MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2014年8月 世界のマルウェアランキング

この記事をシェア
2014年8月の月間マルウェアランキング結果発表
目次
スパムメールの受信拒否は相手の思うツボ
David Harley、ESETシニアリサーチフェロー、ESETノースアメリカ
Small Blue-Green World

本記事はDataholicsブログ掲載記事の詳細版です。

私の元には大量のスパムメールが届きますが、たいていの場合は無視しています。ブログで取り上げるとすれば、技術的に興味深い点が認められたり、ユーザーへの警告が差し迫った危険な詐欺のケースと判断したりした場合に限られます (もちろん、ダイレクトメールとは異なり、あらゆるスパムメールは詐欺の要素を少なからず伴っています)。

さて、以下にご紹介するのは、私のメールボックスに届いたメールですが、例によって若干様相が異なっています。全文に目を通せというのも酷な話ですから簡単に内容を説明すると、差出人のSahil氏はインドに拠点を置くソフトウェア開発会社の方で、iPhoneアプリやAndroidアプリ、Web開発を専門に扱っているそうです。

フィッシング詐欺ではありませんが、詳細な住所が明記されておらず、Gmailのアドレスから送信されているところを見ると、正当なビジネスメールかどうかは疑わしいのですが、それでも興味深い内容です (少なくともこのメールについては)。

「We also offer cost arbitrage opportunity wherein we can your backend arm and help you save your delivery cost.(当社ではコストの裁定機会も提供しています。皆様の新たな片腕となり、配信コスト削減をサポートいたします。)」

「新たな片腕」と言えば私が食いつくとでも思ったのでしょうか (腕がもう一本ある姿は願い下げです)。

メールの受信を拒否するための案内文も、同様になかなか面白い内容です。

「Note: - Though this is not an automated email, we keep on sending out these emails to all those people whom we find eligible of using our services. To unsubscribe from future mails (i.e., to ensure that we do not contact you again for this matter), please send a blank mail, with NO as the Subject.(注意: - これは自動送信メールではなく、当社のサービスの利用資格があると判断されたすべての方にお送りしています。今後、メール受信を希望されない場合(すなわち、この件について当社からの連絡を受けないようにする場合)は、件名に「NO」と入力して空メールをお送りください。)」

ブログサイトを運営しており、サイト改善という頼んでもいない申し出に今後悩まされるであろう私は、明らかに「利用資格あり」でしょうね。

スパムメールには返信してはならない、というのは昔からよく言われているセキュリティの鉄則です。受信拒否を依頼したところで、スパマーに「送信先のアドレスが現在も使われている」ことをみすみす教えてしまうだけです。相手にしなかったせいで、さらなるトラブルに見舞われるとは思いません。詐欺師とは言え、無反応のアドレスに根気よくメールを送り続けることはまずしないでしょう。そこで、私は一部のメールに対しあえて受信拒否を要請してみることにしました。メッセージを保存し、その後どのような反応があったか、どのくらいの頻度でスパムが再送されたか、などを調べています。

と言うわけで、私の元にマーケティングメールを送りつけてくる企業が後を絶ちません(メッセージの内容が酷似しているため、企業間には密接なつながりがあるとみられます)。こうした企業は、受信拒否の要請への対応がずさんであるか、受信拒否者リストの管理に不備があるのでしょう。通常、彼らが提供するのはさまざまなソフトウェアのユーザーリストです。私がよく受信するメールでは、ESETの競合他社のアンチウイルスソフトウェアのユーザーリストが提供されますが、全く無作為に送付しているケースもあるようです (そうでなければ、仮に私が見込み顧客の獲得を主な仕事としていたとしても、唐突にSAPユーザーのリストが送られてくるわけがありません)。

彼らは、次のような内容を含むデータの提供を申し出ます。

社名、名前、名、姓、役職、本社の電話番号、直通番号、電子メール、住所1、住所2、市、州、郵便番号、国、業界、収益、社員数、IT予算、IT担当の社員数、Webサイト、テクノロジー、本社の住所1、本社の住所2、本社が所在する市、本社が所在する州、本社の郵便番号、本社が所在する国、LinkedInのリンク。

それにしてもこのようなデータ提供は合法的に行われているのでしょうか。実際のところ一部のメールには、2003年に制定されたCAN SPAM法に準拠している、などと明記されています。しかしそれとは別に、ユーザーのプライバシーを尊重しており、適切な手順で受信拒否を要請すれば以後はメールを一切送らない、と表明しているケースもあります。いずれにせよ、コンプライアンスやデータの正確性に関する彼らの主張を鵜呑みにはできません (どのみち、この種の情報を私が利用することはまずありませんが)。

もちろん、受信拒否の要請に誠実に対応する企業も多く存在します。なかでも私が最初に意図的に登録した企業は素晴らしい対応でした。一方、未承諾のメールを企業に送付する行為が正当とされるケースも少なくありません。受信拒否のオプションを用意し、要請した場合にはしっかりと対応するならまだ勘弁できますが、厳しく取り締まってほしいと思うことがしばしばです。

企業に成りすましたメールには要注意
Urban Schrott、David Harley

ESETアイルランドの同僚、Urban Shrottは、記事「アカウントに侵入したければターゲットにパスワードを教えてもらいなさい」で、最近発生した多数のフィッシング詐欺について取り上げています。

かなりのボリュームがある内容なので、実際のメール文を省略するなどして本レポート用に掲載していますが、各事例のメール画像へのリンクは有効のままです。もちろん、Urbanのブログに直接アクセスして参照するのも良いでしょう。

ESETアイルランドでは、銀行やPayPal、Microsoftアカウントの偽サイトにユーザーをリダイレクトして、ログイン情報を収集しようと試みる急増中のフィッシングメールを追跡しています。

いまだ驚くほど多くのユーザーがさまざまなアカウントで、「12345」や「password」といった文字列をパスワードとして使用していますが、サイバー犯罪者はさらに効率的な方法でターゲットのアカウントに侵入しようとしています。「尋ねれば教えてくれる」というのが連中の合い言葉のようです。正規サイトからの送信を装ったメールをターゲットに送りつけて、異常な操作が検出されたと伝え、「サービスにログイン」して確認するよう要求するのです。指示どおりログインしても、問題のサービスではなく偽のサイトが表示されます。ターゲットが入力したユーザー名やパスワードはすべて記録され、してやったりの詐欺師たちの元へと送られます。

ESETアイルランドは過去数週にわたり、同じような性質のメールを数種受信しました。以下にその一部をご紹介します。


1. アイルランド銀行
アイルランド銀行と名乗り、口座情報の更新が必要であると告げ、「Click here to complete update(更新手続きを完了するには、こちらをクリックしてください)」という一文とともに偽のリンクを掲示します。メールには、低レベルのスペルミスがいくつも存在し、それをヒントに見抜くことができます。
https://esetireland.files.wordpress.com/2014/07/bank.jpg

2. iTunes
iTunesからのメールを装い、まず人気ゲーム「World Of Goo(9.65ユーロ)」の購入に対するお礼の文で始まり、「If you did not authorize this purchase, please visit the iTunes Payment Cancellation Form within the next 12 hours in order to cancel the payment(この購入に同意していなかった場合は、12時間以内にiTunesのお支払いキャンセルフォームにアクセスし、お支払いをキャンセルしてください)」と続きます。フォームにアクセスするためには、もちろん偽のiTunesサイトへの「ログイン」が求められます。
https://esetireland.files.wordpress.com/2014/07/itunes.jpg

3. PayPal
PayPalからの詳細な領収書のような体裁で、本物さながらのデザインとなっています。オンラインホテル予約サイト「Agoda」への208米ドルの支払いが完了した、という文で始まり、やはり「If you haven’t authorized this charge, click the link below to dispute transaction and get full refund Dispute transaction (Encrypted Link)(このお支払いに同意していなかった場合は、以下のリンクをクリックしてトランザクションの申し立てを行い、全額の返金を受けてください - トランザクションの申し立て(暗号化済みのリンク))」と続きます。このリンクが暗号化されていないのは言うまでもなく、クリックするとログイン情報の収集を目的としたPayPalそっくりのサイトにリダイレクトされます。
https://esetireland.files.wordpress.com/2014/07/paypal1.jpg
https://esetireland.files.wordpress.com/2014/07/paypal21.jpg

4. Microsoft
Microsoftの名を騙り、件名は「Microsoft account unusual sign-in activity(Microsoftアカウントへの異常なログイン操作が検出)」となっています。南アフリカ共和国からターゲットのアカウントへの異常なログイン操作が確認された、と告げ、ユーザーに疑いを抱かせます。さらに次のように続きます。「If you’re not sure this was you, a malicious user might have your password. Please Verify Your Account and we’ll help you take corrective action.(このログインに心当たりがなければ、お客様のパスワードが悪意のあるユーザーの手に渡った可能性があります。アカウントをご確認ください。お客様が適切な措置を講じられるようサポートいたします)」。もちろん連中はサポートなどしてくれません。ターゲットが入力したログイン情報を使用してアカウントに侵入するだけです。
https://esetireland.files.wordpress.com/2014/07/ms12.jpg
https://esetireland.files.wordpress.com/2014/07/ms22.jpg
https://esetireland.files.wordpress.com/2014/07/ms3.jpg


ユーザーはどう対策すればよいのか

まずは最新の情報を把握しましょう。詐欺に関する知識をしっかりと押さえておけば、油断に付け込まれる可能性も低くなります。ESETアイルランドのブログやESETのWe Live Securityでは、最新のセキュリティ情報を定期的に公開しています。

メールは注意深く読み、怪しい点がないかチェックしてください。スペルミスや稚拙な表現があれば、偽メールの可能性を疑いましょう。多くの詐欺師は英語を第一言語としない国の出身であるため、文章の質が大きな手掛かりとなります。この特徴は、アイルランドで使用されるゲール語での同種の詐欺にも当てはまります。さしずめGoogle翻訳などを使用して、ネイティブのアイルランド人を騙そうとしているのでしょうから。

メールに記載されているリンクをクリックしてはいけません。Microsoftアカウントを所有しており、こうしたメールで不安を駆られたとしても、ブラウザーを開いてMicrosoftのサイトに直接アクセスするようにしてください。また、Webサイトのアドレスに不審な点がないかどうかも確認してください。上記のMicrosoftの偽アドレスの場合、Webサイトのアドレスに「yazarlarparlamentosu.org」とあります。Microsoftと無関係であるのは明らかです。

詐欺だと見抜けずに指示に従ってしまった覚えのある方は、パスワードを変更してください。たとえ大丈夫だという方でも、パスワードは必ず定期的に変えるようにしましょう。

メールがご利用の銀行から送られたように思える場合でも、記載されているリンクはクリックせずに電話で直接問い合わせてください。職員の方々はこの種の詐欺に精通しており、適切にアドバイスしてくれるでしょう。

安易なクリックは避けましょう。意識一つでオンライン生活は安全にも危険にもなります。

ESETのコーポレートニュース
  • ESET NOD32アンチウイルスとESET Smart Securityのベータ版をリリース
    ESETでは、毎日のように出現する新しい脅威からユーザーを保護するために、新ソリューションの投入、プラットフォームや技術の強化を通じて、より強力な保護機能を提供できるよう日々取り組んでいます。
    こうした信念の下、ご好評いただいている個人向けソリューションESET Smart Securityと、ESET NOD32アンチウイルスの最新バージョンのベータ版をこのたびリリースする運びとなりました。
    最新バージョンの主な強化ポイントとしては、ボットネット対策技術やExploit Blockerモジュールが挙げられます。また、従来から搭載済みの他の機能についても強化が図られています。
  • ESETラテンアメリカが開設10周年
    今年の7月から8月にかけて、ESETラテンアメリカのオフィスは開設10周年という節目を迎えました。
    ラテンアメリカ圏にグローバルオフィスの設立を、という目標を掲げ開設された同オフィスは、10年という時を経て当初の志を完全に実現しました。さかのぼること10年前の2004年、Ignacio Sbampatoをはじめとする少人数のチームがアルゼンチンのブエノスアイレスで立ち上げた組織は、今やメキシコとブラジルにもオフィスを構え、約70人のスタッフを抱えるまで成長しています。
マルウェアランキングトップ10
1. Win32/Bundpil[全体の約2.18%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。通信にはHTTPプロトコルが使用されます。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

2. JS/Kryptik.I[全体の約1.83%]
前回の順位:2位
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
3. Win32/Adware.MultiPlug[全体の約1.53%]
前回の順位:7位
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
4. Win32/RiskWare.NetFilter[全体の約1.46%]
前回の順位:3位
Win32/RiskWare.NetFilterは、感染PCにおいて好ましくない挙動を引き起こすよう設計された悪意のあるコードを含むアプリケーションです。攻撃者はこのアプリケーションを使用して、感染したシステムにリモートから接続して乗っ取り、個人情報の入手や他のマルウェアのインストールを行います。
5. LNK/Agent.AK[全体の約1.40%]
前回の順位:4位
LNK/Agent.AKは、本物または正規のアプリケーション/フォルダーを実行するためのコマンドを連結して、バックグラウンドで脅威を実行するリンクで、autorun.infという脅威の新たなバージョンとなる可能性があります。この脆弱性はStuxnetの発見に伴い知られるようになり、悪用された4つの脆弱性のうちの1つでした。
6. Win32/Sality[全体の約1.38%]
前回の順位:5位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
7. INF/Autorun[全体の約1.20%]
前回の順位:8位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。
8. HTML/ScrInject[全体の約1.13%]
前回の順位:6位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
9. Win32/Ramnit[全体の約1.10%]
前回の順位:ランク外
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
10. Win32/Conficker[全体の約1.08%]
前回の順位:9位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。

ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2014年8月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.18%を占めています。

2014年8月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!