MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2013年12月 世界のマルウェアランキング

この記事をシェア
2013年12月の月間マルウェアランキング結果発表
目次

今月は、2013年のセキュリティニュースを振り返る特別版として、月ごとに特に目立った動きを示した脅威について解説していきます。また、昨年公開されたフィッシング詐欺問題に特化した記事も掲載しており、今回はいつもより盛りだくさんの内容となっています。
後半のコーポレートニュースのセクションでは、インターネットプライバシーの課題に焦点を当てた、ESETが予測する2014年の新たなトレンドに関する記事もご覧いただけます。

We Live Securityで振り返る2013年のセキュリティニュース
Lysa Myers、ESETセキュリティ研究者III

ESETのセキュリティ情報サイトWe Live Security(旧ESET Threat Blog)を読み返すと、2013年はさまざまな出来事が度重なった1年だったことがよくわかります。昨年公開した2012年の総集編と同様、概要に触れるだけで終わった記事も多数ありますので(深く掘り下げていたら、本が1冊出来上がっていたことでしょう)。詳細については、www.welivesecurity.comをご覧になることを強くおすすめします。今月の特集記事では主にマルウェアや法律に焦点を当てていますが、その後のDavid Harleyによる記事「多様化を見せた2013年の詐欺メール」では、私たちがWe Live Securityブログで取り上げたいくつかの詐欺について見ていきます。それでは御一緒に2013年を振り返って参りましょう。

1月は、目まぐるしかった2013年の中でも特に慌ただしい月でした。Stephen CobbとCameron Campはそれぞれ、デバイスの盗難に関する統計情報盗難対策についての記事を執筆しました。後者のアドバイスは、ホリデーシーズンが終わり、多くの消費者がセキュリティ対策の必要なデジタル製品を新たに手にしたこの時期にマッチする、再度確認しておくべき極めてタイムリーな情報です。

Robert Lipovskyは、脆弱性に関する簡潔な警告と特定の脅威の詳細情報をまとめました。この警告の対象であるJavaの脆弱性(CVE-2013-0422)は、幅広く使用されているエクスプロイトパック数種に存在するため、攻撃者が入手しやすくなっています。Robertはまた、Facebookの認証情報や、Facebookアカウントにリンクされたクレジットカード情報、オンラインポーカーゲームZynga Pokerのアカウント情報を狙うPokerAgentと呼ばれる注目すべき脅威についても詳細に解説しています。オンラインゲーム関連情報をターゲットとするオンライン犯罪はこれまでにも確認されていましたが、Zynga Pokerを標的とした脅威は今回が初めてでした。

Alexis Dorais-Joncasは、1/23の記事1/30の記事でJabberbotを取り上げ、マルウェアの戦略における新たな興味深い変化について論じました。長年、ボットと指令(C&C)サーバー間の通信にはさまざまなプロトコルが使用されてきましたが、IMプロトコル(Jabberで使用されていたプロトコル)を使用するボットはJabberbotが最初の例です。将来的なボットによるIMの使用は、2006年のVirus Bulletinカンファレンスでの私の最初のプレゼンにおけるテーマでもあったので、これは特に興味深い展開でした。とはいえ、以来7年の間、名前が上がらなかったことからもわかるとおり、AIMはマルウェア作者が選ぶIMプロトコルの候補に残らなかったようです。

コンピューターセキュリティ業界の周辺では、「アンチウイルスは死んだ」という声がたびたび聞かれます。一部の評論家は、アンチマルウェアソフトウェアは「支払った金額に見合った」保護機能を提供していないと考えているのです。こうした主張ではたいてい、シグネチャベースの保護の検出率に関する統計情報が引き合いに出されます(統計情報は評価の高いアンチウイルス製品のみを対象としているわけではなく、またこの種の保護についてもセキュリティスイートの一コンポーネントにすぎないのですが、彼らは気にしないのでしょう)。その上、一部の設計の甘いテストがたびたび、こうした統計情報の参照元とされています。David Harleyは、実にひどい主張と手法を用いた擬似テストの問題に対応しました。Davidは続いて、Larry Bridwellとともに、AVARカンファレンス向けの論文「セールスフォースの終焉:アンチウイルスに何があったか?」でこの問題を再度考察しています。

 

2月には、近年発見された興味深いマルウェアの記事をはじめ、数多くのレポートが公開されました。Aleksandr Matrosovは、トロイの木馬Redymsファミリーの概要とTDLマルウェアファミリーとの類似点、さらに感染ユーザーの検索トラフィックのハイジャックについて論じました。Aleksandrはまた、Caphawファミリーについても取り上げ、各種モジュールの利用による検出回避や、その他の機能についても詳細に解説しています。このマルウェアは、感染ユーザーがアクセスする銀行のWebサイトに偽のデータを埋め込み、偽の銀行の連絡先情報と残高情報を表示して、ユーザーが気付かないうちに口座から現金を引き出す企みで広く知られています。

Alexis Dorais-JoncasはWin32/DoS.OutFlare.Aに関する記事で、マルウェア作者とアンチDDoSサービスの間で起こり得る軍備競争について取り上げています。セキュリティベンダー各社は、自社製品と犯罪者の間で繰り広げられるいたちごっこに慣れてしまっているでしょうが、DDoS攻撃対策を回避しようとする試みはこのマルウェアで初めて確認されました。

またいくつかの記事では、一見無害な手段によって拡散されたマルウェアの危険性についても論じています。ユーザーの間で人気の高いマルウェア削除ツール、「ComboFix」絡みのインシデントに注目したのはRighard Zwienenbergです。このツールは簡単に利用できるのですが、ダウンロードすると攻撃者の間で人気の高いウイルスSalityの亜種に感染してしまうというサプライズ付きだったのです。Righardはまた、職場におけるセキュリティポリシーにはモバイルデバイスも対象とすることの重要性について論じ、Bring Your Own Device(私物端末の使用)からChoose Your Own Device(所有端末の選択)への移行がセキュリティとモビリティの両立につながると主張しています。Stephen Cobbは、NBC.comのサイトがマルウェアに感染していたという別のインシデントについて報告しました。このような大規模かつ人気のあるWebサイトが乗っ取られたケースは注目に値しますがその一方で、どうということもないサイトの乗っ取りも頻繁に確認されています。

前月に話題に上がった「アンチウイルスは死んだ」とのセキュリティ論に反論するがのごとく、ほとんどのコンピューターユーザーにとって「無料のアンチウイルスソフトウェアで十分」という意見が出ました。真っ向から相対する意見ですね。しかし、現実に即した統計情報の分析は常に有益です。ユーザーが実際に行っているセキュリティに関する習慣や行動が見えてくるからです。David Harleyは、アイルランドユーザーに関する統計情報をレビューし、調査対象の約半数が無料のアンチウイルス製品を使用している事実を確認しました。

 

3月は、Windows以外のプラットフォームでのマルウェアやセキュリティの問題に関する議論が数多く交わされました。Androidユーザーが現在直面している脅威状況と、初期のWindowsの状況との類似点について、Stephen Cobbが考察しています。どちらも当初は安全とは言い難いプラットフォームという評価でしたが、Androidもより安心して使えるように一刻も早い進化を期待したいところです。Cameron Campも、Androidセキュリティの別の側面、特にGoogleが広告ブロックアプリをGoogle Playから削除したことについて論じました。広告ブロックアプリはあらゆるプラットフォームで広く利用されており、信頼性が低いとみられる他のソースからこうしたアプリを入手しようとするユーザーが出てくる可能性があります。

一方Macについては、Stephen Cobbが、映画の予告編など、メディアを再生するリンクの背後に潜むアドウェア型トロイの木馬プラグインYontooに対する、OS Xユーザー向けのセキュリティ対策をまとめています。Stephenはまた、Appleによるセキュリティ強化に伴い発覚したAppleIDのパスワードリセットに関する問題について調査。今回のセキュリティ強化は、ジャーナリストのMat Honan氏が、Appleを含むベンダー数社の認証プロセスに不備があったとして自身のデジタルプレゼンスがハッキングされたと明らかにしたことに起因していました。

金融機関を狙うマルウェアに関連する1組のトロイの木馬を分析した、Aleksandr Matrosovの連載記事も興味深い内容です。最初の記事ではTheolaを取り上げています。このマルウェアは、前月にAleksandrが分析したトロイの木馬Caphawと同様、bootkitなどさまざまなコンポーネントを使用してターゲットの銀行口座に不正アクセスします。連載2回目では、トロイの木馬のGapzとRedymsをたびたびダウンロードしているボットビルダーPowerLoaderについて調査しています(Redymsについては前月にも考察)。次の記事では、Carberpファミリーを観察しながら、PowerLoaderとトロイの木馬Gapzで見られる動作の類似点を説明。記事のタイトル「never-ending story」が示すとおり、終わりが見えません。

この時期は毎週のように、ベンダーがセキュリティ侵害を受けた、ユーザーのパスワードが盗み出されたといった事件が起きていたようです。そして多くの場合、被害に遭ったベンダーがすぐさまユーザー保護のために2ファクタ認証の導入を決定した、というニュースが続いて報じられるという流れでした。しかし、それはどのような認証を指し、何を伴うのでしょうか。David Harleyはその回答を示すとともに、この認証機能が利用可能になった際に問題が発生する理由について説明しています。

 

4月は、まずStephen CobbAlexis Dorais-Joncasが、ボストンマラソンのテロに便乗してユーザーを陥れようとする、詐欺などサイバー犯罪発生に警戒するよう呼びかけました。これは犠牲者の身を案じ、支援したいという純粋なユーザーの気持ちを悪用して、ワナへとおびき寄せようとする手口の好例といえます。

ユーザー心理につけ込んで金銭を奪うという手口は他にもあります。Jean-Ian Boutinが解説した偽のアンチウイルスソフトウェアも、ユーザーのマシン上でマルウェアが検出されたとでっち上げて、画面をロックするというものでした。不安を感じたユーザーは、ありもしないマルウェアの削除とロック解除を手伝ってくれるというサポート業者に問い合わせます。そのサポート代としてユーザーが支払うわずかな料金こそが犯罪者の目的です。これは、偽のアンチウイルスソフトウェアにランサムウェアと電話サポート詐欺を組み合わせた一風変わった手口です。

前月のWindows以外のOSを狙うマルウェアの分析で、特に取り上げられなかったLinuxユーザーには、Pierre-Marc Bureauの記事が参考になります。感染したApacheサーバーで検出されたバックドア、Linux/Cdorked.Aからの防御と復旧に関する情報をまとめたシリーズは5月まで続く予定です。マルウェアに狙われることのないOSなぞ存在しないのです。

4月の終わりには、Aleksandr Matrosovが、相互に関連するマルウェアファミリー数種の終わりのない物語に新たな章を追加しました。彼はこの章で、ボットビルダーPowerLoaderが作成したトロイの木馬によってダウンロードされる、Gapzファミリーを深く掘り下げています

 

5月には、Pierre-Marcによる、Cdorked.Aに関する連載記事が引き続き公開されました。Stephen Cobbは、さまざまな手法で検出されているこの脅威のステルス活動を明確化しています。次いで、Marc-Etienne M.Leveilleが、Apacheに加え、Lighttpdやnginxなど、このマルウェアに実際に感染したサーバーについて取り上げました。最後に、StephenがCdorkedのコンテキストについてまとめ、Apacheサーバーがマルウェア作者から狙われやすい理由を説明しました。これらのシステムで検出される各種脅威について解説するとともに、システムの保護方法に関するロードマップも示しています。また、その他のオペレーティングシステムを使用しているユーザーに対しては、各組織が自社に合った対策を講じる上で役立つさまざまなリソースを含む、セキュリティロードマップの拡張版を公開しました

Aleksandr Matrosovは、複雑なモジュール型の脅威(今回はAvatar rootkit)を再度徹底的に解析しました。アンダーグラウンド市場で購入できるモジュール型の脅威は、従来のソフトウェアと同じように、高度なプログラミングインタフェース(API)とソフトウェア開発キット(SDK)を提供しているため、追加のモジュールを作成して機能性を高めることが可能です。このrootkitは一般ユーザーにとっては歓迎できない存在といえるでしょう。1月に取り上げたJabberbotのように、新たなC&Cメソッドを使用しているほか、Yahoo!フォーラムへの投稿を介して活動するため、ボット通信の遮断が極めて困難となっています。

ターゲットを絞った標的型の攻撃は近年のマルウェアのトレンドの1つですが、2013年は、特定の国や民族を狙った脅威が多数確認されました。5月には、世界各国を標的とするこうした脅威に関する記事が3件公開されています。まず、インド軍事機密であると称しパキスタンのユーザーや組織から機密情報を盗み出そうとするスパイウェアの事例を、Jean-Ian Boutinが調査しました。続いて、Alexis-Dorais Joncasは、ネパールと中国で主に検出され、チベット関連のブログへの投稿により拡散していたSyndicasecファミリーを取り上げました。そして最後にRobert Lipovskyが、スロバキアの税務署を装った電子メールに仕掛けられたSazooraマルウェアの活動について詳細に解説しています。

マルウェアが及ぼす影響を日々確認しているとストレスがたまります。対抗しようとすれば法律や倫理が立ちふさがり、一方で悪人たちは、お構いなしのやりたい放題なのですから。法律や倫理は人によって受け止め方が異なります。悪人が使用する手法を「正義」のために使用しようと主張する人も今後現れるでしょう。David Harleyは、知的財産の保護対策として、ランサムウェアが用いる手法と酷似した手法を利用しようという提案に関する記事で、このアプローチがはらむ危険性についてコメントしています。

 

6月は、標的型攻撃に関する記事が多く公開されました。先陣を切ったのは、Jean-Ian Boutinによる前述のチベット関連のマルウェアのキャンペーンのOS X向けの亜種の分析です。こうした標的型攻撃の方が、発生元がようとして知れない広範に拡散しているマルウェアより、犯罪者の特定が簡単と思うかもしれません。Aryeh Goretskyは、インターネット上のアトリビューション(帰属)分析が非常に厄介であることを思い出させてくれました。明確な証拠が見つかったとしても、本当の発生源から注意をそらすために用意されたものであるという可能性もなかなか捨てきれません。

Aryehはまた、Windows 8のリリースからの最初の6か月をセキュリティの観点からまとめたホワイトペーパーを公開しました。OSの最新バージョンWindows 8は、これまでのバージョンと比較して大幅な変更が加えられているほか、セキュリティも強化されています。しかし一方で、この変更が多くのユーザーの間で問題化している実態も明らかになっています。アップグレードに躊躇したり、以前の「スタートメニュー」に戻すユーザーも少なからずいると聞いています。

この月も、モバイルユーザーの間でますます高まる懸念に関連した、セキュリティ戦略に関する記事がいくつか公開されました。Stephen Cobbは、現在の医療業界における、セキュリティの問題を含む状況を踏まえた上で、遠隔医療の未来について予測しています。彼はまた、多くのユーザーがまだマルウェアの視界に入っていないと油断している、スマートフォンやタブレットなどのホームデバイスを保護するためのヒントをまとめました。もちろん、こうしたデバイスを自宅に置きっ放しにするユーザーはまずいないでしょう。David Harleyは、職場に私物のデバイスを持ち込むメリットとデメリットについて解説しています。接続性の改善により生産性向上に貢献すると認知されつつある一方で、ITの一元管理がいかに難しくなるかを論じました。

 

7月には、第3回重要インフラのサイバーセキュリティフレームワークワークショップ(Critical Infrastructure Cybersecurity Framework Workshop)が、国立標準技術研究所(NIST)による指揮の下、米国カリフォルニア州サンディエゴにて開催されました。米国における重要インフラのサイバーセキュリティ改善のために、利害関係者と協力して自発的なフレームワークを策定することを目的としており、Stephen Cobbが取り上げました。Stephenはその後、ワークショップの内容と交わされた議論についてまとめ、このフレームワークを義務付け、取り締まる必要があるか論じています。

本記事の執筆時点で、Bitcoin1単位の取引価格は約1,000米ドルを前後しています。その高い相場が奏功して、他に続く多くの似たような「暗号通貨」の創出を後押ししました。マルウェア作者は、一般大衆が認知するようになるずっと以前からこの代替「通貨」に目を付けており、かなりの長期にわたりBitcoinの窃盗に精を出してきました。実際、Robert Lipovskyが説明しているとおり、マルウェアMSIL/PSW.LiteCoin.AがLitecoinを盗もうとしていたことが発覚しています。この記事では、C&Cサーバーとの通信にTorの秘匿サービスを使用しBitcoinを狙うトロイの木馬、Scoinetについても言及されています。その後には、Aleksandr Matrosovも記事を執筆、マルウェアの隠ぺいや通信を目的として利用が増えているTorの詳細な情報を提供するとともに、その実例であるAtraxマルウェアファミリーとWin32/Agent.PTAの2つのボットを解析しています。

Sebastien Duquetteが説明するとおり、2013年の初めに高い注目を集めたCdorkedの問題を想起させるDarkleechも同様にApacheのシステム上のサーバーのバイナリーを変更します。しかしDarkleechは、ランサムウェアのコンポーネントを含む他のモジュールをいくつか追加します。Expiroウイルスとその亜種も、同じく古い脅威に新しい機能を追加します。Artem Baranovは、従来の32ビットファイルに加え64ビットの実行ファイルにも感染するといった機能面における変化を分析しました。

 

8月に入ると、HIPAA 2.0のコンプライアンスの遵守が緊急性を帯びるようになりました。Stephen Cobbは、これらの新しい規制の重要性と、前年にHIPAA 1.0に準拠していなかった人に科されたペナルティーをまとめています。彼の2つ目の記事では、米国の医療業界においてデータのプライバシーが極めて重要である理由(そしていまだ十分に確保されていない理由)を理解する上で役立つ統計情報をご覧いただけます。

新たな詳細情報が明るみに出たのに伴い、一部の研究者は、1年を通じて私たちが分析してきたマルウェアファミリーの今なお続く歴史を再度考察しました。執筆時点では一部の機能が利用可能でなかったため、前回のAvatar rootkit分析では、脅威のペイロードは何かという疑問が未解決のままでした。Aleksandr Matrosovはこの疑問の答えを示すとともに、身を守るための戦略について解説しています。

不正モジュールDarkleechに関する7月の記事を受け、Jean-Ian Boutinがこの脅威によってダウンロードされたコンポーネントであるランサムウェアのNymiamを分析しました。しかし、ここで共演していたのはこれら2つのファミリーだけではありません。Jean-Ianは他の少数のファミリーとの連携も突き止めました。同様に、Powerloaderへのアップデートに関するAleksandr Matrosovの記事も、リークされたPowerloaderのコードをマルウェア作者がどのようにして利用して、さまざまなマルウェアファミリーの機能をアップデートしているかを明らかにしています。

8月の後半には、まったくの予想外の展開が目を引きました。人気の高いダウンロードマネージャーOrbitalに、外部からの遠隔操作によって分散サービス妨害(DDoS)攻撃を行うコンポーネントが含まれていたことが判明したのです。Aryeh Goretskyは、この奇妙な新機能の発見について解説しています。

プライバシーやマーケティング、強力な機能と倫理のバランスを維持することは、正規のソフトウェアベンダーにとって厄介な課題です。これはセキュリティベンダーにも当てはまり、アンチウイルスベンダーはこれに対処するためのささやかな試みとして、マルウェアを作成する個人には完全に近づかないようにしています。David Harleyは、ほとんどのマルウェアは金銭搾取のために作成されていることが2つの意味で真実である理由を解明しています。

 

9月は、春夏を通じてチェコ共和国やトルコ、ポルトガルのユーザーをターゲットにしていた新しい高度な銀行標的型トロイの木馬、Hesperbotに関する、Robert Lipovskyによる連載記事とともに始まりました。これまでにもESETで検出されており、PDF形式の請求書や送信通知書を装ってメール添付されるケースが多いHesperbotは、感染ユーザーの銀行口座情報を盗み出す実行ファイルです。

ほぼ同時期に、トロイの木馬Cryptolockerも偽装を開始。当初は、送信通知書や請求書に見せかけた「.PDF.EXE」ファイルをメール添付で送りつけるという、類似した手法をたびたび採用していました。Cryptolockerの初期の亜種も検出され広範に拡散するようになると、Robertは感染ユーザーのファイルと引き換えに金銭を要求する別のトロイの木馬Filecoderのカテゴリーについて説明しました。これらのFilecoder数種で、Remote Desktop Protocol(RDP)が共通の拡散メカニズムとして採用されており、インターネット全体に拡散しないよう、Windowsのこの機能をロックダウンするための手順やアドバイスをCameron Campが紹介しています。

米国テキサス州ダラスで行われた、国立標準技術研究所(NIST)による、第4回サイバーセキュリティフレームワークワークショップが閉幕。ディスカッションのトピック「サイバーセキュリティ保険」について、Cameron Campが取り上げました。この種の保険について長期間の議論が交わされてきましたが、今日では保険会社も被保険者もどちらも真剣に受け止め、適切な保証範囲の確立に向けて動いています。遺憾ながらNISTは、米国家安全保障局(NSA)の暗号化標準の確立においても名前が挙がりました。Stephen Cobbは、この情報を考慮して、暗号化の必要性の検討に関する企業向けのアドバイスを提供しました。

承認制のコメント欄が設置されたブログにおいて、コメントが拒否されるか否かはどのように判断されているのか疑問に思った経験はありませんか。David Harleyはこの点に着目し、一般に検討される項目を明確にしています。例えば、コメントが否定的であったとしても、建設的で礼儀正しければ 間違いなく掲載されるはずです。逆に、コメントが好意的であっても、ブログの内容と関連が薄い外部サイトへの誘導が主な目的であるとすれば、削除される可能性が高いでしょう。

 

10月はまず、テキサス州ダラスで開催されたNISTによるフレームワークワークショップについて、Stephen Cobbがさらに深く掘り下げました。会議で取り上げられた疑問の1つは、新たな規制が重要インフラのセキュリティの向上につながるかどうかでした。月の終わりには、予備的サイバーセキュリティフレームワーク(CSF)に関する意見を募集し、Stephenが説明したように、プライバシーと自由権に関するセクションが追加されました。

2013年のトレンドを具現化した脅威を1つ挙げるとすれば、謎に満ちた機能と解析対策機能を備えた人気の高いダウンロードマネージャーは外せません。この脅威はまた、特定の国を標的としており、さらにAndroid OSのコンポーネントをダウンロードします。これに該当するのが Kankanです。Joan Calvetによる分析が示すとおり、上記の条件を上回る能力を備えています。

続いて脅威の戦略の変化についてですが、Jean-Ian Boutinが報告したように、Nymiamは1年以上にわたり、多くの脅威のファミリーの間で人気の高いBlackhole Exploit Kitの利用から、検索エンジンのポイズニングへと切り替えています。ユーザーがポイズニング攻撃を受けた検索結果をクリックすると、アーカイブがダウンロードされます。このアーカイブ内には、使用された検索キーワードに似た名前の実行ファイルがあります。多くの場合、HesperbotやCryptolockerのような「PDF.EXE」で終わるファイル名です。最終的には、ターゲットの国の警察からの警告に見せかけて画面をロックし、ロック解除と引き換えに300米ドルを要求します。

アンチマルウェア業界の秋の主要イベントといえば、Virus Bulletinの年次カンファレンスです。2013年は、David Harleyと私が、Mac向けセキュリティ製品のテストの難しさといくつかの可能性を秘めた解決策に関する論文を公開。私たちは長きにわたり、サードパーティによるテストとMac向けのマルウェアに強い関心を示してきました(これは、同カンファレンスでのDavidの14回目となるプレゼンテーションのテーマであり、彼は論文作成に至るまでの過程をまとめています)。

最後に言及する10月の出来事といえば、ESETのセキュリティに関する情報サイトWe Live Securityに私の最初の記事が掲載されたことでしょうか。グローバルに展開するネットワークサービスプロバイダーのAkamaiは、インドネシアが悪意のあるトラフィックの最大の発生源であることを示すレポートを公開。マルウェアの主な発生源として同国の名前が挙がるケースはこれまでになかったので、私も驚きました。しかし、インドネシアにおけるインターネットの利用状況や特徴について詳細に見ていくと、その統計情報への疑問はすぐに解消されました。

 

11月には、元米国家安全保障局(NSA)のスノーデン氏による、大規模な監視活動に関するさらなる暴露があり、ESETはこの事態がどのような影響を及ぼすかに着目しました。世論調査から、インターネットや大規模なテクノロジー企業に対する消費者の信頼が薄れていることが明らかになり、Stephen Cobbは今回の暴露が企業の収益にどのような影響を与え得るかを解説しています。ほぼ同時期に、デジタル権利擁護者や学識者の連合がアンチウイルスベンダーに対する公開書簡を発表、NSAのマルウェアの検出について質問をしました。Andrew Leeはこの書簡に対するESETの回答として、ESETはその発生源を問わず、すべてのマルウェアを検出していると説明しました。

GapzやPowerLoaderのトロイの木馬ファミリーには、さらなる展開が予想されていませんでしたが、Pablo RamosがSkypeやGTalkなどのIMクライアントを利用する新しい拡散メカニズムを紹介して注目を集めました。この手法は目新しいものではありませんが、いまだ有効であるのは明らかです。11月は、かつて大きく注目されたMorrisワームの誕生25周年に当たります。この脅威に関するあまり知られていない5つの事実をSebastian Bortnikが明らかにし、当時よりインターネットが進化した点(および進化しなかった点)をいくつか示しました。

ゲストライターを務めたGraham Cluley氏は、マルウェアにおける変化、そしてこの新たな現実に安全に対処するために行動をどのように改めるべきかというトピックを展開。アンチマルウェア製品はいまや、一台のマシンを保護するシンプルなプログラムという枠を超え、インターネット全体を保護する上で役立つ、グローバルな免疫システムの一端を担うようになっています。

インターネットのような相互接続されたグローバルなコミュニティーの一員にとって、甘美な日々が長続きするわけもなく、一部のユーザーには恐怖のシナリオとなる可能性もあります。私は連載記事の中で、ユーザーがそのような状況に陥った場合に、自身を適切に保護するための手段をまとめました。最初の記事では、家庭内暴力に苦しむ人のプライバシーを保護し、個人情報が犯罪者の手に渡る事態を極めて困難にするための方法について解説しています。続いての記事は、オンライン犯罪の危険から子どもの安全を確保する上で役立つ、親や子どもたちと関わりの深い大人向けのガイドとなっています。

これらの例は、オンラインセキュリティと保護は誰に責任があるかという疑問を浮き彫りにします。Stephen Cobbは、ESETがHarris Pollに委託したこのトピックに関する調査の結果について論じました。調査では、オンラインセキュリティやプライバシーを担当していると思われる人についてさまざまな質問を尋ねました。また、自身や友人、家族のプライバシーを保護するために講じている措置にも着目しています。ソーシャルメディアへの態度に焦点を当てたこの調査は、大きな注目を集めました。

11月にはまた、WindowsとMac OS Xの両オペレーティングシステムにおいて、セキュリティの改善が施されました。Aryeh Goretskyは、Windowsの最新リリース(バージョン8.1)における待望かつ物議を醸すセキュリティの改善を紹介したホワイトペーパーを新たに発表。Mac OS Xの最新バージョン(10.9:コード名はMavericks)でも各種セキュリティのアップグレードが提供されていますが、無料アップグレードの提供こそ最大の改善点であるというのが私の意見です。最高のセキュリティはすでにユーザーの手中にあるのです。

 

12月は、世界各地でショッピングを楽しむ消費者で賑わう月です。We Live Securityのブロガーたちも、ホリデーショッピングを念頭に置いていました。私たちは、無人機による宅配サービスを検討中の世界で最も著名なオンラインストア、Amazon.comに言及しました。このサービス導入で迅速な配送が期待できる一方、混乱やトラブルを招くだろうというのがブロガー間での共通の見解でした。Cameron Campは、被害妄想に捕らわれショットガンを手放せないアメリカの一部の人が、無人の宅配サービスをどのように受け止めるか熟考し、その見解とこのトピックの分析結果を融合させています

感謝祭からクリスマスシーズンまで、あるいは他の特定時期に収益を伸ばそうと考えているのは大企業ばかりではありません。Stephen Cobbは、小規模企業が書類情報セキュリティプログラム(WISP)を確立して、契約をより効率的に獲得するための方法を取り上げました。大企業を相手に売り込む場合、もう一歩努力を重ねれば競合他社よりも優位に立つことができます。なお、このトピックについて詳細に把握したい方のために、Stephenは関連する最新ウェビナーへのリンクも掲載しています。

研究者としての探求心がくすぐられるという理由も否定しませんが、私たちは1年を通して、極めて高度かつ急速に進化する脅威に焦点を当てています。しかし、マルウェアに関する限り、常に高度であるとは限りません。標的型攻撃の中には「高度」ではない脅威も存在するのです。Olivier Bilodeauは、最小限の複合攻撃で目標を達成する、少数の脅威に焦点を当てたホワイトペーパーを発表しました。何から何まで取りそろえれば良いとは限らないことを示す好例です。

消費者と企業の双方が直面する、極めて永続的な脅威の1つがフィッシングです。David Harleyは、「フィッシング詐欺メールの詳細分析」と題したコンパクトな論文(PDF)を発表し、このテーマを4つのパートに分けて包括的にレビューしました。また、セキュリティブログにおいて翌年のトレンド予測は、いわば毎年恒例の企画です。Stephen Cobbの記事もご覧ください。ラテンアメリカの同僚はさらに深く掘り下げ、2014年のトレンドの分析と展望についてまとめた、35ページにも及ぶ見事なホワイトペーパーを公開しています。

Cryptolockerの勢いはしばらく衰えそうもなかったので、私はCryptolockerなどのランサムウェアから身を守るための11のポイントを紹介しました。Windowsやその多くのコンポーネントを、犯罪者による攻撃から保護するための新たな技術的なアドバイスも参考になります。別のゲストライターで、ESETロシアの販売代理店のリードウイルスアナリストであるArtem Baranovがかなり詳細に紹介しています。

悲しいことに、ホリデーシーズンを休暇と思わない犯罪者は、あえてこの時期に照準を合わせて活動を開始します。Jean-Ian Boutinの記事より、銀行標的型トロイの木馬Qadarsが猛威を振るい、世界中のユーザーに感染を広げている状況が明らかになっています。このマルウェアは多種多様なWebinjectを使用して詐欺を働きます。Androidのモバイルコンポーネントにインジェクトする場合もあります。

ホリデーシーズンを過ごそうとリラックスしていたそのとき、サイバー犯罪のフリーライターBrian Krebs氏による、大規模なカード情報流出のニュースが飛び込んできました。We Live Securityでセキュリティニュースを定期的に掲載中のESET英国特派員Rob Waughは、米小売り大手Targetのセキュリティ侵害事件を、David Harleyから有用なコメントを交えて取り上げています。米報道機関よりESETに問い合わせがあり、コメントを求められたので、私は被害に遭いやすいユーザー向けのクイックガイドを作成しました。

最後になりますが、We Live Securityでは、ウェビナーに加えて、ポッドキャストも定期的に配信していることはご存知でしょうか。Aryeh Goretskyが紹介している毎週のマルウェアレポートを確認してみてください。現在、取り上げられているトピックについて大まかに把握できると思います。

多様化を見せた2013年の詐欺メール
David Harley、CITP FBCS CISSP、ESETシニアリサーチフェロー

いまや警告レベルに相当するほど効果の高い詐欺がそこら中に出回っており、実際に遭遇したユーザーには適切な初動対応が求められます。私がこれまで詐欺関連の記事の作成に注力してきたのはこうした理由からです。ESETでは事業の大半を悪意のあるソフトウェアに焦点を当てていますが、そのかたわらでWe Live Securityに掲載する技術サポート詐欺やフィッシング詐欺、419詐欺などの記事の執筆に多大な時間を費やしてきました。私たちは日々膨大な数のマルウェアのサンプルを確認していますが、(たいていの場合は極めて高度な)こうした悪意のあるコードの多くの成功可否は、結局のところ、ソーシャルエンジニアリング次第といえます。すなわち、クレジットカード情報を教えたり、怪しいサイトにアクセスしたり、不正プログラムをクリックしたりするよう、ユーザーを説得できるかどうかにかかっているのです。

ドメイン名詐欺
Aryeh Goretskyは2012年、「.ASIA domain name scams still going strong」と題した記事でドメイン登録の詐欺について取り上げました(以前に公開された本件と関連性の高い記事にも言及しています)。ここ最近はブログに登場していないテーマですが、2013年に寄せられたコメントを読み返してみると、詐欺と思われるメッセージが1年を通して出回っていた事実が判明します。以前、私の仕事用のメールボックスにも次のようなメッセージが届きました。

(Mail to the brand holder, thanks)(商標権者様に転送してください)

Dear CEO,(CEO様)

Sorry to bother you inexplicably. We are a China's domain name registration supplier, and there is one thing we would like to confirm with your company. On December 4, 2013, we received an application form online from a company called "XinHua Trading Co.,Ltd" who wants to apply for some domain names and brand name related to "eset". In order to avoid confusion and adverse impact on your company, we need to verify whether this company is a subsidiary of you or did you authorize them to register the related brand name and domain names? Currently, we have not formally accepted the application of that company, we need to get your company's confirmation. Please give us a timely response within 7 work days. So that we can better deal with this case. Thank you.
(突然このような不躾なメールをお送りして申し訳ございません。私たちは中国のドメイン名登録サプライヤーで、貴社に1点確認したい点がありご連絡させていただいた次第です。2013年12月4日、当社の元に、「XinHua Trading Co.,Ltd」という企業より、「eset」との関連性の高いいくつかのドメイン名とブランド名の登録申請がオンラインで寄せられました。貴社に混乱や悪影響が及ぶ事態を回避するため、この企業が貴社の子会社であるか、または関連するブランド名とドメイン名の登録を認可されているのかどうかを確認させていただく必要がございます。現時点では、その企業の申請を正式に承認しておりませんが、貴社の確認を取る必要がございますので、お手数ですが7営業日以内に折り返しご連絡をいただけますと幸いです。ご回答を基に適切に対応させていただきます。)

Best regards,(よろしくお願いいたします。)

さて、「こんな訳のわからない詐欺に引っかかる人なんているのだろうか」と不思議に思う方もいるでしょう。それでも詐欺師は、時間をかける価値がある成果をたびたび上げていると私たちは考えています。この詐欺におけるソーシャルエンジニアリングには、2つの考慮すべきポイントがあります。中国企業が欧米企業の商標を横取りを企むケースが多発しているかどうかは不明ですが、まずこの種のメッセージがすべて実例に基づいているとは思えません。私が同様の詐欺メールを初めて目にしたのは2004年です。英国の公共の臨床/医療機関を狙ったメールでしたが、自社を英国の病院や医療施設と偽る中国企業は現在ほとんどなさそうです。さらに、この詐欺師は「この申請を承認してもよろしいですか」とは最初から聞いていません。その後やり取りを進めていく中で、商標権を保持していない人物からの申請を承認してほしくなければ、自らドメインを購入する必要があると切り出すのでしょう。その時点で、(たとえ詐欺に巻き込まれていると自覚していなくても)CEOなり責任者が、購入は不要であると助言してくれるであろう法務部門や外部の弁護士に問い合わせるはずです。ただし実際のところは、どのような展開になるかはわかりません。彼らがESETのブログをたまたま読んでいたからか…。結末も、詐欺であると見破った人たち以外からは漏れてこないのです。

PC技術サポート詐欺
私が技術サポート詐欺という土俵に最初に足を踏み入れたのは2010年ですが、時おり、まるでこの種の詐欺の専業のような感覚にとらわれます。しかし、詐欺師たちの活動が今なお活発であるのも事実。CLSIDを用いたサポート詐欺に関する記事、最新の技術やMac固有の攻撃を紹介した記事に寄せられた一連のコメントからもわかります。とはいえ最近、インドのコールセンターの方からかかってきた電話には驚かされました。同僚との会話に忙しいのか、サポートをしようという熱意がまったく感じられなかったのですから。結局、この種の詐欺の成否は、詐欺師がどういうわけかターゲットのPCの状態を詳細に把握しているというあり得ない主張をそのターゲットが信じるかどうかに委ねられます。詐欺師は、詐欺だと見破れないユーザーを探して電話をかけ続けなければならないわけですが、ユーザーの知識向上に伴い徒労に終わる場合も多くなるはず。次第に投げ出したくなるのではないかと思う方もいるでしょう。ところが、なぜだか彼らは諦めません。それどころか、まずまず説得力のありそうな新しい手法さえ編み出しているのです。Jerome Seguraも、私がこちらで言及した興味深い手法を採用した詐欺電話を受けました。バックリンクが設定されている、Jean-Ian Boutinによる極めて関連性の高い記事とあわせてご確認ください。

ダーウィン賞に相当する詐欺メール
巧妙な手口により、違法かつ不道徳な利益が生み出されているのがこの世の常です。驚きには当たりませんし、上述した詐欺は多くのターゲットが思わず反応してしまうほどの十分な説得力を備えている、という意見も聞かれます。しかし詐欺師が、みな大学教授やクイズ王をあざ笑うかのような高い知性の持ち主というわけではありません(ごくわずかですが、ダーウィン賞(自らの愚かな行為によって、自己の遺伝子を遺伝子プールから永久に抹消した人間に贈られる賞)に相当するような人間もいます。インターネットの軽率な利用が原因で、最終的に留置所行きとなった犯罪者もいるぐらいです。2009年、侵入先の被害者のノートPCで自分のFacebookのアカウントにアクセスし、逮捕された強盗のケース「Hold the jemmy a second, I need to check Facebook」もその例でしょう)。

以下に、私のツボに入った最近のメールを3通ご紹介します。どういうわけか、いずれのメールもwestnet.com.auのアドレスから送信されているようで、同時に舌足らずな印象も共通しています。

最初の2つのメールは件名がないのがまず気になります。では、件名を記入しないでおくと、ユーザーの注意を引き付けられるのでしょうか。いやいや、そんなことはないでしょう。

mibarberralphg2@westnet.com.auは、単刀直入にお願いをしてきます(思ったことを書いただけなのかもしれません)。

I need a partner for biz(ビジネスパートナーを募集しています)

これを舌足らずと言わずして何と言いましょう。メールを受け取ったユーザーのほとんどが、何か気になって必死に突き止めようとするに違いありません。一応お断りしておきますと、私はしませんでした。
Leslieさん(schm.michh@westnet.com.au)は若干おしゃべりの方のようです。本文は次のとおりです。
 
Please contact me, we need to talk about Niclas.(Niclasのことで話をする必要がありますので連絡をください。)
Leslie Mcintyre.

Leslieさんには気の毒ですが、連絡をしようとする人がいるとは思えません(Leslie Mcintyre、あるいはNiclasという名前に覚えがあれば話は別ですが)。しかしこの送信者は、ただ受取人の気を引こうとしているだけで、おそらくは取るに足らない先払い詐欺に違いないでしょう。

さて、seaad1@westnet.com.auは努力の跡が伺えます。件名してからすでに「I am waiting for your response(折り返しご連絡をお待ちしています)」となっています。ただ惜しむらくは、件名ですべての労力を使い果たしてしまったようです。以下の本文をご覧になれば、その意味がわかってもらえるでしょう。
 
I am waiting for your response(折り返しご連絡をお待ちしています)
I am waiting for your response(折り返しご連絡をお待ちしています)

言いたいことはよく伝わりました。ただ残念ですが、この方が連絡を受けることはないでしょう。少なくとも、私からは。

 

マネーミュールと求人詐欺
一方、chuoo@hotmail.comはおしゃべりが大好きのようです。「F.S.A」と題されたメッセージで熱心にユーザーに呼びかけています。

Work with us to start your stable future.(私たちと一緒に働いて、安定した未来を手に入れよう。)

You're close to join a unique place and see inspirational things.(貴方様に合ったユニークかつ魅力的なお仕事を用意しております。)

If you are seeking for a challenging opening with a bright future, come work with us.(輝きに満ちた未来への扉をお探しであれば、ぜひ当社での仕事をご検討ください。)

We would like to offer you a new career of FSA which is untaken for now. Your CV was provided and reviewed by a recruitment agency. An opening that may fit your experience is being offered.(貴方様には現在空きのあるFSAの新しいポジションを掲示したいと思います。履歴書の方は人材派遣会社に受理され、審査済みです。貴方様のキャリアに見合ったポジションを用意しております。)

Earnings:(報酬:)

Your salary scale during the probationary period will be 1500 Pounds per month plus 8% commission from each transaction completed. Your total income could easily be about 2500.00 pounds. After the probationary period, your base wage will be 1800.00 Pounds per month, plus 8% commission.(試用期間中は1か月あたり1,500ポンドに加え、取引が完了するたびに8%の委託金をお支払いします。2,500ポンド程度であれば簡単に手にできるでしょう。試用期間後は、1か月あたり1,800ポンドと、8%の委託金をお支払いします。)

Employee Reimbursements (only after probationary period) Contain:(試用期間後は以下の待遇が保証されます。)

- Wage plus bonus(賃金+特別手当)

- Includes health and dental insurance(健康保険と歯科保険に加入)

- Paid Leave(有給休暇有り)

F.S.A.のポジションに応募される場合は、hrdepartment.test@gmail.comにまでご返信ください。

Thanks,(よろしくお願い申し上げます。)

Bobbi Power

HR Manager(人事部マネージャー)

「安定した未来」をくれるなんて、サンタクロースのような人なのかな?。

 

まずFSAの意味についてですが、これには少しばかり頭を使う必要がありそうです。組織名のF、S、Aがそれぞれ何を意味するのか、またどこかの派遣会社がこの組織に代わって募集を行っているのか、どこで何をする仕事なのか一切わかりません。報酬の支払いはポンドなので、場所はおそらく英国ではないかとみられます(英国だけがポンドを通貨単位としているわけではありませんが)。奇しくも、シリアでもシリアポンドという通貨が使用されていますが、自由シリア軍(Free Syrian Army)の求人とは考えにくいですね。フットボールサポーター協会(Football Supporters Association)は、2002年に合併してフットボールサポーター連盟(Football Supporters Federation)になりましたし、金融サービス機構(Financial Services Authority)も最近、その機能が金融行為監督機構(Financial Conduct Authority)とイングランド銀行の子会社、健全性規制機構(Prudential Regulation Authority)との間で分割されています。では、後は何が残っているでしょうか。食品安全管理局(Food Standards Agency)も考えてみましたが、同局の求人ページを見る限り、その可能性はなさそうです。そもそも、政府機関の人事部門が、Gmailでメールのやり取りをするとは思えません。

手がかりになりそうなのが、報酬に関する記述にある「取引」と「委託金」という単語です。その取引に関する詳細が伏せられているため、マネーミュール(金の運び屋)である可能性が極めて高いとみられます。仕事(内容はどう見てもマネーロンダリング)に協力してくれたら報酬を支払うと申し出るメールは約10年前、頻繁に出回っていました。メールには巧妙な作りのバックリンクが記載されており、クリックすると実際の企業のサイトと酷似したサイトに誘導されるなど、当時としてはなかなか洗練されていたケースもそこそこありました。Andrew Leeと私が書いた数年前の論文では、フィッシングとマネーロンダリングとの密接な関係を指摘しています。

フィッシング詐欺師たちは、他の商業モデルと類似した複雑な「ブラック経済」の一翼を担っています。(中略)この「経済」ではさまざまな役割や機能が必要とされます。…

…被害者の個人情報は現金に換金されます。購入者は盗み出された個人情報を基に、闇市場で売られている物品を手に入れたり、ローンや担保の足がかりにします。

…フィッシング経済において重要なのは、「財務管理」や「財務代理人」といった役職として、まずお金を受け取り、手数料を差し引いてから別の口座に移動させる、いわゆる不正送金を実行してくれる人材を確保することです。
YARD SCRAPER, INC. SOUTH AFRICA
Head Office: 131 Braamfontein,(本社:131 Braamfontein,)
Midran-Johannesburg
2050 South Africa

Good Day(拝啓)

I am Mr. Kelvin Powell, President/CEO of Yard Scraper, Inc. South Africa (a company based in the South Africa). A Company that is specialized in import and export of industrial and domestic machinery & equipment,
communication accessories and household appliances.(Yard Scraper, Inc. South Africaの代表取締役/CEOのKelvin Powellと申します。当社は南アフリカに拠点を置き、産業機器や国産機器、通信アクセサリ、家電製品の輸出入を専門とする企業です。)

We also deal on mechanical equipment, hardware and minerals, electrical products, medical & chemicals, light industrial products and office equipment, and export into America, Asia and Europe, therefore being a General Mercantile Company.(また、総合商社として、機械設備、ハードウェア/鉱物、電気製品、医療品/化学品、軽工業製品、オフィス機器も扱っており、アメリカやアジア、ヨーロッパに輸出しております。)

We currently run our business from America, Asia and Europe but I will be communicating with you from our South Africa Office where I am currently located for now. We are searching for representatives who can help us establish a medium of getting to our customers in America, Asia and Europe as well as making payments through you to us. Please if you are interested in transacting business with us we will be most glad to be your partners.(当社は現在、アメリカ、アジア、ヨーロッパでも事業を展開しておりますが、貴方様とは私が現在在籍中の南アフリカオフィスからやり取りをさせていただきます。私どもはアメリカ、アジア、ヨーロッパのお客様との橋渡し役になっていただくと同時に、お支払いの処理を担当していただける人材を探しています。貴方様が、当社とのビジネスに関心をお持ちであれば、喜んでパートナーとしてお迎えしたいと思います。)

My company is willing to offer you 10% of every payment that comes in through you to us. If you are interested, kindly forward to us the following information through my private email (infoyardscrapercompany@jmail.co.za):(貴方様を介して当社に入金があった場合は、入金額の10%のお支払をお約束します。この業務に興味がある場合、以下の情報を記載の上、私の個人アドレス(infoyardscrapercompany@jmail.co.za)へご連絡ください。)

Full Names(氏名)
Company Name(企業名)
Telephone & Fax Numbers(電話番号/FAX番号)
Full contact addresses(連絡先)
Age(年齢)
Sex(性)

Please note that your area of specialization or occupation is of no relevance to resolve to assist us.(なお、貴方様が専門とする分野やキャリアを基に、私どもの仕事のサポートをお願いしているわけではありませんのでご了承ください。)

Thanks in advance.(よろしくお願いいたします。)
Sincerely.(敬具)
Kelvin Powell
President/CEO of Yard Scraper, Inc.(Yard Scraper, Inc. 代表取締役/CEO)

不正送金やマネーロンダリングに加担させる詐欺は通常、フィッシング詐欺と同じタイプの機関を装うことはせず、またターゲットの口座を空にすることを目的としていません。この種の詐欺師たちは、ターゲットを「マネーミュール」として利用する点に重きを置いています。地元で何らかのエージェントとしての仕事を探しているユーザーに、メールや求人サイトを利用して「仕事」を掲示します。運び屋はたいていの場合、特定の金融機関で正規の口座を新たに開設するよう要求されます。同じ金融機関にある、フィッシングの被害に遭った口座資金の移動を容易にするためです。正当な求人であるように思わせるため、長めのメッセージになる場合もあります。大規模かつ複雑なWebサイトが用意されているケースもあります。

しかし、これらのメッセージはいまだ陰りが見えません。ESETアイルランドのUrban Schrottは、ブログ記事「Irish unemployed baited by online scammers」で、求職者を食い物にする無情な連中について執筆しました(断っておきますが詐欺師の話をしているのであって、我が政府のことではありません)。

いまや求人情報は、419詐欺などの先払い詐欺(Advance Fee Fraud)関連の仕事か、薄給の在宅ワークで埋め尽くされているのかもしれません。一方、Urbanは、マネーミュールとしてマネーロンダリングに加担させようとする仕事だけ掲載している、とりわけ不快なメールも紹介しています。その純真さゆえに自分は真っ当な会社に勤め、法律違反など一切犯していないと信じ切ってしまい、警察の訪問を受けて初めてその事実に気付くことになる被害者もおり、何とも不愉快です。

フィッシング詐欺に遭いやすいユーザーの特徴
今月号では、これ以上フィッシング詐欺について取り上げるつもりはありません。2013年に公開した2つのブログシリーズ(こちらこちら)で広範にカバーしているほか、こちらの記事ではフィッシング攻撃に引っかかりやすいユーザーの特徴を述べています(固定観念という落とし穴を回避しながらプロフィールを作成する方法は、あまり明確ではありません)。

知り合いに成りすます振り込め詐欺
ESETアイルランドの同僚は2013年、アイルランドユーザーのメールボックスに届いたお馴染みの詐欺メールについて報告しました。この「ロンドニング」については過去にも詳細に取り上げたことがありますが(こちらこちらなど)、こちらの長めの記事の簡単な概要を以下に記しておきます。

ターゲットの知り合いとされる人物(友人や家族)が、海外滞在中に(たいていは強盗に銃を突き付けられて)所持金を失い途方に暮れている、と連絡してきます。一時期、アメリカ人が、ロンドンに滞在しているという友人や親族からこのような連絡を頻繁に受けていた事実から、この種の詐欺はロンドニングやロンドン詐欺という名で呼ばれています(ただしターゲットが英国にいる場合は、ナイジェリアのラゴスのようなさらに遠隔の地が強盗被害の発生場所として選ばれていたでしょう)。そしてご察しのとおり、いくらか工面してもらえないかと要求してくるのです。

以下は最近送られてきたメールです。件名は「Unbelievable...Urgent Help!(大変なことになった。至急サポートを頼む)」となっています。

I hope you get this on time, I made a trip to Manila(Philippines) and had my bag stolen from me with my passport and personal effects therein. The embassy has just issued me a temporary passport but I have to pay for a ticket and settle my hotel bills with the Manager.(君がこのメールをすぐに読んでくれていることを願っている。今、フィリピンのマニラを旅行しているのだが、パスポートやら所持品が入ったバッグが盗まれてしまった。大使館で仮パスポートは発行してもらえたのだが、航空券の支払いとホテルの宿泊費の清算を済ませなければならない。)

I have made contact with my bank but it would take me 3-5 working days to access funds in my account, the bad news is my flight will be leaving very soon but i am having problems settling the hotel bills and the hotel manager won't let me leave until i settle the bills, I need your help/LOAN financially and I promise to make the refund once i get back home, you are my last resort and hope, Please let me know if i can count on you and i need you to keep checking your email because it's the only way i can reach you(銀行にも問い合わせたが、私の口座残高を利用できるようになるには3~5営業日ほどかかるらしい。運の悪いことに、私のフライトは目前に迫っているのに、ホテルの宿泊費を清算しない限りチェックアウトは受け付けないとホテル側に言われた。そこで申し訳ないが送金をお願いできないだろうか。もちろん帰国したらすぐに返す。君が最後の頼みの綱だ。このお願いを聞いてもらえるか折り返し連絡してほしい。また、君にしか連絡できないのでメールはこまめにチェックしてもらえると助かる。)

Regards,(どうかよろしく)

Farrell

まあ、確かに「大変なこと」に違いありません。話の内容は論理的におかしく、文の調子も一貫していません。挙句、このメールはセキュリティリストに登録されているすべてのユーザーに送信されていたのです。頼める人が他にもたくさんいるみたいですから、Farrellさんは大丈夫でしょう。

419詐欺(先払い詐欺)
「ロンドンで足止めを食らった」とする詐欺、すなわち「ロンドニング」(もちろん、毎回ロンドンで発生しているとは限りません)はたびたび、西アフリカ、特にナイジェリアとの関連性の高い419詐欺(先払い詐欺)のスピンオフであると考えられています。419詐欺に関する私の記事は、2013年のみならずそれ以前から、ESETやその他のサイトに掲載されてきましたが、近々別のブログでこのテーマの再考を予定しています。もうしばらくお待ちください。なお、以下のESETの論文も参考になるかもしれませんのでぜひご覧ください。

その他の詐欺の手口
この1年を詐欺関連のブログ執筆に費やすことができていたら申し分なかったのですが、興味深い事例は他にもまだたくさんあります。詐欺だけに専念するわけにはいかないので(ただ犯罪心理学と被害者学の観点から、このトピックは大変興味深いと思っています)、表面的な内容で終わっているケースも多々あります。以下に、私の目に留まったその他の興味深い詐欺の例をいくつか記載しておきます。

続いて、私のお気に入りの年末用詐欺メールを2つご紹介しましょう。1件目の差出人は、g3jbxyo8zk{at}myway.comとなっています(ウェールズ系の名前でしょうか)。

件名は、「Diploma?(ディプロマを取得しませんか?)」となっています。本文には同じ英単語(およびクエスチョンマーク)、そして短縮URLが記載されています。ありがたい申し出ですが、すでに必要なディプロマをすべて取得していますので結構です(近いうちにいくつか失効するかもしれませんが、それはまた別の記事でお話しします)。

以下のフィッシングメッセージは陽気な印象を受けます。

mal1313_img01.gif
Tax Refund Confirmation(税金還付の確認)
You are eligible to receive a tax refund of 868.50 GBP.(あなたは868.50 GBP(英国ポンド)の税金の還付を受けられます。)
Please submit the tax refund request and click here by having your tax refund sent to your Credit Card Account in due time.(税金還付のリクエストを送信し、こちらをクリックしていただければ、あなたのクレジットカードに税金が払い戻しされます。)

Please continue here to have your tax refund sent to your Credit Card Account,(クレジットカードで税金の還付を受けるには、こちらから手続きを続行してください。)
Note : A refund can be delayed for varieties of reasons, for example submitting invalid records or applying after deadline.(注:入金は、送信された情報が無効である場合や期限後にお申し込みをされた場合など、さまざまな理由により遅れることがあります。)

Best Regards(敬具)
HM Revenue & Customs(歳入関税庁)

英国のほとんどのユーザーは、このメールを読んでどことなく不審に感じるのではないでしょうか。特徴を以下にまとめてみます。

  • hmrc.gov.ukのような説得力のあるアドレスではなく、公式のアドレスとは思えないメールアドレスinfo@hm.mobiが使用されています(もちろん、この種のメッセージでは、本当の歳入関税庁から送信されたかのようにヘッダーが偽装されている可能性があるため、アドレスからメールが本物であると見極めることはできません)。
  • 英国女王陛下の収税人が、クレジットカード情報を要求するのは筋が通っていないように思えます。市民が所得税をクレジットカードで払うケースはまずあり得ませんから。もちろん、銀行口座で支払いを受け取れるようにするために認証情報を提供する必要はないので、脆弱な銀行口座の情報を手にしたところで詐欺師はほとんど何もできないでしょう。
  • 英語がどこか不自然です。
  • メッセージの上部に本物そっくりのHMRCのロゴがあります。

しかし、女王陛下お抱えの倹約家や公認の高利貸しが税金の払い戻しを自発的に申し出るというのはさすがに考えにくく、多くの人が「Tax Refund Security Confirmation(税金還付のセキュリティの確認)」という件名を目にした時点で噴き出してしまうのではないかと思います。

ESETのコーポレートニュース

2014年の脅威の動向を予測した年次レポートを公開
ESETは、2014年の脅威の動向を予測した年次レポート「2014年の脅威の動向 - インターネットプライバシーという課題」を公開しました。2014年版では、米国家安全保障局(NSA)の元職員エドワード・スノーデン氏が明らかにした同局の情報収集活動の実態を引き合いに出し、オンラインでのプライバシーについてユーザーの間で高まる懸念をメインのトピックとして取り上げています。2014年のトレンドとしては次の3つの主要分野をピックアップし、それぞれ詳しく解説しています。

  • インターネット上での保護を強化するプライバシーとメカニズムの欠如。
  • Android OSを狙うセキュリティ脅威。
  • その他のトレンド:ランサムウェアという形式の新たな不正コードの拡散手法(Cryptolockerのようなファイルコーダーなど)、Javaに潜む脆弱性、ますます高度化するボットネット。

Bitcoinを盗み出す高度な銀行標的型トロイの木馬「Hesperbot」の標的がドイツやオーストリアのユーザーにまで拡大
ESET本社のマルウェア研究施設より、猛威を振るう銀行標的型トロイの木馬「Hesperbot」の新たなキャンペーンが報告されました。ESETが以前明らかにしたように、Hesperbotは、信頼できる組織に関連した一見まともな配信キャンペーンを装ってターゲットをおびき寄せ、このマルウェアを実行させようとします。新たに、ドイツとオーストリアの金融機関やユーザーをターゲットとして狙いを定めるようになったHesperbotについて、ESETのクラウド型マルウェアデータ収集システムであるLiveGridRと研究者による解析が明らかにしています。一方で、チェコ共和国では引き続き大規模な感染被害が確認されています。詳細については、Robert LipovskyがWeLiveSecurity.comに投稿した、Hesperbotの新たな標的に関する記事でも確認できますので、ぜひご覧ください。

銀行標的型トロイの木馬「Qadars」、オランダ、フランス、イタリアのユーザーを標的に
ESETカナダのマルウェア研究施設では最近、オランダを中心に(検出された感染件数の75%。その他のターゲットはフランス、イタリア、カナダ、インド、オーストラリアなど)世界各地のユーザーを標的としている、非常に活発な銀行標的型トロイの木馬「Qadars」を分析しました。Qadarsは、多種多様なWebinjectを使用してネットバンキングの2ファクタ認証システムを回避し、ユーザーの銀行口座にアクセスできるようにします。Androidのモバイルコンポーネントにインジェクトする場合もあります。詳細については、Jean-Ian BoutinがWeLiveSecurity.comに投稿した、Qadarsに関する記事でも確認できますので、ぜひご覧ください。

マルウェアランキングトップ10
1. Win32/Bundpil[全体の約3.96%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。通信にはHTTPプロトコルが使用されます。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup

2. LNK/Agent.AK[全体の約2.21%]
前回の順位:2位
LNK/Agent.AKは、本物または正規のアプリケーション/フォルダーを実行するためのコマンドを連結して、バックグラウンドで脅威を実行するリンクで、autorun.infという脅威の新たなバージョンとなる可能性があります。この脆弱性はStuxnetの発見に伴い知られるようになり、悪用された4つの脆弱性のうちの1つでした。
3. Win32/Sality[全体の約2.02%]
前回の順位:3位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
4. INF/Autorun[全体の約1.97%]
前回の順位:4位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。 今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。 WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。 ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。
5. HTML/ScrInject[全体の約1.86%]
前回の順位:5位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
6. Win32/Conficker[全体の約1.52%]
前回の順位:7位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。 Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。 ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。 「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。
7. Win32/Dorkbot[全体の約1.46%]
前回の順位:6位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからのコントロールが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
8. Win32/Ramnit[全体の約1.45%]
前回の順位:9位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
9. Win32/TrojanDownloader.Wauchos[全体の約1.11%]
前回の順位:ランク外
このトロイの木馬は、インターネットから別のマルウェアをダウンロードしようとします。オペレーティングシステムや設定、コンピューターのIPアドレスに関する情報を収集します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートのコンピューターもしくはインターネットからのファイルのダウンロードや実行ファイルの実行、レジストリーエントリーの登録、感染先のコンピューターからの自身の削除を行う場合があります。
10. Win32/Virut[全体の約1.08%]
前回の順位:ランク外
このウイルスは、他のファイルに感染するポリモーフィック型のマルウェアです。ターゲットとなるのは拡張子がEXEやSCRのファイルで、そのソースコードの最後のセクションに自身を追加することで感染します。さらに、htm、php、aspファイルを検索し、それらに悪意のあるiframeを挿入します。IRCネットワークに接続し、リモートからのコントロールが可能です。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2013年12月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.96%を占めています。

2013年12月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESETMobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!