- ビジネスユーザー向けのセキュリティ教育を考える
- Virus Bulletinカンファレンスでの各ESET研究者の発表内容
- ESETのコーポレートニュース
- マルウェアランキングトップ10
- マルウェアランキングトップ10(グラフ)
- ESET社について
- ESETが提供するその他の情報源
私たちは最近、「.bank」をはじめとする分野別のトップレベルドメイン(TLD)の新しい波が、セキュリティに及ぼす影響に関する質問を受けました。このテーマについては、私自身これまであまり考える余裕がありませんでした。1週間がもう少し長かったら良かったのですが。しかし、「.barclays」など特定のブランド名のTLDとは対照的に、「.bank」のようなgTLD(ジェネリックトップレベルドメイン)において中心となる問題は、ドメインの“誠実さ”をどの程度信頼できるかという点であるように思えます。
ブランド名のTLDからすれば、商標権侵害のリスク低減やサイバースクワッティングの回避につながるという見方もあり、一方でフィッシング詐欺の発生も幾分抑えられるため、ユーザーに対しても間接的なメリットをもたらします。しかし、一度ドメインが承認され、運用開始になれば、その安全性はドメイン所有者の善意やセキュリティ意識に委ねられることになります。
近年、大量に使用されているのは、不正なURLをホストする「.co.cc」や「.tk」などのTDLや、独自の「.com」ドメイン下のサブドメイン(またはサブサブドメイン)の提供をコアビジネスとするTLD以下のサブドメインです。このような不正活動は拡大する可能性を秘めています。ですから、私が利用している某銀行「{mybank}.bank」からのメールにリンクが記載されていたところでクリックしようとは思いません。「.comm」のようなタイポスクワッティングは言うまでもありませんが。
Twitter上では最近、以前から話題になっていたアンチウイルスの終焉に関する議論が活発化しています。私も1994年頃から耳にしていましたので、もうそろそろ実現しても遅くないはずです。私の懐を潤してくれたこの業界の終焉については、私もLarry Bridwell氏と12月に開催予定のAVARカンファレンスで論じるつもりなので、この場で長々と解説するつもりはありません。ところでTwitterといえば、Bart Blaze氏が取り上げている責任帰属モデルは興味深く受け止めました(同氏のブログもご覧ください)。これは、ユーザーがマルウェア感染が発生したときの責任は誰にあるのかと考えた場合、AVベンダーや、Microsoftなどの他のセキュリティベンダー、他のアプリケーションベンダーといったさまざまな関係者も部分的に負うものの、全面的な責任はエンドユーザーにあるとするモデルです。
一昔前のウイルス作者や新時代のサイバー犯罪者からすれば、「被害者に落ち度がある」という言い分なのでしょう。しかしKurt Wismer氏も「結局のところ、攻撃者が一斉に姿を消すとは端から誰も期待していないので、状況を改善するには、ユーザーを含む、攻撃者以外の関係者側で何らかの変化が求められる」と指摘しています。ユーザーの全面的な意識改善、特にホームユーザーの意識向上は、短い記事で扱うには大きすぎるテーマです。では、ビジネスの世界ではどうでしょうか。偶然にも先日、ビジネスユーザーについて尋ねられたケースがありました。
企業が生成、保管するデータは、その業種に関係なくサイバー犯罪者のターゲットになる可能性があるため、どんな小規模の企業でも、可能であれば正式なセキュリティ監査を実行して、自社データの価値や重要性を評価するべきです。また、規模を問わず、企業は自国のデータ保護法の適用対象でもあり、該当する法律、そして不履行に対する罰則についても認識する必要があります。
いかなる規模の企業も、リスク分析の一環として、誰が影響を受けるか、何が影響を受けるか、データ侵害が発生しても取引を継続できるかどうかなど、セキュリティ侵害がビジネスに及ぼす影響について配慮することが求められます。ひとたびリスクが明確になれば、どのようにしてネットワークセキュリティポリシーを自社スタッフに周知するかを決定できます。
その第一歩として、サイバー犯罪によるリスクを社員に確実に認識させます。オンライン詐欺の中には極めて狡猾で洗練化されているケースもありますが、簡単な予防措置や教育をいくつか講じれば、その影響を大幅に低減できる場合もあります。教育は継続的なプロセスですから、一夜漬けでは適切にユーザーを啓蒙することはできません。「セキュリティについて知っておくべきあらゆる情報」を一度に与えたところで、思うような成果は得られないのです。重要なポイントに絞って、さまざまな事例を用いてユーザーを教育すると同時に、社員の就業時間中はコアメッセージを強化していきます。
役職や職務に関係なく、すべての社員が「自分はソリューションの一端を担っている」と認識するセキュリティ文化の創出は不可欠です。
サイバーセキュリティの取り組みが狙いどおりの成果を上げるようにするためには、誰もが、自社のサイバーセキュリティポリシーの詳細、管理機能の適切な使用を介してポリシーに準拠する方法、ポリシー準拠が重要である理由、不履行の場合に(企業と個人それぞれに)起こりうる結果について理解する必要があります。
目標は「セキュリティ意識の高い作業環境」の創出です。セキュリティの玄人を一部屋に集めれば済む話ではなく、危険な慣行があれば平社員でも経営陣に提言できるような環境を整えなければなりません。スタッフ向けのトレーニングセッションでは、電子メールの安全性やパスワードの使用、携帯端末の安全な使用とデータ保護の重要性、さらに承認済みのWebページやソーシャルメディアの使用を含め、すべてのスタッフに対する利用許可ポリシー(AUP)について社員に認識させるようにします。またポリシーや管理機能、セキュリティ教育には、パートナー、ベンダー、クライアントとのデータ共有についても考慮する必要があります。セキュリティ措置の不履行に対し厳しい罰則を科すような権威的なアプローチがすべての環境に適切であるとは限りませんが、雇用者はセキュリティ侵害が企業にとっていかにマイナスで、事業継続を妨げる可能性があるかを詳細に説明するべきです。具体的な懲戒処分がある場合は、明確に文書化して社員がポリシーの不遵守が自身の立場を危うくすることを理解させます。
教育は、1回限りのプロセスではありません。使わなければ忘れてしまうのが人間ですから、想起させたり、必要に応じて再度トレーニングを実施しなければなりません。それでも、その背後にある原理を社員が理解すれば、ポリシーの遵守状況は改善されるでしょう。社員が元々従順であったとしても教育は有効です。許可される行為と禁止される行為についてそれぞれ理由を把握することで、遵守への意識はさらに高まるはずです。
繰り返しますが、教育は継続的なプロセスであるため、人事部門は重要な役割を担うことになります。それぞれの役職に最適な形で、全社員が適切かつ一貫したトレーニングを確実に受けられる態勢を整えなければなりません。人事部門はIT部門と連携して、社員の入社時や内部異動があった際には適切なトレーニングとシステム権限を提供し、離職時にはアクセス権を削除して不適切なアクセスが発生しないようにする必要があります。
第23回Virus Bulletin国際カンファレンスは、2013年10月2日~4日にドイツのベルリンで開催されます。プログラムはこちらからご覧いただけます。
同イベントではESETの研究者も数名登壇する予定です。各プレゼンテーションの概要を以下にまとめておきます。
- Andrew Lee
Keynote: Ethics and the AV inudustry in the age of WikiLeaks
米軍機密をウィキリークスに大量リークしたブラッドリー・マニング氏から、元NSAのエドワード・スノーデン氏のケースまで、ここ数年に発生したセキュリティ関連のスキャンダルによって、新たな倫理的問題が浮上しています。企業がとるべき「従来」のアプローチは、マルウェアを探し出すこと、すなわちマルウェアの検出でしたが、(まだ現実化していなければ)将来的には、自らの検出回避やデータ開示、顧客の活動に関する報告についてますます強い政府機関からの圧力にさらされることになり、おそらく法律で義務付けられるとみられます。はたして業界が一体となって対応する必要性はあるのでしょうか。みんな一緒に沈んでいくのか、我が道を行くのか、失敗すると後がない正念場を迎えているようです。信頼できるサンプルや脆弱性の情報を政府と共有することが知られている(または義務付けられている)企業とこうした情報を共有することで、どのような問題が発生するのでしょうか。
基調講演では、Andrew Leeはすべての答えを示すのではなく、問題をいくつか検討し、関連する疑問を投げかけて幅広い議論を展開する意向です。
- Righard Zwienenberg、Richard Ford、Thomas Wegele
The Real Time Threat List
ユーザーが遭遇する「In-the- Wild(実際に感染報告のある)」マルウェアの追跡は、長い歴史があり、アンチウイルス業界内における連携が適切に機能していることを示しています。業界では10年以上にわたり、Joe Wells氏が策定し、現在はICSALabsが運用しているWildListが標準とされてきました。このアクティブな脅威のリストは長年、テスト機関、ユーザー、開発者に重宝されていますが、問題がないわけではありません。特にオンライン上の脅威の性質は変化し続け、「リアルタイム」の脅威を追跡できないWildListでは、効果的な「In-the- Wild」テストには不向きとされているのです。
このプレゼンテーションでは、WildListの欠点を指摘するとともに、ESETのソリューション「リアルタイム脅威リスト(RTTL)」を紹介します。AMTSOによってホスト、支援されるこのリストは、Aviraのサンプル共有システムをベースとしており、実運用環境で検出された脅威をリアルタイムに確認できるよう設計されています。リストでは、クエリのカスタマイズが可能で、テスト機関は特定の地域の特定の脅威に関する情報だけでなく、他のさまざまな興味深いテストシナリオに関する情報も取得できます。
RTTLは、すべてのAMTSOのメンバーがシステムにサンプルを提供できるような設計になっています。さらに、Aviraの現行システムに参加済みの多くのベンダーの作業負荷を軽減させます。したがって、このソリューションは、実際に出回っている脅威を追跡してカタログ化するための、より将来を見据えた手法となると確信しています。
講演の間には、システムのプロトタイプ版を紹介し、さらにこのシステムが今後どのような進化を遂げるか、そしてRTTLが実現する斬新なテストシナリオについても説明します。
- Stephen Cobb
What can Big Data Security learn from the AV industry?
アンチウイルス業界では、数十年にわたりベンダー、民間企業、公的機関、非政府組織の間で脅威データが共有されてきました。本論文では、こうした先駆的な脅威データ共有の歴史を振り返るとともに、その教訓を活かしてビッグデータセキュリティに進化をもたらすことができるかを見ていきます。
ビッグデータセキュリティは、今年に入って注目を集めている情報セキュリティにおける概念です。内部データと共有する脅威データの併用が、情報システムに対する脅威を検出、軽減する上で軸となる主要素となります。ビッグデータセキュリティは、可視性に制限のあるソリューションとして特徴付けられているSIEMやNBAよりも上位に位置付けられます。ビッグデータセキュリティの目標は、すべてのデータのあらゆる側面に完全な可視性を常時提供することであり、OSIのレイヤ2からレイヤ7までのほぼリアルタイムの解析と、外部からの脅威データフィードを組み合わせて、より迅速かつ適切な脅威の検出と対処を実現します。
この目標は、悪意のあるコードのシグネチャや不正URLからホワイトリスト、インシデントの概要まで、共有している脅威データへのタイムリーなアクセス抜きでは達成できません。私たちは、アンチウイルス業界の経験がどのようにして、基準や法的制約、プライバシー上の問題、倫理上の課題といった分野におけるビッグデータセキュリティに発展をもたらすか、可能性を論じていきます。
- David Harley、Lysa Myers
Mac hacking: the way to better testing?
Windowsプラットフォーム上でのアンチマルウェアテストについては、いまだ激しい議論が交わされています。数百ものマルウェアサンプルを使用して定期的かつ頻繁にテストを実施するようになってから約20年が経ちますが、なかなか終息の見通しがつきません。一方、Macは脅威の数が少なく、テスト手法のベースとなる過去のテストも限られるため、主軸となる健全なテスト手法の確立がはるかに困難です。しかし、今やMacの普及率とMacを狙うマルウェアの検出数はともに上昇しており、OS Xの内部セキュリティを補完するように意図されたソフトウェアのテストの重要性も増しています。
では、どのような機能やシナリオが、Macのテストをそれほどまでに厄介にしているのでしょうか。私たちは、内蔵された既知のマルウェア検出機能により、OS Xのセキュリティを内側から強化しようとするAppleの懸命な取り組みが、実際にはWindowsのテストでかつて採用されていた静的テストというスタイルにテスト機関を引き戻している流れを見ていきます。そして、どのような手法がMacのテストをより容易にするのでしょうか。テスト機関がテストを現実的なシナリオにより近づけるには、どうすれば良いでしょうか。合理的に実施されるべきもので、公平性や精度を高くする反面、現実離れしたテストに向かわせる要素が存在するのでしょうか。本論文では、MacとOS Xに固有のテストシナリオを検討するとともに、関連性と公平性の両者を満たすテストの作成方法における可能性を示します。
- Robert Lipovsky、Anton Cherepanov
Last-minute paper: Hassle with Hesperbot: a new, sophisticated and very active banking trojan
2013年8月中旬、私たちは、あるドメインでホストされ、チェコの郵便サービスを装って自身を拡散させていたトロイの木馬を発見しました。このマルウェアについてさらに調査を進めると、その正体はアクティブなマルウェア拡散キャンペーンを通じて同国のユーザーを狙う、新種の銀行標的型トロイの木馬であると判明しました。調査の後半では、トルコとポルトガルにおいて同様のキャンペーン、そしてその結果としてアクティブなボットネットも確認しています。ボットネットを操作する犯罪者たちは紛れもなく確信犯であり、携帯端末用の悪意のあるコンポーネントも利用していました。
私たちは、不正リンクの背後に潜んでいるのはZeusやSpyEyeのような遍在する種ではなく、Win32/Spy.Hesperbotという新しいマルウェアファミリーであると突き止めました。分析を進めたところ、このトロイの木馬が、キーロガー、スクリーンショットや動画キャプチャの作成、リモートプロキシの設定といった一般的な機能を備えているほか、感染システム上への隠しVNCサーバーの作成といったより高度な手法も用いる極めて強力なタイプであることが明らかになりました。もちろん銀行標的型トロイの木馬ですから、ネットワークトラフィックの傍受とHTMLインジェクションという機能も当然持ち合わせています。Win32/Spy.Hesperbotは非常に洗練された方法でこうした操作を行い、さらにAndroidやSymbian、Blackberry用のモバイルコンポーネントを利用して、モバイル取引認証番号を用いた銀行のセキュリティ対策をすり抜けます。
このマルウェアは、セキュリティで保護されたネットバンキングのサイトに接続しているユーザーに対して、中間者(Man in the Middle)攻撃を実行するための独自の手法を採用しています。この技術については、プレゼンテーションで詳細に説明する見込みです。また、別の銀行標的型トロイの木馬であるGatakaも似たような手法を利用しており(Jean-Ian BoutinがVB2012で発表しています)、危険なサイバー犯罪ツールとも言うべき両者を比較対照します。
他にも、詐欺の手口や私たちが発見した別のキャンペーンについても詳しく見ていきます。マルウェアの機能や攻撃者の動機について高度な解説を提供し、モバイルコンポーネントを含めWin32/Spy.Hesperbotの“躍進”に貢献している、より洗練されたコードの一部を詳細に取り上げます。
- 危険なファイルコーダーの大幅な増加を報告
ESET本社のマルウェア研究施設より、ユーザーのファイルを暗号化して、復号化ソフトウェアと引き換えに身代金を要求するトロイの木馬タイプのファイルコーダーマルウェア、「Win32/Filecoder」の異常な増加ぶりが報告されました。クラウドベースのマルウェアデータ収集システムであるESET LiveGridテクノロジによると、2013年7月の1週間の検出数が、その前の半年間の平均と比べて200%超まで増加している事実が明らかになっています。
詳細:http://www.welivesecurity.com/2013/09/23/filecoder-holding-your-data-to-ransom/
- Macユーザーを保護するESET Rootkit Detectorをリリース
Mac OS X向けの新しいセキュリティツールであるESET Rootkit Detectorは、OS内部でフック処理を実行してOSの動作を変更しようとする、悪意のあるカーネル拡張をスキャンします。不正なカーネル拡張がOS X内部でフック処理を行うと、セキュリティ対策を回避できるようになるため、システムの完全なアクセス権の取得が可能になります。
- オーストラリアに支社を開設
LinkedInを狙うトロイの木馬の増加に伴い、中小企業による脅威への対処を支援するため、ESETはオーストラリアにシドニー支社を開設しました。オーストラリアのカントリーマネージャーに任命されたFlorin Vasile氏は、ローカルビジネスを拡大させ、ESETのパートナープログラムを策定する新たなフォーカスの提示に注力します。ESETに新たに加わる同氏には、さまざまな国や地域の大手IT&C企業で役員職を歴任したバックグラウンドがあります。ESETが半年ごとに公開しているオーストラリアの脅威レポートは、2013年1月から8月の間で、ソーシャルネットワークを標的とマルウェアは増加し続けていると報告しています。最大規模の脅威は、トロイの木馬として通常分類される悪意のあるソフトウェアのグループに由来していました。トロイの木馬は通常、データ窃取を目的とする犯罪者によって利用されますが、同レポートによると、トロイの木馬の活動はこの半年の間で増加しています。とりわけ狙われているのが中小企業です。中でも多いのが、職探しや従業員募集といった名目での利用が増加しているソフトウェアプラットフォーム、LinkedInを介した攻撃です。
- 高度な銀行標的型トロイの木馬「Hesperbot」を発見
ESET本社のマルウェア研究施設で、ヨーロッパとアジアのネットバンキングユーザーをターゲットとする新種の高度な銀行標的型トロイの木馬が発見されました。信頼できる組織に関連した一見まともな配信キャンペーンを装ってターゲットをおびき寄せ、このマルウェアを実行させようとします。金融資産が盗まれたケースもすでに報告されており、ESETのクラウド型マルウェアデータ収集システムであるLiveGridによると、トルコで数百件、チェコや英国、ポルトガルで数十件の被害が確認されています。この強力かつ洗練された銀行標的型マルウェアは「Hesperbot」と命名されており、フィッシングのような電子メールを介して拡散するほか、AndroidやSymbian、Blackberryを搭載しているモバイルデバイスにも感染を試みます。
詳細:http://www.welivesecurity.com/2013/09/04/hesperbot-a-new-advanced-banking-trojan-in-the-wild/
- 角川アスキー総合研究所の「ウイルス対策ソフト満足度調査」で3回連続となる満足度トップを獲得
ESETは、日本の角川アスキー総合研究所*が実施した「ウイルス対策ソフト満足度調査」において、3回連続となる満足度トップを獲得しました。ESET製品は今回、次点のKasperskyと13ポイント、無料ソフト部門でトップとなったKingsoftと10ポイント以上の差を付ける88.4ポイントを獲得して首位の座を維持。ESETのセキュリティソリューションは、「常駐時の動作の軽さ」、「セキュリティ性能」、「サポート」などの有料ソフト部門の数項目でトップ評価を得ています。
詳細:http://www.eset.com/int/about/press/articles/article/eset-tops-the-security-software-consumer-satisfaction-in-japan-for-the-3rd-time/
- 9~10月に世界各地で開催されるセキュリティイベント
ESETは9月、小中高生が最新のセキュリティトレンドについての理解度向上を目的としたプレゼンテーションを多数提供する、「Security Days」に参加しました。このイベントは9月20日から10月3日にかけて、スロバキアのドノバリーとコシツェで開催されました。
10月には、ESETの代表者が次のようなイベントに出席します。
- 9月30日~10月4日、Interlop 2013カンファレンス、ニューヨーク(米国)。
- 10月2日~10月4日、Virus Bulletinカンファレンス、ベルリン(ドイツ)。
- 10月9日~10月10日、Secure 2013カンファレンス、ワルシャワ(ポーランド)。
- 10月11日~10月12日、Hacktivity IT Security Festival、ブダペスト(ハンガリー)。
- 10月22日~10月24日、Hack.lu convention、ルクセンブルク。
- 10月24日~10月25日、T2カンファレンス、ヘルシンキ(フィンランド)。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年9月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.69%を占めています。
プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るNOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは25年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2012年9月に75回目となるVirus Bulletin誌の「VB100アワード」を獲得したESETのNOD32アンチウイルスは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。またVirus Bulletin以外にも、AV-ComparativesやAV-TESTなどの独立系テスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Endpoint Solution、ESET Mobile Security、ESET Cyber Security(Mac用ソリューション)は、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。
ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてサンパウロ(ブラジル)とプラハ(チェコ共和国)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
この情報は、ThreatSense.net(※)の情報を元に作成しています。
- ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。