 2013に出席する予定です。

続いて23日から26日にかけて、英国テルフォードで同国最大のゲームフェスティバルInsomniaが開催されます。

マルウェアランキングトップ10
1.WIN32/Bundpil[全体の約3.78%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。通信にはHTTPプロトコルが使用されます。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

2.HTML/ScrInject[全体の約2.30%]
前回の順位:2位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
3.INF/Autorun[全体の約2.23%]
前回の順位:3位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。 今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。 WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。 ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。
4. Win32/Sality[全体の約2.18%]
前回の順位:5位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
5. HTML/Iframe.B[全体の約2.04%]
前回の順位:6位
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
6. Win32/Dorkbot[全体の約1.75%]
前回の順位:7位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからのコントロールが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
7. Win32/Conficker[全体の約1.71%]
前回の順位:8位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。 Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。 ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。 「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。
8. JS/Chromex.FBook[全体の約1.55%]
このトロイの木馬は、Facebookのユーザープロフィールにメッセージを投稿します。悪意のあるGoogle ChromeやMozilla Firefoxの拡張機能またはプラグインである亜種も存在します。
9. Win32/Ramnit[全体の約1.41%]
前回の順位:9位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
10. Win32/Qhost[全体の約1.26%]
前回の順位:10位
この脅威は、自分自身をWindowsの%system32%フォルダーにコピーしたあと動作を開始します。さらに、DNS経由で指令(C&C)サーバーと通信します。電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年7月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.78%を占めています。

2013年7月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るNOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは25年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2012年9月に75回目となるVirus Bulletin誌の「VB100アワード」を獲得したESETのNOD32アンチウイルスは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。またVirus Bulletin以外にも、AV-ComparativesやAV-TESTなどの独立系テスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Endpoint Solution、ESET Mobile Security、ESET Cyber Security(Mac用ソリューション)は、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてサンパウロ(ブラジル)とプラハ(チェコ共和国)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!