- サイバー戦争と一般ユーザー
- SKYPEやGTALKで大規模な攻撃が確認
- ESETのコーポレートニュース
- マルウェアランキングトップ10
- マルウェアランキングトップ10(グラフ)
- ESET社について
- ESETが提供するその他の情報源
先日、アーティストのLars Holdhus氏から、オーストリアのウィーンで開催される美術展に関連したサイバー兵器に関するPDFの作成の件で、スロバキアのブラティスラバにあるESETの本社に連絡がありました(このPDFは11月22日に公開)。同氏は、Alexandr Matrosov、Eugene Rodionov、Juraj Malcho、そして私がまとめた論文「Stuxnet Under the Microscope」に高い関心を寄せていたようで、このトピックについてメールで私たちに話を聞きたい、とのことでした。それから私たちは結構な数のメールのやり取りを交わしたのですが、このインタビューではStuxnet以外のことにも触れており、皆さんにとっても有益な情報となると思いますので以下に掲載しておきます。ただし、インタビューで話したことはすべて私個人の意見であり、ESETの代表として述べているわけではない点に留意してください。ちなみに、インタビューの全文は、Nick Land氏による「Philosophy in a War-Zone」およびJohn Menick氏による「Museum of Malware」と合わせて、PDF「Dissolution (6edfsdf4c7e7)」でご覧いただけます。
Stuxnetについてはすべて語り尽されたと思う方もいるかもしれませんが、Ralph Langner氏が最近発表したレポートではまだまだ考慮すべき点があると示唆されています (なお、このレポートはインタビューの後に公開されました)。
Lars Holdhus(以下LH): 2010年6月前後に出現したStuxnetの問題は、インフラシステムを狙う標的型攻撃におけるテクノロジーの悪用の実態を浮き彫りにしました。では、Stuxnetに類似するマルウェアの攻撃によって起こり得る結果についてはどのように考えていますか?
David Harley(以下DH): Stuxnet以前と以降で、インフラ攻撃の潜在性に対する市民やメディアの意識が変わったという意見には同意します。それでも、私がこの分野に関心を寄せるようになった頃には、すでにセキュリティやSCADAの専門家の間で、SCADAやICSなど、(実際に発生したかどうかは問わず)インフラを狙う攻撃に関する議論は交わされていましたし、Stuxnet以降で同レベルの注目を集めた攻撃が発生していないのも明らかです。
- 1982年にシベリアで起きた天然ガスパイプラインの爆発事故はCIAによるハッキングが原因であると言われているが、その真相はいまだ議論の途上である。一方、湾岸戦争における砂漠の嵐作戦は、CIAがプリンターにウイルスを組み込んで引き起こしたとする説はデマであったとの見方が優勢。
- 2002年以降発生しているサイバースパイ活動「Byzantine Candor」は、米国の軍事組織や政府機関を標的としている。
- サイバースパイ活動「Ghostnet」は2007年より確認されるようになり、米国のインド大使館やチベット亡命政府の事務所など、各所で被害が発生している。
- サイバー攻撃「Aurora」は、中国の人権活動家や、Googleを筆頭とする米国の技術産業分野の大手企業を標的とした。独自のコードが盗み出されたり、活動家の電子メールアカウントが悪用される被害が発生。
- 「Shadows in the Cloud」は2009年以降発生。インドやチベットの政府機関、国連が狙われ、機密性の高いデータや文書が盗み出されている。[チベット人活動家らを狙った標的型攻撃は今日まで継続中で、現在ではOS Xを標的とするマルウェア開発の主な誘因となっている。]
- 「Night Dragon」は、ExxonやShell、BPなどの石油化学メーカーを攻撃。
- 政府やメディア、金融機関を含む幅広いWebサイトを狙った、エストニアやグルジアへの攻撃は、ロシアが発信元とされている。
- 「Titan Rain」は中国による諜報行為が疑われている(Lockheed、NASA、サンディア国立研究所などが標的)。
- 「Moonlight Maze」もロシアによる標的型の諜報行為と見られている(米国防総省、NASA、エネルギー省、研究施設などが標的)。
「Flame」や「Duqu」、さらには関連性はないとはいえStuxnetが最初に悪用した脆弱性を突く「Chymine」や「Sality」の一部の亜種など、「類似性のある」マルウェアも存在しますが、Stuxnetがここまで高い関心を集めた理由は、この問題が次のような幾分珍しい特徴を兼ね備えていたためでしょう。
- 大規模な共同作業を思わせるほどの攻撃を仕掛けるために必要なリソースを集めるには、絶好のターゲットであった。
- 極めて固有のペイロードであるため、マルウェアが最終的にどのタイミングでアンチマルウェア業界の警告を無効化させたかを突き止めるには高度な専門的知識が要求された。
- いくつかの未知のゼロデイ脆弱性を悪用(および脆弱性を見つけ出す能力を保持)していた。
- SiemensのICS(Industrial Control Systems:産業用制御システム)環境における、修正困難な弱点を並行して利用した。このバックドアに対処するには、Siemensによる大規模なリエンジニアリングが必要になるのは間違いなく、しかもICSを標的とするマルウェアであるため、パッチやアップデートが容易に利用可能である場合でも現地での対応が必然的に困難になっている。
- ターゲット地域では、政治的思惑により地域外からのソフトウェアに対するライセンス要件の遵守が妨げられている。これにより、ベンダーとクライアントのソフトウェアの間の主流の通信チャネルとは別の抜け道が作られる。輸出入の制限による影響を(あまり)受けなかった地域でも未検出だった場合、マルウェアがどのくらい期間残存していたかは興味深い疑問である。
- 盗用した本物の証明書を使用していた。当時のマルウェアにまず採用されていなかった手法で、一部のセキュリティ製品では対策機能が組み込まれていなかった。
こうした特徴を兼ね備えた攻撃が、今後起こることはないと言うつもりはありません。実際、政府が国内外でのサイバーエスピオナージュに費やすリソースをいつでも確保できるという事実は、この数カ月の間で極めて明確になっています。サイバーサボタージュをはじめ、多くの人々がサイバー戦争と認識している攻撃の側面についてはあまり論じられていませんが、イランの原子力施設に対して用いられたとみられる種類のリソースが、他の攻撃では確認されなかったからといって、まだ安心はできません。
改良したStuxnetのコードが警察の電話網や病院のシステムなどに対する攻撃においてどのくらいの効果があるかについては、一部の推測がほとんど想像の域を出ていなかったのは事実です。それでも、標的型あるいは半標的型の攻撃に十分なリソースが与えられ、十分な研究が行われていることは確かです。逆に、目的は大きく異なるものの同様の手法でネットワークシステムの欠陥を調査する専門家集団「タイガーチーム」にとっても効果的であるとみられます。過去の経験から学習し、新たな技術へと進化させるているのはセキュリティ研究者だけではないのです。
犯罪者や国家が用いるマルウェアの開発者は概して、自己複製型のマルウェアから、他の手段(スパムメールに記載されたURLや、ゼロデイ攻撃が仕掛けられたPDFやMicrosoft Officeドキュメントなど)を介したトロイの木馬の拡散へとその手段を切り替えています。複製しない真に標的型のマルウェア(個人を標的とし、カスタマイズされたコード以外にもカスタマイズされたソーシャルエンジニアリングをたびたび使用)は検出がはるかに困難です。こうしたマルウェアはもちろんStuxnetの前から存在していましたが、Stuxnetファミリーの大成功が、他の国家製のマルウェアにおける同様のステルス技術の採用を後押ししたのは間違いないでしょう。highly-targeted malwareまた、極めて狭い範囲に対して行われる標的型のマルウェアに対抗する上で、従来のアンチウイルス製品よりも効果的であると見られる技術の導入という面で波及効果もありました。
LH: 先ほど、ユーザーがサイバー戦争とみなす活動にはいくつかの側面があると指摘しましたが、具体的にどのような側面があるか、例を挙げてもらえますか?
正直なところ、私たちが今目にしているのが本当の意味でサイバー戦争であるとは思えません。強いて例えるなら、冷戦と似たような状況と言えます。冷戦中は、戦時下でなくても発生し得る行為を含め、さまざまな事象が「戦争」と表現されていましたが、今まさに同様の現象がサイバー環境で起こっているのです。破壊行為だけでなく、監視行為やスパイ活動、テロ行為、さらには市民によるスパイ活動やサイバー犯罪も当てはまります。政治的動機による衝突を示唆するインシデントは大量に確認されていますが、これらがみなマルウェアを用いた攻撃であるかはわかりません。また、自由権や個人のプライバシーの侵害にますます懸念を示す市民の理解を得られやすくするために、この種の行為を「サイバー戦争」と銘打つことで、政府は混乱を引き起こしているという意見もあります。
LH: それはサイバー戦争という用語について興味深い見解ですね。ますます高度化していく技術に追随するようにマルウェアも洗練さを増している一方、この展開をフォローできるユーザーはごく一部に限られるでしょう。一般ユーザーが政府製マルウェアから自身を守るには、どのような対策をとるべきでしょうか?
DH: Bruce Schneier氏の言葉を借りるのなら、政府からの手厚い保護を受けているような諜報機関がその気になれば、ユーザーのシステムであれ個人情報であれアクセスしてしまう、ということになります。その機関と同等の十分なリソースを備え、極めて高度なセキュリティ対策が講じられている組織であれば話は別ですが。大企業や政府機関でさえ非常に広範囲かつ簡単に監視してしまうのであれば、リソースが限られる個人ユーザーには為す術がないかもしれません。それでも、政府機関がこうしたユーザーを相手にするとは考えにくく、「公式」のポリスランサムウェアや政府製のスパイウェアに狙われるケースはまずないとみられます。この点は、高度な標的型ではない、より汎用的なマルウェアとは対照的です。スパムメールの大量送信キャンペーンを使用しているかに関係なく、この種の犯罪者は脆弱なユーザーの個人情報やシステムにアクセスさえできれば目的達成です。政府主導の多くのトップレベルの監視活動も、ほとんどのケースは標的型ではありませんが、ターゲットをさらに絞り込む上での起点になります。
監視活動には必ず目的があります。ターゲットとする機関が保持するデータやメタデータにたどり着いたとしても、彼らの調査対象はアラームを作動させるデータのみです。メタデータ内の特定のキーワードや、異常なほど強力な暗号化が施されているデータなどが該当します。今よりも優れた暗号化機能を使用するな、とホームユーザーに言うつもりはありませんが、暗号化機能によってあらゆる個人情報の安全性が確保されるとも言い切れないのです。PGPのような暗号化ソフトウェアを使用すること自体に大きなリスクがあるとは思いませんが、他にも「疑わしい」要素があれば、目を付けられる可能性はあります。
強力なセキュリティプログラムを導入しておけば悪影響を及ぼす可能性はまずなさそうですし、疑わしい特性が確認されたという理由だけで、一部の政府製マルウェアがアンチマルウェアソフトウェアによって検出されることもわかっています(そのマルウェアが「公式」に作成されたかどうか不明だとしても)。
他にも、オペレーティングシステムやアプリケーションにパッチを適切に適用するなど、実践しやすい対策もあります。口で言うほど簡単ではありませんが、どんなソーシャルエンジニアリングの手法が使用されても、対処できるように準備しておく取り組みも大切です。
5月半ば頃までに、世界中のユーザーのもとに、SkypeやGtalkなど、さまざまなインスタントメッセージ用アプリケーションを介して、連絡先に入っているアドレスからメッセージが送られてきたという問題が発生しました。マルウェアの拡散には、攻撃者があるキャンペーンを実行し、次に別の攻撃者が別のキャンペーンを実行する、といったサイクルがあります。短期間に同じ拡散チャネルを介して同じ脅威を受け取る潜在的なターゲットが一定数を超えた場合は、攻撃者の当初のターゲットに加え、潜在的なターゲットとして別のユーザーのグループにも手を伸ばし始めるといった連鎖反応が確認されます。問題が一気に明るみに出たのは5月20日のことでした。ESETのEarly Warning Systemからの通知と一緒に、感染PCのユーザーからの問い合わせや、Skypeアカウントを所有するESETラテンアメリカの研究室のメンバーからのメッセージがESETに届いたのです。ESET Smart SecurityではWin32/Kryptik.BBKBの亜種として検出されるこの脅威は、30万人以上のユーザーにメッセージをクリックさせ、予期せぬうちに脅威をダウンロードさせようとします。今回の攻撃については、WeLiveSecuirtyのブログ記事やホワイトペーパーで詳細に解説していますのでぜひご覧ください。
- Deloitteにより、中央ヨーロッパで最も急成長を遂げているテクノロジー企業の1社に選出
ESETは、Deloitteが毎年発表している、中央ヨーロッパにおいて最も急成長を遂げているテクノロジー企業ベスト50(Deloitte 2013 Technology Fast 50 Central Europe)に選出されました。今年で14回目となるこのランキングは、企業の5年間の収益成長率に基づいて決定されます。ESETはまた、「中央ヨーロッパの上位5社(Big 5)」というサブカテゴリでもランクインしています(第4位)。 - 新しいセキュリティパックをリリース
ESETは、ESET Multi-Device Security Packの提供開始を発表しました。これにより、ホームユーザーの皆さんはさまざまなプラットフォームで数々の受賞歴を誇るインターネットセキュリティを搭載したデバイスをお使いいただけるようになります。また、ビジネスユーザー向けとして、管理や企業デバイスのライセンス付与、メンテナンスが容易なESET Home Office Security PackとESET Small Business Security Packも用意しています。いずれのパックにもESETの製品数種が含まれるので、自宅でもビジネス環境でも複数のオペレーティングシステムやエンドポイントを包括的かつプロアクティブに保護できます。 - ESETによって強化されたClevX社のDriveSecurityをKingston社のUSBに統合可能
ESETは、Kingstonの最新USBフラッシュドライブについて同社と技術提携を構築しました。このDataTraveler Vault Privacy 3.0 Anti-Virusには、ESETの技術によって強化されたClevXのDriveSecurityが導入されています。 - 最新OSのWindows 8.1で改善されたセキュリティをレビュー
ESETの上級研究者であるAryeh Goretskyは、MicrosoftRの最新オペレーティングシステムWindows 8.1におけるセキュリティの改善についてレビューを実施しました。ホワイトペーパー「Windows 8.1 Security New and Improved」では、今回のWindows 8.1への最新アップデートにおける待望の(かつ物議をかもす)セキュリティ機能をいくつかレビューするとともに、Windows 8と 8.1の普及率や8.1によって引き起こされる新しいリスク、さらにはIT部門やユーザーがアップグレードするべきか否かについて論じます。ホワイトペーパーは、WeLiveSecurityのホワイトペーパーセクションからダウンロードできます(横置き9ページ)。 - ベトナムの通信会社MobiFoneと提携して同社の顧客3,000万人を保護
ESETは、ベトナムの大手通信会社であるMobiFoneと結んだ新たな提携関係を発表しました。同国のESETのパートナー企業からサポートを受けて締結されたこの提携により、ESET製品(ESET NOD32アンチウイルスとESET Mobile Security for Android)が月額制のサブスクリプション形式でMobiFoneの顧客に販売される予定です。 - ドイツの「メーカーオブザイヤー2013」アワードにノミネート
ESETは、ドイツのICTセクターの小売店の間で名高い専門雑誌であるCRNより、ITセキュリティの部門で「Hersteller DES Jares2013」アワード(メーカーオブザイヤー2013)にノミネートされました。ファイナリストには好成績を収めた上位3社が選出され、ESETは第2位にランクインしています。 - ユニークなソーシャルゲームの実験で、ゴンドラを成層圏に打ち上げ
ESETは、Dropionと命名されたゴンドラをバルーンで成層圏に打ち上げました。地上のスマートフォンのGPS機能を利用した、ユニークな宝探しのソーシャルゲーム「Stratocaching」の実験で、ESETはチェコの若いテクノロジー愛好家のグループ「No Rocket Science」およびTechnet.czと提携関係を結んでいます。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年11月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.68%を占めています。
プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るNOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは25年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESETのNOD32アンチウイルスは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。またVirus Bulletin以外にも、AV-ComparativesやAV-TESTなどの独立系テスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Endpoint Solution、ESET Mobile Security、ESET Cyber Security(Mac用ソリューション)は、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。
ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてサンパウロ(ブラジル)、プラハ(チェコ共和国)、イェーナ(ドイツ)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。
詳細については、ESETの概要とプレスセンターをご覧ください。
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
この情報は、ThreatSense.net(※)の情報を元に作成しています。
- ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。