MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2014年4月 世界のマルウェアランキング

この記事をシェア
2014年4月の月間マルウェアランキング結果発表
目次
アップグレードが困難なWindows XPを保護するには?
David Harley、ESETシニアリサーチフェロー、ESETノースアメリカ
Small Blue-Green World

この記事は、ESETの上級研究者Aryeh Goretskyによる「2014年4月8日以降、Windows XPを保護する5つのヒント」と、シニアリサーチフェローDavid Harleyによる「サポートが終了したXPを保護する方法」をはじめとする、Windows XPのサポート終了に関する最近のESETのブログ記事を基に構成されています。

Microsoftによるサポートが終了したとはいえ、Windows XPを過去の産物とみなすのは時期尚早のようです。同僚のAryeh Goretskyは、自身のブログ記事「Windows XP、今日でサポート終了」に、XP関連のリソースへのリンクを多数掲載しています。しかし、中にはまだアップグレードがお済みでない方もいるのではないでしょうか。Aryehは、自身の別の記事「2014年4月8日以降、Windows XPを保護する5つのヒント」で、役立つヒントをいくつか紹介しています(彼はいずれ、このテーマを再度取り上げると思われます)。覚えておく価値のある情報ですので、以下にもポイントをまとめておきます。

  1. まずは、使用しているPCのファイルバックアップをこまめに取り、定期的に復元を行ってバックアップ対策に問題がないか検証します(復元先は別のPCをお勧めします)。事前に準備しておけば、大きな災難に見舞われた場合でもデータを失わずに引き続き利用できます。ウイルス感染や火災、地震などの災害に巻き込まれても、バックアップをきちんと残しておけば安心です。
  2. 次に、XPが最新の状態であることを確認します。Microsoftは、2014年4月8日をもってXP用のセキュリティ更新プログラムの提供を終了しましたが、以前のアップデートはすべて引き続き利用できますので必ず適用しておきましょう。これは、PCメーカーや、MicrosoftのWindows UpdateのWebサイトから入手可能なデバイスドライバーソフトウェア(OSが特定のハードウェアをコントロールするためのソフトウェア)にも当てはまります。
  3. OSやドライバーに加え、PC上のアプリケーションも最新版で、パッチとアップデートがすべて適用済みであることを確認します。マルウェアを作成、使用する犯罪組織が頻繁に狙うAdobe FlashやAdobe Reader、OracleのJavaといったプログラムは、OSと同様に最新の状態に維持する必要があります。Microsoft OfficeやWebブラウザーなど、その他の使用しているソフトウェアも最新版であり、最新のパッチが適用されていることを確認してください。
  4. PCをインターネットに接続する必要がない場合は、切断するか無効にして、インターネットに接続している他のマシンとのつながりを断ち切ります。インターネット経由の脅威から直接攻撃されることを回避できるほか、PC内のデータの窃盗も困難になります。
  5. 使用しているセキュリティソフトウェアの状態も確認します。XPで使用可能なセキュリティプログラムは多数存在し、その作者のほとんどが今後もXPのサポートを継続すると表明しています。一部は無償で提供されていますが、サブスクリプション形式で販売されているプログラムもあります。XPの保護に必要な機能については、本記事では解説しませんが、最低でも、シグネチャベースとヒューリスティックの検出機能の両方とファイアウォール機能を備え、何らかのホスト型侵入防止システムを搭載したセキュリティプログラムを推奨します。MicrosoftによるXPの脆弱性の修正やエクスプロイトへの今後の対応が実施されないことを考えると、この種の攻撃から保護する機能も有効です。

もちろん、今すぐXPをアップグレードできればベストですが、なかなか実行に移せない事情もあるかと思います(全く別の種類のOSに切り替えるのも1つの手ですが、Windows以外の経験が無いユーザーにとっては習得すべき知識が多すぎて、現実的ではないかもしれません)。例えば、XPを搭載しているキオスク端末やネットブック、ATMの中には、OSのアップグレードに対応していないタイプもあります。The Registerの記事では、多くの組み込みソフトウェアがInternet Explorer 7(IE7)に依存しており、IE7未対応のWindows 7または8以降では動作しない可能性があると示唆されており、突き詰めると、この問題の大部分の根本原因はIE7にあるといえます。

また、実験機器などのハードウェアの中には、古いバージョンのOSで動作しアップグレードができない独自のソフトウェアのあおりを受けているタイプも存在します。このようなシステム維持は極めて高額なコストが予想され、XPのカスタムサポートを受けた方が有利です。英国やオランダなどの政府が既に契約しているこのサポートは、XP搭載マシンが大量に残っている政府機関や大規模企業にとっては経済面で魅力的な選択肢といえます。とはいえ、カスタムサポートの利用は一時的な措置にすぎません。サポートを利用している組織は、OSの移行計画を策定し、完了日を公表する必要があります。

XPのサポート終了に関する記事の多くは、OS(および必要に応じてハードウェア)をアップグレードする必要性に焦点を置いており、そのまま使い続けるとどうなるかについて現時点では取り上げていません。中でも例外ともいえるのが、The Registerに掲載されたGavin Clarke氏による記事「Windows XPをまだ使用しているユーザー向けのガイド」とGartnerによるXPを保護するためのベストプラクティスです。

どちらの記事も優れたアドバイスを提供しています。以下にまとめておきます。

  • Officeやメディアコンポーネントがデフォルトでプログラムを実行しないようにレジストリーを編集します。
  • (マルウェアを含む)ファイルの保存や転送に使用できる、リムーバブルメディアやスマートフォンなどのデバイスへのアクセスを制限します。
  • ホスト型またはネットワーク型の侵入防止システムを使用する等の対策で、アプリケーション制御やメモリ保護を有効にします。完全な保護が保証されるわけではないのですが、多層防御の重要性を常々訴えている身としては、有効な保護対策であると思います。
  • アプリケーションにアップデートとパッチを適用して最新の状態を維持します。また、使用を許可するアプリケーションおよびそのタイプを制限します。
  • XPのシステムからWebブラウジングや電子メール用のソフトウェアを削除し、パッチとアップデートが適用済みのサーバーを通してこれらのサービスを利用します (仕事に関するメールのやり取りやオンライン活動を、VMSサーバーやUNIXサーバーから行っていた時代にタイムスリップしたような気分です)。動作が遅くなる可能性はありますが、シンクライアントの導入はある程度の攻撃緩和につながることでしょう。それでも過信は禁物です。
  • Windowsに関する最新情報やコミュニティーリソースをチェックします。XPにも該当する問題の対応策が見つかるかもしれません。もちろん、役立つ情報があっても個人で対応できるかどうかは別の話です。たとえ企業環境であっても、XP搭載マシンを今なお保有している社員や現場が、この種の環境改善に時間や費用をかける可能性は低いと考えられます。

一方で、アンチウイルス業界外の多くのユーザーの間では、システムの悪用に依存しない攻撃も大量に存在するという事実が見逃されています。しかも、Gartnerが紹介した対策がこうした攻撃に必ずしも有効であるとは限りません。アンチウイルス機能も同様に万能ではありませんが、それでも最新のアンチウイルスソフトウェアやセキュリティソフトウェアは有効な保護対策といえます。なお、MicrosoftはXP用のセキュリティソフトウェアであるMicrosoft Security Essentialsのダウンロード配布を終了し、定義ファイルの提供も2015年7月までとしていますが、ほとんどのアンチウイルスベンダーはXP向けのセキュリティ対策に引き続き対応する見込みです。ちなみに、ESETは2017年4月まで(場合によってはそれ以降も)サポートする予定です。ただし、アンチウイルス機能が、Microsoftがサポート対象のOS用に提供している通常のパッチとアップデートすべてをカバーするわけではありませんのでご注意ください。

Gartnerは、ネットワーク接続をできる限り切断してネットワーク経由の攻撃を回避するようアドバイスしています。セキュリティ研究者のMarcus Ranum氏による、攻撃を防ぐ2つの要素「究極的にセキュアなディープパケットインスペクションとアプリケーションセキュリティシステム」に関する記事にも似たような記述があります。「接続するとリスクが発生する」というのが同氏の主張なのですが、今日使用されるほとんどのシステムはネットワーク接続を必要としています。確かにネットワークは主要な攻撃経路で、USBデバイスや最新のスニーカーネット(ユーザーがリムーバブルメディアを介してPC間のデータ移行を行う)で光学式メディアを使用すれば、ネットワークに頼らずに済むでしょう。しかし、その代償として利便性が損なわれるため、ハードウェアの買い換えを含むアップグレードの方が効率的であるとみられます。それほど思い切った解決策ではありませんが、XP搭載マシンに企業のファイアウオールを経由したインターネットアクセスを許可して保護下に置き、一方でネットワーク上の他のマシンから隔離するという方法もあります。攻撃を確実に回避できるわけではありませんが、他のマシンに対するリスクを抑えられます。

もう1つの提案は管理者権限を持つユーザーの排除です。Gartnerは、XPを使用しているすべてのユーザーに義務付けるべきだと示唆しています。すべてのユーザーに管理者権限が付与される必要はありません。問題の修正や構成の変更、ソフトウェアのインストールとアップデートを行うための特権アカウントは1つあれば十分です。フルアクセスの権限は日常的なPC作業に不要ですし、開発元のMicrosoftもそのような意図はなかった訳ですから。

Gartnerはさらに攻撃の発生時に備えて、XPシステムの隔離計画の策定も推奨しています。

確かにシステムをネットワークから切り離す対策は必要で、その計画に費やした時間も無駄になることはまずありませんが、では攻撃の発生を認識するにはどうしたら良いか、あるいは従来以上にすばやく認識するにはどうしたら良いか、という疑問が浮上してきます。また、侵害が発生した場合はどうでしょうか。システムの一部または全体を隔離する手段を確保しなくても良いのでしょうか。XPを狙う深刻な攻撃は数あるシナリオの1つにすぎず、最も起こる可能性が高い攻撃というわけでもありません。市場シェアの低下に伴い、XP固有の攻撃を対象とした調査は減少すると予測されます。この先XPを手放す企業が増えるでしょうから、大規模企業を標的とする攻撃は特に下降線を辿ると思われます。

また、かつてSTUXNETに狙われたSCADA(遠隔監視制御・情報取得)システムのように、システムの切断やシャットダウンを行うと混乱や場合によってはダメージが発生しかねないと考えている方もいるかと思いますが、嘆く前にまずは行動すべきです。SCADAシステムも、今ではベストプラクティスに従って可能な限り重要なマシンをネットワークから隔離しており、攻撃を受けにくくなっています。

ESETのコーポレートニュース
  • 高品質のWebコンテンツを取り揃えたサイト「GoExplore.net」を立ち上げ
    World Wide Webが生誕25周年を迎える今年、ESETは、オンラインでの新たな取り組みとして「GoExplore.net」というサイトを立ち上げました。GoExplore.netは、高品質のWebコンテンツをまとめたサイトで、ユーザーによる安全なオンライン活動を奨励します。同サイトは、オンラインの世界の探索や、魅力的なコンテンツのアップロード、他のオンラインユーザー向けのコンテンツのキュレーション(インターネット上の情報を収集し、まとめること)への協力を希望するすべての皆さんを対象としたWebポータルです。ネットで話題の有名人への独占インタビューや各種ハウツー、インフォグラフィック、動画、さらにはアンケートや世論調査の結果など、豊富なコンテンツを取り揃えています。
  • エンタープライズクラスの安全な認証用ソフトウェア開発キットを発表
    ESETは、ESET Secure Authenticationのソフトウェア開発キット(SDK)を発表しました。今回のリリースにより、3つの主要プログラミング言語の包括的な開発者ガイドが利用可能となるため、システムアーキテクトの方は、保護を必要とするほぼすべてのシステムに二要素認証(2FA)機能を追加できるようになります。幅広い拡張オプションを備えるESET Secure Authentication SDKは、ユーザー管理を可能とするだけでなく、企業のイントラネットやリモートアクセスシステムなどの独自のアプリケーションに容易に統合することもできます。このSDKを統合することで、外部依存性を最小限に抑えて、データを詳細に制御できるようになり、クラウドへのデータ保存が不要になります。結果として、中小企業も大規模企業も、監査や独自のSMSゲートウェイの使用、ロギング、ユーザー認証を含む、2FA機能のメリットをすべて享受できます。
マルウェアランキングトップ10
1. Win32/Bundpil[全体の約2.83%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。通信にはHTTPプロトコルが使用されます。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

2. LNK/Agent.AK[全体の約1.96%]
前回の順位:2位
LNK/Agent.AKは、本物または正規のアプリケーション/フォルダーを実行するためのコマンドを連結して、バックグラウンドで脅威を実行するリンクで、autorun.infという脅威の新たなバージョンとなる可能性があります。この脆弱性はStuxnetの発見に伴い知られるようになり、悪用された4つの脆弱性のうちの1つでした。
3. Win32/Sality[全体の約1.66%]
前回の順位:3位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
4. HTML/ScrInject[全体の約1.66%]
前回の順位:6位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
5. INF/Autorun[全体の約1.58%]
前回の順位:4位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。 今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。 WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。 ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。
6. Win32/Qhost[全体の約1.54%]
前回の順位:5位
この脅威は、自分自身をWindowsの%system32%フォルダーにコピーしたあと動作を開始します。さらに、DNS経由で指令(C&C)サーバーと通信します。電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。
7. Win32/Conficker[全体の約1.31%]
前回の順位:7位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。 Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。 ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。 「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。
8. JS/Kryptik.I[全体の約1.28%]
前回の順位:ランク外
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
9. Win32/Ramnit[全体の約1.26%]
前回の順位:8位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
10. Win32/TrojanDownloader.Waski[全体の約1.07%]
前回の順位:ランク外
このトロイの木馬は、インターネットから別のマルウェアをダウンロードしようとします。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2014年4月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.83%を占めています。

2014年4月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!