MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2014年6月 世界のマルウェアランキング

この記事をシェア
2014年6月の月間マルウェアランキング結果発表
目次
iOSユーザーの間で相次ぐ奇妙なランサムウェア攻撃
David Harley、ESETシニアリサーチフェロー、ESETノースアメリカ
Small Blue-Green World

[本記事はMac Virusのサイトに掲載されました。短縮版はITsecurityのサイトで公開されています。]

先日発覚した、ロックしたiOSデバイスの解除と引き換えに金銭を要求する「ランサムウェア(身代金要求型マルウェア)」攻撃は不可思議な様相を呈しており、その真相はいまだ明らかになっていません。後に英国でも被害が報告されたこのインシデントにおいて特に謎とされているのが、なぜ当初狙われたのがオーストラリアとニュージーランドのユーザーだけだったのか、という点です。

Integoに掲載されたGraham Cluley氏の良質なブログ記事(続いて執筆した記事もやはり素晴らしい内容です)は、本件に関するFAQという体裁をとっています。このような事態に至った経緯に関する有力な見解をいくつか示しているのですが、発生地域に対する疑問についてはそれほどスペースを割いていません。一方、モスクワでは最近、ロシアのiGadgetユーザーに対し同様の攻撃を実行したという疑いで容疑者2人が拘束されており、一連のiOS問題への注目度が高まっています。しかし本記事の執筆時点では、Thomas Reed氏が指摘しているように、まったく異なる地域で発生した2つの攻撃の間に確固たる接点が見つかっておらず、「なぜオセアニアで?」という疑問の答えはわからないままです。

オーストラリアでの攻撃では、「iDeviceを探す」機能が使用されたようで、乗っ取られたAppleデバイスには次のようなメッセージが表示されました。

「Hacked by Oleg Pliss. For unlock device YOU NEED send voucher code by 100 $/eur one of this (Moneypack/Ukash/PaySafeCard) to [email address](このデバイスはOleg Plissによってハッキングされた。ロックを解除してほしければ、(Moneypack/Ukash/PaySafeCard)の100ドル/ユーロ分のバウチャーコードを[メールアドレス]に送信しろ)」。

ロシアでの攻撃では、まずフィッシングサイトを用意してiCloudの認証情報を入手し、乗っ取ったデバイスをロックしたと見られます。ただし、Reed氏によると、文面は変えられており、「Your device is locked in relation to the complaint. And can help you unlock it. Check your email!(あなたのデバイスは申し立てによりロックされている。ロック解除の手助けがほしければ、メールをチェックしろ)」となっているそうです。

IT Securityの同僚のKevin Townsendは最近、次のようなブログ記事を執筆しています。

この詐欺は、いずれAppleがマルウェアをブロックできなくなるという問題を象徴しています。同社からすれば、デバイスどころかビジネスプロセスを乗っ取られた、といった心境かもしれません。他のハッカーが今後も同じ手法を何度も使用する可能性があり、しかも模倣した攻撃も新たに発生すると予測されます。

もちろん、同一人物が、フィッシングやソーシャルエンジニアリングをベースに同様の手口で両地域に攻撃を仕掛けた可能性も否定できませんが、このケースが同一犯による仕業と考えるのは時期尚早だと思います。パッチ適用や何らかのリエンジニアリングによって対処できる場合もありますが、脆弱性についてはAppleがすでに否定していますので疑う理由はありません。率直に言って、現時点では十分な情報が手元にないのです。いずれせよKevinが主張するように、現在利用できる予防策を講じることが重要となります。

世界のどこに住んでいようとも、最も確かな(願わくば)防御策は、Apple IDの2ファクタ認証を有効にすることです。オーストラリアやニュージーランドの被害者が実行していれば、Oleg Plissのケースは回避できたと思います。2ファクタ認証の詳細については、Appleのナレッジベースの記事をご覧ください。有効にすると、信頼できるデバイスに送信される4桁のPIN(認証コード)とパスワードを、ログインするたびに入力して認証を行えるようになります。また、緊急時用として14桁の復旧キーも発行されます。Apple IDのパスワードを変更する良い機会です。言うまでもなく、パスワードの使い回しはもってのほかです。別のサービスがセキュリティ侵害に遭った場合に、芋づる式に流出してしまうおそれがあるからです。

同じく同僚のStephen Cobbは、WeLiveSecurityに次のような記事を執筆しています。

今回のインシデントは、居住場所を問わず、次の対策をまだ講じていないAppleユーザーにとっては契機にもなるでしょう。

  • Apple IDの2ファクタ認証を有効にする。
  • iCloud、iTunes、Time Machineのいずれか1つ以上を使用して、バックアップ体制を確立する。
  • Apple ID用に強力かつユニークなパスワードを設定する。

 

犯罪者やマルウェアからデバイスを保護するにあたり、Appleの「ウォールドガーデン(認証したサービスやアプリに利用を限る)」アプローチは優れたモデルといえますが、ユーザー自身に危機意識がないとどのような対策も無駄になりかねません。早急に3つの対策すべてを実行してください。

マルウェアに感染したデバイスがロックされてしまった場合は、リカバリモードからデバイスのデータとそのパスコードを消去してみることをおすすめします。こちらのサイトでは、iTunesでデバイスを同期した経験がない、「iPhoneを探す」が設定されていない、または自身のPCを介してiTunesやiCloudのバックアップから復元することができないユーザー向けに、以下のような手順を紹介しています。

  • すべてのケーブルを取り外し、デバイスの電源を切る。
  • ホームボタンを押したまま、デバイスをiTunesに接続する。
  • 接続が完了すると、iTunesにデバイスを復元するためのメッセージが表示される。

 

Stephenは次のように指摘しています。

Apple Australiaは、必要に応じてAppleCareに問い合わせたり、Apple Storeまで出向くよう推奨しています。また同社は、ユーザーがiCloudのセキュリティ侵害に遭ったとしても責任を負わないと明言しています。所在地を問わず、Appleデバイス上に金銭を要求するメッセージが表示された場合は、最寄りのApple Storeに駆け込むことをおすすめします。責任問題はさておき、Appleが問題の詳細を把握するのに役立ちます。

オーストラリアのユーザーが実際に支払いに応じたとの報告は受けていませんが、たとえ入金したところで、ロックされたデバイスを再び使えるようになるとは思えません。むしろ、支払ってしまった被害者に追い打ちをかけるように、iGadgetを再度使用できるようにするべく工場出荷時の設定に戻すという名目で、さらなる支払いを要求される光景の方が目に浮かびます。ロシアでは要求に応じてしまった被害者もいたようです。後に容疑者として逮捕されたハッカーが、振り込まれたお金をATMで引き出す様子が監視カメラに映っていました。

その他の関連リソースへのリンクを以下に掲載しておきます。

 

ESETのコーポレートニュース
  • 「Mid-Year Security Threat Review」を開催
    ESETは最近、2014年上半期に発生したマルウェアや脅威に関する注目に値する側面をいくつか取り上げた「2014 Mid-Year Threat Review」を開催しました。この無料ウェビナーでは、深刻な新しいタイプの攻撃に加え、ESETのシステムにとって厄介で未だに残存する多数の古いタイプの脅威にも焦点を当てています。

    レビュー対象には、金融機関を狙うトロイの木馬、Bitcoinのマイニングや窃盗を行うマルウェア、OpenSSLの脆弱性「Heartbleed」、MacやiPhoneに特化した脅威、国家主導のマルウェアキャンペーン、攻撃活動「Windigo」といった最新の情報も含まれました。ESETの上級研究者で、アンチマルウェア業界で豊富な経験を持つAryeh Goretskyは、Windows XPの終焉とセキュリティの未来に及ぼす影響についても解説しています。



  •  
  • 「サイバーブートキャンプ2014」の開催を発表
    ESETは、地元の高校生を対象とした集中型のサイバーセキュリティ教育プログラム、「サイバーブートキャンプ」の開催を発表しました。ESETの北米本社で実施されるプログラムで、今年で4回目の開催となります。主催するSecuring Our eCityを筆頭に、後援団体としてESET、California Coast Credit Union、Computers 2 San Diego Kids、Higgs, Fletcher & Mack, LLP、Mendez Strategy Group、San Diego Gas & Electricが名を連ねています。キャンプは5日間の日程で、コンピューターラボでの実地演習、さらには米国の下級判事やFBIのサイバー犯罪部門の職員など内容領域専門家による講演も予定しています。

    今年のキャンプには、Canyon Crest Academy、Westview High School、Mira Mesa High Schoolの20余名の学生と、地元ボランティア多数の参加を見込んでいます。後援団体以外にも、Bridgepoint Education、C.A.T.C.H.、FBI、Georgia Tech Research Institute、サンディエゴ警察、San Diego Gas & Electric、Verizonなど各組織に所属するサイバーセキュリティの専門家もゲストスピーカーとして招へいされます。

    サイバーブートキャンプの核となるのは、学生たちが安全な環境でコンピューター防御とシステムへの侵入を演習できるコンピューターラボ、「The War Room」です。このラボを整備したのはCISSP認定保持者でESETのセキュリティ研究者でもあるCameron Campです。彼は、キャンプ全体を通して学生たちの指導を担当します。

    今年の注目イベントの1つに、カリフォルニア州南部地区連邦裁判所への訪問があります。キャンプを通じて得たスキルや知識を将来どのように役立てるか、Mitchell D. Dembin判事がアドバイスします。

    サイバーブートキャンプの間、そしてその後も、学生たちは「ホワイトハット」と「ブラックハット」のどちらの帽子をかぶるか決断を迫られます。すなわち、磨き上げたスキルを国家や未来の雇用者のために役立てる「ホワイトハッカー(ハッキングを善意に基づいて行う人)」となるか、「ブラックハッカー(ハッキングを悪意に基づいて行う人)」に成り下がり残りの人生をビクビクしながら送るか、という選択です。元連邦検事補で、現在は連邦裁判所下級判事を務める同氏の話は、人生の岐路に立たされる彼らに光を照らしてくれるでしょう。
マルウェアランキングトップ10
1. Win32/Bundpil[全体の約2.59%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。通信にはHTTPプロトコルが使用されます。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

2. JS/Kryptik.I[全体の約2.35%]
前回の順位:ランク外
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
3. LNK/Agent.AK[全体の約1.91%]
前回の順位:2位
LNK/Agent.AKは、本物または正規のアプリケーション/フォルダーを実行するためのコマンドを連結して、バックグラウンドで脅威を実行するリンクで、autorun.infという脅威の新たなバージョンとなる可能性があります。この脆弱性はStuxnetの発見に伴い知られるようになり、悪用された4つの脆弱性のうちの1つでした。
4. Win32/Sality[全体の約1.49%]
前回の順位:3位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
5. INF/Autorun[全体の約1.38%]
前回の順位:5位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。
6. Win32/Conficker[全体の約1.2%]
前回の順位:7位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。
7. Win32/Ramnit[全体の約1.16%]
前回の順位:8位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
8. HTML/ScrInject[全体の約1.06%]
前回の順位:4位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
9. HTML/Iframe.B[全体の約1.04%]
前回の順位:ランク外
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
10. Win32/Dorkbot[全体の約0.96%]
前回の順位:10位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからのコントロールが可能です。UPXを使用して実行ファイルが圧縮されています。ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートからコントロールが可能なワームの1種です。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2014年6月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.59%を占めています。

2014年6月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!