MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2014年11月 世界のマルウェアランキング

この記事をシェア
2014年11月の月間マルウェアランキング結果発表
目次
カンファレンス用論文の再読のすすめ
David Harley、ESETシニアリサーチフェロー

アンチウイルス業界(アンチウイルスのみを専門とする大手企業は今や存在しませんが)において、夏の終盤から始まったカンファレンスシーズンは、AVAR(Association of Anti-Virus Asia Researchers)国際カンファレンスの閉幕をもって終わりを迎えました。2014年の暮れとともに、セキュリティカンファレンスもしばらくはお休みになります。しかし、カンファレンス用の論文はクリスマスとは異なり、季節的なものではありません。そのため、私は自分がこれまでに手掛けた論文をすべて再読できる状態に維持しています(一部はもはや過去の遺物と化していますが)。
9月のVirus Bulletinカンファレンス以降、Martijn Grooten氏は、同カンファレンス用に発表された論文・レビュー関連のブログ記事を連載しています。いずれもVirus Bulletinのサイトで閲覧可能で、Jean-Ian BoutinによるWebinjectのコモディティ化に関する論考や、Eugene Rodionov、Aleksandr Matrosov、そして私が共同で執筆したbootkitの継続的な進化に関する研究などが紹介されています。以下に、両者の紹介記事へのリンクを掲載しておきます。

各記事には、論文(HTML形式とPDF形式)へのリンク、スライド資料(すべてVirus Bulletinのサイトからダウンロード可能)、Virus BulletinのYouTube動画(当日のプレゼンのスピーチ付きスライド)が掲載されています。

Bootkitに関する論文にはこちら(PDF)、そのプレゼン用スライドにはこちら、Webinjectsに関する論文にはこちら(PDF)、そのプレゼン用スライドにはこちらからアクセス可能です。より詳細な情報については、Virus Bulletinの各ブログ記事で確認できます。このブログシリーズでは、Virus Bulletin 2004以降の他の文書やプレゼンに関する同様の記事もご覧いただけます。

一方、シドニーではAVARカンファレンスが開催されました。開催地にちなみ「Security Down Under(オーストラリアには「Down Under」という別称があります)」とも呼ばれるAVARカンファレンスは、17回目の開催となりました。私が同カンファレンスに出席し、論文を発表するようになったのは2003年からですが、Virus Bulletinカンファレンスのある講演者から当時まだ設立間もない組織に招待してもらったのが随分昔のことのように思えます (偶然にも、同年の開催地もシドニーでした)。私が今年発表した論文「Lemming Aid and Kool Aid: Helping the Community to help itself through Education」は、ESETラテンアメリカのSebastian Bortnikとの共著です。彼は、今回のカンファレンスでのプレゼンにおいても大活躍でした。論文はこちらからご覧いただけます。間もなく、このトピックに関する長めのブログ記事が1~2件投稿される見込みです。

Peter Kosinarによるプレゼン「Stealing the internet, one router at a time」やSebastien Duquetteの「Exploitation of CVE-2014-1761 in targeted attack campaigns」に関するブログ記事の掲載予定まではわかりませんが、ESETの両研究者のプレゼンは同業者から高い評価をいただきました。

さて、AVARでは最優秀プレゼンを決める投票が行われましたが、最も票を獲得したのはGraham Cluley氏による基調講演「What 20 years working in the Anti-Virus industry taught me」でした。Graham氏と知り合ったのはかなり前のことですが今回の受賞で、かねてから彼が確かな実績と洞察力を持ち合わせていると睨んでいた私の目が正しかったことが証明されました。ちなみに、彼が披露してくれたアンチウイルス業界の替え歌は言葉では言い表せないほどのパフォーマンスでしたが、残念ながら、再演の予定はないそうです (私たちとしてはぜひともお願いしたいところですが)。

なお、カンファレンス後のパーティーで毎回、モトリー・クルー張りのセキュリティ研究者がマイクを握るということはありません。ESETが携わる会議の終わりにこうした余興を設けることは今ではほとんどないのです。せっかくですから、YouTubeにアップされたAV-TESTのAndreas Marx氏らによるバンド演奏もぜひご覧ください。

米FTC、技術サポート詐欺グループを摘発

本記事はIT Security UKのサイトに掲載された記事を加筆、修正したものです。

ターゲットにいきなり電話をかけ、不安を煽るようなセールストークで偽のセキュリティ製品を売りつけようとする―。このような迷惑極まりない技術サポート詐欺を企てる連中とも長い付き合いとなりました。Microsoftの関係者を名乗り、サポートを申し出る詐欺グループに関する記事を私が初めて執筆したのは2010年の初夏のことです(もっと前から書いてきたような気分ですが)。以下は、私が当時執筆した記事の一文です。

「...ターゲットのPCがウイルスに感染していることを告げ、アンチウイルスソフトウェアの購入をすすめてきます。」 この文章をタイプしながら、私はひどくイライラしていました。というのも、「どこのアンチウイルスソフトウェアかと尋ねると、電話の相手は『ESET製』だと答えたのです」。詐欺の道具に利用されるなんてたまったものではありません。

しかし、後にこの一件が、とてつもなく巨大で、しかも汚れきった氷山の一角に過ぎないとわかります。詐欺グループが用いる手口は高度化の一途を辿っており、手を変え品を変えターゲットに「サポート」の必要性を訴えかけてきます。こうした問題に対し、多大な時間と労力を投じてユーザーの意識向上に取り組んでいますが、見合った成果が得られているとはとても思えません。そんな中、IT&テクノロジー関連のニュースサイト『The Register』のKelly Fiveash氏が先日、「MicrosoftやFacebookの関係者に成りすまし、技術サポートを提供するとしてユーザーから金銭を騙し取った疑いで米企業を摘発」と報じました。

今回俎上に載せられたのは、ニューヨークに本社を置くIT関連のサービスプロバイダ、Pairsys社。米連邦取引委員会(FTC)が提出した文書によると、申し立てが正しければ、以下のよく見られる流れで詐欺行為が行われていたようです。

「被告は、実際には存在しないのにもかかわらずターゲットのPCに問題があると指摘し、149~249ドル程度の修理サポートを持ちかけるテレマーケティングを行います。スパイウェアやウイルスなどのインターネット上の脅威を危惧する心理を悪用し、PCが感染または破損していると告げて相手の不安を煽ります。本当に感染または破損している証拠は提示せず、代わりに害のないシステム情報やユーザーを怖がらせるメッセージを提示します。」

当面Pairsys社は「悪質なテレマーケティング業務および顧客リストの第三者への販売、貸出が禁止されます。また、同社のサイト閉鎖や電話停止、資産の凍結も命じられます。」

さらについ最近も、FTCは、「偽のマーケティング用ソフトウェアや技術サポートサービスを提供」して1億2,000万ドルを騙し取ったとして、企業2社を摘発しました。訴状の申し立て内容は次のとおりです。

「FTCの申し立てによると、どちらの詐欺も、ターゲットのPCのセキュリティやパフォーマンスを向上させるというソフトウェアを起点とします。まずターゲットに、指定した無料試用版のセキュリティソフトウェアでシステムのスキャンを実行するよう促します。しかし被告のソフトウェアを試してみると、本当にパフォーマンス上の問題が存在するかどうかに関係なく、PCで膨大な数の不具合が見つかったというアラートが必ず表示されます。」

この申し立てが立証されれば、裁判所の目が行き届くところで活動する詐欺グループに対しても抑制効果があるでしょう。しかし、サポート詐欺(および他の電話詐欺)に関与する企業の大半が集中していると思われるインドでは、その影響はほとんど見られません。つまりFTCは米国では確かな影響を及ぼしていますが、多くの詐欺グループが今や国外に目を向けており、すでにそのほとんどが米国から拠点を移しているのです。そして米国とインドを隔てる垣根など在って無いような頼りなさで、驚くほど簡単に突破されてしまうのです。Brian Krebs氏は長めの記事を執筆し、「インドに業務をアウトソースしている米国の技術サポート企業は、インドを拠点として活動する技術サポート詐欺グループのせいで自社のブランド力が不当に損なわれている」と説明しています。以前から、セキュリティ企業を含め、技術サポートをアウトソースする企業の間では、一部のコールセンターで正当か詐欺かの区別が難しいサポートを行われているケースが認識されていました。しかし、同氏によると、企業が自らこうした問題を回避することは容易ではないようです。

対策を並べたページを1つ用意したところで、技術サポート詐欺の問題を解決できるわけではありませんが、サポート詐欺関連のリソースをまとめたこちらのページは役立ちますのでぜひご覧ください。私がこれまでに目にした中で特に良質な記事へのリンクを掲載しています。

ESETのコーポレートニュース

業界最高レベルの法人向けセキュリティスイートを完全リニューアル
★ESETは、自社のエンドポイントセキュリティ製品のパフォーマンスとユーザビリティーを大幅に見直しました。★
2014年の終盤、26年以上にわたって積み上げてきた業界をリードするセキュリティソリューション開発の経験をベースに、北米のエンタープライズアプリケーションや中小企業(SMB)を対象とする法人向けセキュリティスイートの完全リニューアル版を投入しています。

ESETは日々、1億台を超えるエンドポイントを保護していますが、その一方で次世代の技術や脅威対策について企業のお客様との積極的な協業を進めています。クラス最高レベルのスピードと検出性能はそのままに、法人向けの新製品は、今日で最も高度かつ管理性が高いセキュリティを実現できるように完全に再設計されています。インターネットセキュリティの強度を高め、社内のITリソースに対するニーズを低減します。新製品には、ファイルサーバーや電子メール通信、モバイルデバイスを含む、複数のエンドポイントに対する業界最高レベルの保護機能が搭載されています。

AV-Comparativesのパフォーマンステストで最高スコアを獲得
ESETは、独立系の比較評価機関AV-Comparativesによる最新のパフォーマンステストにおいて、ESET Smart Securityの最新バージョンが最高スコアを記録したと発表しました。

AV-Comparativesが最近公開した詳細なテスト結果によると、ESET Smart Securityの最新バージョンがAdvanced+アワードを獲得したとのことです。テストにはAVG、Avira、BitDefender、F-Secure、Kaspersky、McAfee、Sophos、Trend Microなど各ベンダーも参加しましたが、「ESETのソリューションが群を抜いていた」と記されています。

AV-ComparativesのCEOであるAndreas Clementi氏は次のように述べています。「ESETのソリューションは、私たちが1年を通じて実施してきたテストすべてにおいて一貫して高いパフォーマンスを達成しました。最新のパフォーマンステストでは、その優秀な保護性能に加え、PCの処理速度にほとんど影響を与えなかった事実も明らかになっています。」

Dennis Technology LabsよりHome Anti-Virus Protectionアワードを受賞
やはり独立系調査機関のD ennis Technology Labsが実施したテストにおいて、ESET Smart Security 7がインターネット上の脅威の検出と防御において保護性能100%を記録しました。この成績は、テスト対象(Norton、Kaspersky、Avast、Trend Micro、McAfee、BitDefender、AVG、Microsoft)の全製品の中で最も高いスコアでした。

Dennis Technology Labsのテクニカルディレクター、Simon Edwards氏は次のように述べています。「私たちが実施しているアンチマルウェア製品向けのテストは難度をかなり高く設定しています。ですから、1つの製品が、一定期間にわたって継続して好成績を収めるケースはまずありません。にもかかわらず、ESET Smart Securityの各バージョンは、ここ何年も私たちのテストで安定して優秀な成績を収めており、最新のレポートでも最高スコアを達成しました。」

マルウェアランキングトップ10
1. HTML/Refresh[全体の約3.13%]
前回の順位:1位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
2. Win32/Bundpil[全体の約2.33%]
前回の順位:2位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C(指令)サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

3. Win32/Adware.MultiPlug[全体の約1.93%]
前回の順位:5位
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
4. Win32/TrojanDownloader.Wauchos[全体の約1.48%]
前回の順位:ランク外
このトロイの木馬は、インターネットから別のマルウェアをダウンロードしようとします。オペレーティングシステムや設定、コンピューターのIPアドレスに関する情報を収集します。その後、収集した情報をリモートのコンピューターに送信しようとします。リモートのコンピューターもしくはインターネットからのファイルのダウンロードや実行ファイルの実行、レジストリーエントリーの登録、感染先のコンピューターからの自身の削除を行う場合があります。
5. Win32/Sality[全体の約1.41%]
前回の順位:8位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
6. LNK/Agent.AK[全体の約1.35%]
前回の順位:7位
LNK/Agent.AKは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。この脆弱性はStuxnetの発見に伴い知られるようになり、その亜種によって悪用された4つの脆弱性のうちの1つでした。
7. JS/Kryptik.I[全体の約1.29%]
前回の順位:3位
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
8. INF/Autorun[全体の約1.22%]
前回の順位:10位
INF/Autorunは、autorun.inf設定ファイルの中で、マルウェアによって作成されたものの汎用検出名です。この悪意のあるファイルには、マルウェアの実行ファイルへのパスが記述されています。感染したドライブをマウントするとマルウェアの実行ファイルが自動実行されるようにするため、通常はアクセス可能なすべてのドライブのルートフォルダー内に作成されます。Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
9. Win32/Ramnit[全体の約1.17%]
前回の順位:ランク外
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
10. HTML/ScrInject[全体の約1.08%]
前回の順位:6位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2014年11月度のランキングは、「HTML/Refreshl」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.13%を占めています。

2014年11月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!