MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2014年7月 世界のマルウェアランキング

この記事をシェア
2014年7月の月間マルウェアランキング結果発表
目次
ドミノ効果を食い止めたDOMINO’S PIZZA
David Harley、ESETシニアリサーチフェロー、ESETノースアメリカ
Small Blue-Green World

先日、宅配ピザの大手Domino’s Pizzaを狙ったハッキング事件が発生しました。ハッカーたちはフランスとベルギーの顧客情報60万件を盗み出し、同社が3万ユーロを支払わなければ公開すると脅迫してきました。Domino’s Pizzaや被害に遭った両国の顧客からすれば笑えない話ですが、ESETアイルランドのUrban Schrottは、この件について「Domino’s Pizza hacked: Change your toppings at once!(Domino’s Pizzaがハッキング被害に。トッピングの変更はお早目に!)」となかなか洒落の利いたタイトルのブログ記事を執筆しました。この記事では役立つアドバイスをいくつか取り上げています。以下に一部抜粋します。

Domino’s Pizzaの顧客情報60万件がハッカーの手に渡ってしまったようです。盗み出された情報の中には好みのトッピングの種類も含まれています。ESETアイルランドでは、安全性確保のため、登録しているトッピングを変更しておくよう推奨しています。

サイバーセキュリティアナリストという立場上、合理的かつ良識ある判断を下すことを常日頃心がけている私でも、食べ物の話となると別です。今回の事件の黒幕であるハッカーたちは、まさにその一線を越えたのです。Domino’s Pizzaからの金銭搾取を狙った連中は、同社が3万ユーロを支払わなければ、盗み出した顧客情報60万件を公開すると脅しました。盗まれた情報には好みのトッピングの種類まで含まれています。顧客情報の流出が公になれば、プライバシーの侵害として同社を相手取った訴訟へと発展するだろうというのがハッカーたちの狙いでしたが、同社の最高責任者は脅しには屈せず、またクレジットカード情報などの財務データは被害に遭っていない、と明言しています。

攻撃を受けたサーバーに登録されていたのは主にフランスやベルギーの顧客情報でした。アイルランドのユーザーに被害が及ぶことはないと思われますが、それでも念のため、好きなトッピングは変更しておくようESETアイルランドでは推奨しています。ハッカーが保持している情報と一致しなくなるため、連中に好き勝手に注文される事態も防げるからです。もちろん、これはジョークですが、笑ってばかりはいられません。スピアフィッシングともいわれる標的型攻撃が台頭する昨今、サイバー犯罪者が、食の好みを含めターゲットの情報を手当たり次第に収集しようと試みるケースは珍しくありません。ささいな個人情報を基にターゲット固有の詐欺プランを策定して、信ぴょう性を高めるのです。例えばDomino’s Pizzaでトッピングとしてアンチョビを頻繁に注文している場合に、同社の名前で、「アンチョビ好きのお客様を対象にお得なクーポンをご案内します。こちらをクリックし、フォームに記入して、クーポンをぜひお受け取りください」と書かれたメールを受信したらどう思うでしょうか。差出人とメールアドレスは偽物だとしても、アンチョビをよく頼んでいるのは事実ですから、このメールが正当なものであると信じ、指示に従う可能性は高いと見られます。そして、ターゲットがリンクをクリックするとPCがマルウェアに感染してしまい、クーポンを受け取るためという名目で銀行情報の入力や何やら良からぬことを要求されるでしょう。

トッピングの変更はさておき、ESETアイルランドでは、企業との取引時やサービスの利用時には個人情報の取り扱いに細心の注意を払うようアドバイスしています。今回のハッキング事件が示すように、個人情報が悪人の手に渡れば、攻撃の道具として利用されてしまうのです。公開する情報は最小限に留め、正しい情報に言及しているものの疑わしいメールを受信した場合は、指示に従う前にまず正当なメールであるか再確認してください。確証が得られない場合は、対象の企業に電話で問い合わせてみてください。

セキュリティ研究者のGraham Cluley氏も有用なアドバイスを提供しています。

「ハッカー集団はDomino’s Pizzaの顧客約65万人の個人情報を盗み出したと公表し、同社が多額の金銭を支払わなければ全世界に公開すると脅してきました。

「Rex Mundi」と名乗るこのハッカー集団は、フランスとベルギーの同社のネットワークに不正アクセスし、顧客の氏名や住所、電話番号、電子メールアドレスとパスワードを入手したと主張。所有するTwitterアカウント(現在は停止)を介して、今回のセキュリティ侵害に関する次のような犯行声明へのリンクを公開しました。」


Dear friends and foes,

Earlier this week, we hacked our way into the servers of Domino’s Pizza France and Belgium, who happen to share the same vulnerable database.

And boy, did we find some juicy stuff in there!

We downloaded over 592,000 customer records (including passwords) from French customers and over 58,000 records from Belgian ones. That’s over six hundred thousand records, which include the customers’ full names, addresses, phone numbers, email addresses, passwords and delivery instructions.

(Oh, and their favorite pizza topping as well, because why not).

引用文日本語訳:
親愛なるDomino’s Pizzaを愛する諸君

今週初め、我々は、同じ脆弱性のあるデータベースを共有しているフランスとベルギーのDomino’s Pizzaのサーバーをハッキングした。

現在、フランスの顧客情報59万2000件とベルギーの顧客情報5万8000件をダウンロード済みだ。

合計で60万件を超えるこれらの情報には、顧客の氏名や住所、電話番号、電子メールアドレス、パスワード、宅配時の指示などがある。

(もちろん、トッピングの好みも含まれている。)


「支払い情報について言及していないのは不幸中の幸いといえますが、個人情報が流出した同社の顧客の不安は今なお根深く残ります。

Domino’s Pizza Franceは今回のセキュリティ侵害について一連のツイートで見解を述べており、同社ではデータを暗号化しているものの、首謀者は経験豊富なハッカーであり、パスワードがクラックされた可能性が高いと見ています。以下にそのツイート文の大意を掲載しておきます。」

Domino’s Pizzaでは取引データを暗号化していますが、今回当社を狙ったハッカー集団は高い専門技術を有する熟練者であり、パスワードを含む暗号化データを解読することができたと考えられます。こうしたセキュリティ上の理由から、お客様にはパスワードを変更することが推奨されます。当社は、今回の不正アクセスを真摯に受け止め、適切に対応してまいります。

残念ながら、機密情報がソルト付きでハッシュ化されたかどうかについては言及されていません。

オランダのDomino’s Pizzaを束ねるAndre ten Wolde氏はベルギーの新聞社De Standaardに対し、同社のサーバーにセキュリティ上の問題が存在したのは間違いないと語っています。また、同社がハッカーからのいかなる要求にも応じない方針であることも認めました。いずれにせよ賢明な措置だと思います。

純粋にピザを好んで注文していた膨大な数のユーザーと攻撃を受けたDomino’s Pizzaのどちらにも、ハッキングは迷惑以外の何物でもありません。顧客情報を適切に保護できなかった同社には非難が集中するでしょうし、怒りが収まらないフランスとベルギーの顧客が抗議の一環としてインド料理の宅配に切り替えることも考えられます。

しかし私たちは、インターネットを介して攻撃を仕掛け、企業から金銭をゆすり取ろうとする犯罪者に立ち向かわなければなりません。今年の6月には、金銭を巻き上げようとしたハッカーに対しRSSリーダーのFeedlyが適切な対応を取りましたが、攻撃者の要求に屈しない姿勢を見せたDomino’s Pizzaも賞賛に値します。相手の要求に応じて支払おうものなら、今度は別の攻撃者に狙われるのはまず間違いありません。

私は、ESETのセキュリティ専門家であるDavid HarleyにFeedlyとDomino’s Pizzaを狙った攻撃はサイバー恐喝の新時代の到来を告げるものであるかどうかを尋ねました。以下にDavid Harleyの回答を記載しておきます。

Feedlyの件は、認証情報の侵害というよりは単なるDDoS攻撃のようです。特に目新しい点はありません。2000年代初頭の時点ですでに英国の機関は、民間企業と秘密裏に協業し、「支払いに応じなければ、DDoS攻撃を仕掛ける」といった類の脅迫に対処していました。

過去の事例を見る限り、オンラインカジノや同様のサイトは執拗に狙われますが、オンラインサービスを常時利用できるこの種のサイトには絶好のターゲットが集まってくるため、攻撃者からすれば使わない手はないのです。

情報公開をネタにした脅迫はどちらかというと珍しい手口ですが、今まで知られていなかったわけではありません。

盗まれたデータの使用を攻撃者が諦めて「返却」してくるケースは通常考えられないので、彼らの「善意」に期待するよりも、他の緩和策を模索する方が賢明です。具体的には、顧客に注意を促す、パスワードの変更を推奨する、データベースのセキュリティを改善する、などがあります。

同様に、DDoS攻撃に遭い、相手の要求に従ったところで、それで万事解決となるケースはまずありません。

Graham氏は次のようにアドバイスを続けます。

「サイバー恐喝に巻き込まれ金銭を要求された場合、支払いに応じてはいけません。

個人的に辱めを受ける、企業の名に泥が塗られる、あるいは経済的損失につながるリスクがあるとしても、犯罪者の傘下に下るのではなく、サイバー攻撃対策機関に連絡する方が常に推奨されます。もちろん、相応のリソースを投じて、自社の業務に潜んでいる可能性のあるセキュリティホールを突き止め、将来に向けてセキュリティ強化を図ることも必要となります。

また、Domino’s Pizzaを愛用しており、今回の攻撃で自分の個人情報が流出してしまったのではないかと心配している方は、ピザの注文時に使用していたパスワードを絶対に他で使用しないでください。ハッカーがDomino’s Pizzaのデータベースからパスワード抽出に成功した場合、そのパスワードを使用して他のオンラインアカウントのロック解除も試みる可能性が高いのです。

クラッキングが困難になるよう、パスワードは必ずサイトごとに使い分けることをおすすめします。パスワードの再利用はトラブルの元凶です。いつまでも単純なパスワードを使っていると、苦労して稼いだ財産を犯罪者に奪われてしまいますよ!」

ESETのコーポレートニュース
  • Cyberoam TechnologiesにSecure Authenticationを提供
    ESETは、ネットワークセキュリティアプライアンスの大手グローバルプロバイダーであるCyberoam Technologiesと新たな提携関係を結んだと発表しました。今回の締結によりCyberoam Technologiesは、ワンタイムパスワードを用いた2ファクタ認証(2FA OTP)で安全なリモートアクセスを実現するモバイルソリューションのESET Secure Authenticationを、同社の統合脅威管理アプライアンスや次世代ファイアウォールアプライアンスに統合できるようになるため、エンドユーザーと企業ネットワークの双方のセキュリティがさらに強固になります。この協業体制は現在、南アフリカで展開されています。
  • ドイツの『PC Welt』誌によるブランド認知度調査で高スコアを記録
    ドイツにおけるESETの評価がうなぎ上りのようです。ドイツのPC雑誌『PC Welt』が実施したブランド認知度調査によると、ESETはセキュリティソフトウェアのカテゴリーで「2014ブランドオブザイヤー(Brand of the Year)」の銀賞に選出されました。自社のニーズを満たすセキュリティソフトウェアとしてESET製品は同誌の読者から高い支持を集めています。また同カテゴリーの「テクノロジーウィナー(Technology Winner)」として、やはり銀賞を獲得しています。
マルウェアランキングトップ10
1. Win32/Bundpil[全体の約2.3%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。通信にはHTTPプロトコルが使用されます。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

2. JS/Kryptik.I[全体の約1.82%]
前回の順位:2位
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
3. Win32/RiskWare.NetFilter[全体の約1.73%]
前回の順位:ランク外
Win32/RiskWare.NetFilterは、感染PCにおいて好ましくない挙動を引き起こすよう設計された悪意のあるコードを含むアプリケーションです。攻撃者はこのアプリケーションを使用して、感染したシステムにリモートから接続して乗っ取り、個人情報の入手や他のマルウェアのインストールを行います。
4. LNK/Agent.AK[全体の約1.55%]
前回の順位:3位
LNK/Agent.AKは、本物または正規のアプリケーション/フォルダーを実行するためのコマンドを連結して、バックグラウンドで脅威を実行するリンクで、autorun.infという脅威の新たなバージョンとなる可能性があります。この脆弱性はStuxnetの発見に伴い知られるようになり、悪用された4つの脆弱性のうちの1つでした。
5. Win32/Sality[全体の約1.38%]
前回の順位:4位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
6. HTML/ScrInject[全体の約1.37%]
前回の順位:8位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
7. Win32/Adware.MultiPlug[全体の約1.28%]
前回の順位:ランク外
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
8. INF/Autorun[全体の約1.24%]
前回の順位:5位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。
9. Win32/Conficker[全体の約1.15%]
前回の順位:6位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。
10. Win32/TrojanDownloader.Zurgop[全体の約1.14%]
前回の順位:ランク外
Win32/TrojanDownloader.Zurgopは、脆弱性のあるシステムに感染すると、インターネットから別のマルウェアをダウンロードする悪意のあるコードのファミリーです。このファミリーは、PEncryptやPECompactを使用して実行ファイルを圧縮するなど、亜種ごとに異なる方法で検出を回避します。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2014年7月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.3%を占めています。

2014年7月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!