MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2014年9月 世界のマルウェアランキング

この記事をシェア
2014年9月の月間マルウェアランキング結果発表
目次
毒をもって毒を制すべきか?
David Harley、ESETシニアリサーチフェロー

Darren Pauli氏は、セキュリティの専門家であるMatthew Weeks氏が、遠隔操作ソフトウェアAmmyy Admin 3.5の欠陥を逆手にとって、クライアントマシンの「乗っ取り」に使用されているマシンを攻撃するMetasploitモジュールをリリースしたという記事をThe Registerに掲載しました。

その背景には、ターゲットのマシン乗っ取りを企てるサポート詐欺師たちが、そのマシンがマルウェアに感染していると「証明」するためや「保護対策」用のソフトウェアをインストールするためなど、不正な目的のためにAmmyyソフトウェアを頻繁に利用しているという実態があります。この記事をご覧になれば、サポート詐欺師の手口についてよくわかると思いますが、それでも疑問が解消されなければ、こちらのサイトにアクセスして各種情報をご覧ください。

サポート詐欺師たちのシステムはおろか、活動も擁護しようとは思いませんが、この措置には、従来のウイルス対策以上に不穏な空気が漂います。Weeks氏は次のように説明しています。

「普段はゼロデイ攻撃を仕掛けることなどしませんが、Ammyy Adminに関する報告や使用状況を考慮して、罪のないユーザーに害が及ぶ可能性は極めて低いと判断し、例外的に実行することにしました。侵害のリスクに主にさらされるのは詐欺グループです。」

「主に」とはどういうことでしょうか。Weeks氏は詐欺師以外にはリスクがほとんどないと確信しているようですが、私はすんなり同意できません。いずれにしても、誰がこれを利用するのでしょう。Weeks氏は次のように述べており、自分で使う気はなさそうです。

「これまでに詐欺グループからの電話を受け取った経験がないので、テストやデモの場合を除いては、一度も試していません。」

詐欺の潜在的なターゲットが利用できる対抗手段とならないのは間違いないでしょう。サポート詐欺電話を受けたターゲットは、そもそも攻撃者の強弁内容に(技術面での)論理的破綻を見破るほどの知識を持ち合わせていないわけですから、Metasploitと言われてもピンと来ないはずです。このモジュールを試して詐欺師を足止めしようとする人もいるでしょうが、(Pauli氏が示唆するように)ハッカーをハッキングするという行為は、本人は倫理的に正しいと思っていても法的責任を問われる(英国のコンピューター不正使用法を参照してください)可能性があります。例えばボットネットを閉鎖に追い込むケースのように、そこに倫理的妥当性を見出すこともできるかもしれませんが、ボットネット対策も法に抵触しない範囲で行われなければなりません。

では、このような措置を講じれば、詐欺師たちは大人しくなるでしょうか。私は、連中がこの措置に気が付いたらすぐに修正してしまうと思います。Ammyyソフトウェアの正規ユーザーよりも早いかもしれません。あるいは単に、サポート詐欺用にあまた存在する別のリモートアクセスシステムに乗り換えるだけでしょう。

この記事の公開後、Malwarebytesでサポート詐欺に関する記事を数件執筆しているJerome Segura氏も、詐欺師がより攻撃的になる可能性が高いと指摘しました。

mal1409_img01.gif

計画を邪魔されたサポート詐欺師が狂暴化するケースがありますが、これは間違いなくその一例と言えるでしょう。ただ脅し文句を並べるだけでなく、場合によってはターゲットのシステム破壊という暴挙に打って出るかも知れません。

続いて、サポート詐欺について私が執筆した、あるESETブログの記事に匿名で寄せられたコメントをご紹介します。

「私も今日、同様の電話を受け取りました。相手はMicrosoftの社員であると名乗り、フランスのユーザーに電話しているとのことでした。この人たちは、フランス人がみな英語を話すと思っているのかと疑問に思いました。まぁ、Microsoftならフランスにもオフィスはあるでしょうが...」

詐欺師が、英語があまり話されていない地域にも「魔手」を伸ばそうとしていることを示す興味深いエピソードですね。米国や英国、オーストラリアで「フィッシング詐欺が氾濫」している実態を考慮すれば(私も以前、この種の詐欺電話を1日に数回受け取った経験があります)、非英語圏に侵略するのもおそらく時間の問題です。もはや、やすやすと誘いに乗ってくれるユーザーが英語圏には残っていないのでしょう*。

「…相手がPCの遠隔操作を行えるようにするソフトウェアのサイトにアクセスするよう指示してきたので、私は電話を切りました」

ところでこの事例は、前述したAmmyyの脆弱性を利用して潜在的なハッキングを回避しようとするケースとは別物のようです。ammyy.comを利用する手口は非常に多く、米国ではAmmyy詐欺で通っているほどですが(しかもAmmyyが実際に関与していると誤解している人もいます)、他の正規のリモートアクセスソフトウェアも詐欺師に頻繁に悪用されています。

「...私は、彼らが話す英語にインドなまりがあることに気づきました。アップルの「A」、オレンジの「O」、インディアナの「I」、フォルダーの「F」、ウェブの「W」、イングリッシュの「E」、ドクターの「D」のいずれも標準的なネイティブスピーカーの発音とは異なっていたからです」

すべてではないにせよ、大半のサポート詐欺において、発信者の英語にインドなまりが感じられたと報告されているのは確かです。一方で、欧米言語、あるいはその姉妹言語を母国語とする詐欺師によるケースも確認されています。この種の詐欺を働くサービスセンターの一部は、多くの正当なヘルプデスクのオペレーターと同様に、合法的なサポートも行っています。実際、自分の行為が正当なのか詐欺なのかよく理解していないような詐欺師も存在します。ですから、これはおそらく、すべてのサポート詐欺師に共通する特徴ではなく、たまたまなまりを持つ人が電話をしてきたということなのでしょう。

Blue CoatのChris Larson氏は数週間前、Microsoft Security Essentialsを装って不正なウイルススキャンを行うサイトに関するブログ記事を執筆しました。そのサイトでは、従来の偽のアンチウイルスソフトウェアをダウンロードするよう促すメッセージが表示される代わりに、ライブチャットを利用して「勤務中」のサポートスペシャリストに問い合わせるよう促されます。

Righard Zwienenbergによる年中無休のチャットサポートサービス(実際は週休2日)に関する記事「ACAD/Medre.Aの対策ツールを提供するという奇妙なサイトを確認」(2012年)や、Jerome Seguraが今年執筆した「Netflixを利用したフィッシング詐欺が発覚。助けてくれるのはMicrosoft?」からもわかるとおり、この手口は目新しいものではありません。「Facebookの「いいね!」の過信は禁物」(2011年)では、自らターゲットに積極的に接近するのではなく(あるいはそれと並行して)相手のアクセスを待つサイトについて解説しています。また、AVIENのサイトにはサポート詐欺に関する各種ページへのリンクが多数掲載されています。

連中とて、ただ考えなしに電話をかけているわけではないでしょう。同じ詐欺師でも、災害補償を装った詐欺や架空の行政機関からの無担保負債など、あの手この手と手法を変えて熱心に訴えかけてきます。以下は、私が以前執筆したブログ記事からの引用です。

政府補助金が支給されたと偽って製品やサービスを提供するケース。私自身もこれまでに住宅ローンの提案からリフォームの補助金まで、さまざまな申し出を受けました。財政逼迫の折、政府にキッチンの増築や温室設置に補助金を出す余裕があるとは到底考えられません。

過払い税金の払い戻しや銀行の手数料の返金、住宅ローン控除の還付金などを申し出るケース。私が最後に税金の還付を受けたのはいつ頃だったでしょうか。おそらく1970年代だと思います。「国民から金を搾取するつもりは毛頭ないが、だからといって還付できるだけの余裕もない」このご時世でも、頻繁でないにせよ実際にこの類の還付を受けている人もいるでしょう。とはいえ、担当の機関や組織が「あなたは還付を受けられます」などとわざわざ連絡を寄こすために時間やコストをかけるとは無理な話です。ましてや電話を代行するインドのコールセンターへの多額の投資など、今後もあり得ないと確信しています。

ESETのコーポレートニュース
  • ESET Cyber Security Pro for MacがAV-Comparativesの最新テストで高評価を獲得
    Mac OS用のセキュリティソフトウェアであるESET Cyber Security Proは、第三者評価機関のAV-Comparativesが実施した「Mac Security Test and Review 2014」において傑出した成績を記録しました。「Mac Security Test and Review 2014」は、複数のオペレーティングシステムに感染するクロスプラットフォーム型マルウェアの検出率を評価するためのテストです。
    同テストでは主に、Mac OS用セキュリティソフトウェアのマルウェアおよびフィッシングの検出性能に着目しています。テスト対象となったESET Cyber Security Proは次のように評価されています。「マルウェアに対する傑出した防御性能とともに、洗練されたユーザーインタフェースを備えています。主な機能と情報にはメインウィンドウからすぐさまアクセスでき、アラートもわかりやすく表示されます。またヘルプ機能も模範的です。マルウェア検出テストでは、すべてのMacを対象としたマルウェアとWindowsを対象としたマルウェアを検出し、満点のスコアを記録しました。」
  • ESETの研究者によるWindigoに関する論文がVirus Bulletinカンファレンスで「mal1409_img02.gifアワード」を受賞
    ESETカナダの研究チームが執筆した攻撃活動「Windigo」に関する研究論文が、米国シアトルで先日開催された第24回Virus Bulletin国際カンファレンスにおいて、最も優れた技術論文であるとして「mal1409_img02.gifアワード」を受賞しました。Virus Bulletinの運営責任者のJohn Hawes氏は、次のように述べています。「昨年亡くなった偉大なるセキュリティ研究者であるmal1409_img02.gif氏への追悼の意を込めて今年から設置されたこのアワードの初代受賞者となったのはESETカナダでした。同チームの論文は、Windigoについて深く広範囲に調査している、各種の革新的な技術を使用している、他の研究者や関係者と高レベルの連携を図っている、といった点が、すぐれた功績を挙げてきたmal1409_img02.gif氏の精神に沿っているとして高く評価されました。このアワードにより、今後もESETやその他の研究機関による質の高い研究が促進されることを期待しています。」
マルウェアランキングトップ10
1. HTML/Refresh[全体の約3.89%]
前回の順位:ランク外
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
2. Win32/Bundpil[全体の約2.29%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。通信にはHTTPプロトコルが使用されます。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

3. JS/Kryptik.I[全体の約2.03%]
前回の順位:2位
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
4. Win32/Adware.MultiPlug[全体の約1.88%]
前回の順位:3位
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
5. Win32/RiskWare.NetFilter[全体の約1.52%]
前回の順位:4位
Win32/RiskWare.NetFilterは、感染PCにおいて好ましくない挙動を引き起こすよう設計された悪意のあるコードを含むアプリケーションです。攻撃者はこのアプリケーションを使用して、感染したシステムにリモートから接続して乗っ取り、個人情報の入手や他のマルウェアのインストールを行います。
6. LNK/Agent.AK[全体の約1.46%]
前回の順位:5位
LNK/Agent.AKは、本物または正規のアプリケーション/フォルダーを実行するためのコマンドを連結して、バックグラウンドで脅威を実行するリンクで、autorun.infという脅威の新たなバージョンとなる可能性があります。この脆弱性はStuxnetの発見に伴い知られるようになり、悪用された4つの脆弱性のうちの1つでした。
7. Win32/Sality[全体の約1.36%]
前回の順位:6位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
8. HTML/Iframe.B[全体の約1.34%]
前回の順位:ランク外
脅威のタイプ:ウイルス

HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
9. Win32/Danger.DoubleExtension[全体の約1.26%]
前回の順位:ランク外
Win32/Danger.DoubleExtensionは、ファイル名に2つ以上の拡張子を使用して文書ファイルや画像ファイルに見せかけるファイルの汎用検出名です。実際のファイル形式はPE32です。最後尾には実行可能形式を表す拡張子が付いています。
10. INF/Autorun[全体の約1.20%]
前回の順位:7位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2014年9月度のランキングは、「HTML/Refreshl」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.89%を占めています。

2014年9月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!