MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2015年1月 世界のマルウェアランキング

この記事をシェア
2015年1月のマルウェアランキング結果発表
目次
タブレット端末にセキュリティ対策は必要?
David Harley、ESETシニアリサーチフェロー

本稿は以前、IT Security UKのサイトに掲載されたこちらの記事に加筆、修正したものです。しかし、当初の記事はそれほど影響がなかったようです。ここ最近いくつかのフォーラムの議論に参加しましたが、携帯端末を保護すべきか、そしてどのように保護すべきかという疑問の声が相変わらずユーザーから挙がっていましたから。そもそもの執筆に至ったきっかけは、数か月前に私のブログ記事に寄せられた1件のコメントでした。本稿とは直接関連性がないので特にリンクは記載しませんが、WeLiveSecurity内の記事だったことは確かです。コメントの投稿者は、彼女のタブレットにアンチウイルスソフトウェアをインストールする必要があるかどうかを知りたがっていました。というのも、息子さんから「タブレットはウイルスに感染しない」と言われたそうで、アンチウイルスベンダーがモバイルマルウェアの検出を理由に不要なアプリを購入させようと企んでいるのではないかと不審感を抱いていたらしいのです。

ブログのコメントの場合、「荒らし」の見極めはしばしば困難です。匿名での送信が容易で、しかもスパムが高度化している(低レベルなものもありますが)現状に加え、動機の純不純は別にしてトラブルにつながるような意見も寄せられるためです。それでも、私はこの投稿者に対し短いメッセージを返しました。そして、多くの人が(少なくとも社外では)スマートフォンやタブレットをメインの端末として利用している昨今、同じような疑問を抱えている方が多いのではないかという考えに至り、このテーマについてさらに掘り下げてみることにしたのです。

さて、タブレットならウイルスに感染しないというのは真実でしょうか。「まったく問題ない」というとオーバーですが、携帯端末が通常、「本物」のウイルスに感染しないというのは確かです。しかし、Linux向けのアンチウイルスソフトウェアの必要性という多少関連性のあるトピックのブログでAryeh Goretskyが指摘したように、Windowsを狙う高プロファイルのウイルスが今でもときおり確認されるとはいえ、もはや自己複製するマルウェアにさえ気を付ければ良い時代ではないのです。実際、DOSやWindowsなど、かつて猛威を振るっていたプラットフォームでも、はるか以前からウイルスらしいウイルスはほとんど見られなくなっており、その技術に対する知識も今となっては過去の遺物で、披露する機会もまずありません。もちろん、「かつて地球を支配したウイルス10種」といった記事を不定期に執筆するジャーナリストや、セキュリティブロガーがMichelangeloやLovebugのような長期間流行したウイルスやワームの誕生○○周年と回顧する場合なら話は別ですが。

ウイルスらしい動作を見せない、昨今の悪意のあるソフトウェアは全くの別の話です。悪意の解釈は、甚大な被害をもたらす破壊性を備えたトロイの木馬から、ジョークアプリやそれほど悪質ではないアドウェアまで、人によってそれぞれでしょう(ただし、感染したシステムを使用不能に追い込むほどの攻撃的なアドウェアも存在します)。しかし両極端の例を除いても、多くのタイプのマルウェアは限りなくグレーなゾーンで暗躍しています。そして、明らかに悪意のあるソフトウェアの固有のサンプルが最も多いプラットフォームと言えばWindowsですが、他のプラットフォームを狙う攻撃も大量に確認されています。その多くが、プラットフォームの枠を越えて活動できるように、ハードウェアプラットフォームやオペレーティングシステム(OS)ではなく、プログラミングまたはスクリプト環境をターゲットとしています。

私のブログ記事のコメント欄に質問を投稿した女性は、使用しているタブレットの種類を記していませんでしたが、Androidを狙うマルウェアは膨大に存在します。Androidのセキュリティスイートに関するテストを先日実施したAV-TESTによると、テスト時点でのマルウェアサンプル数は180万だったそうです。開発元のGoogle側のコメントにもありますが、この数字については、Androidの利用者がいかに多く、マルウェアにとって魅力的であるという解釈もできると思います。

もちろん、デバイスやOSのバージョンの間でも攻撃の受けやすさに差が生まれます。iOSも安全とは言えませんが、iOSを狙うマルウェアの大半Jailbreak(ロック解除)されているデバイスを主なターゲットとしています。Appleが実施するアプリのサンドボックス化とApp Storeのホワイトリスト登録という厳格なアプローチは概して、iGadgetを明白なマルウェアから幅広く保護していますが、同時にアンチウイルスベンダーがプラットフォームにフル機能のマルウェア検出ソフトウェアを実装することをほぼ不可能にしています。iOS用のオンデマンドスキャナーは狭義では存在しますが、こうしたスキャナーはWindowsとMac向けのマルウェアに焦点を置いており、正真正銘のiOSバッドウェアと呼ばれる一握りのプログラムは軽視しています。これはおそらく他のプラットフォームを標的とするマルウェアがタブレットに侵入するケースが理論上あり得るためで、私とLysa Myersが2013年のVirus Bulletinで発表した論文に記したとおり、iOSネイティブでなくiGadget上で実行できないマルウェアが、「脆弱性のあるシステムへの入り口としてiGadgetを使用」する可能性もあります。

私たちは数年前から、他のOSにおけるこのようなプロセスについて「Heterogeneous Malware Transmission(異種環境間でのマルウェア転送)」という表現を使っています。おそらく、このタイプの事象の最も悪名高い例は、1990年代に流行したMicrosoft Wordのマクロウイルスでしょう。大半のマクロウイルスが、脆弱性のあるMacシステム(すなわち、脆弱なWordバージョンを実行していたシステム)上のWord文書への感染を十分に可能としていましたが、ペイロードのほとんどがWindows固有であり、実行することができなかったのです。

そのため、膨大な量の感染文書が、Mac上の感染可能なWordバージョンを使用しているユーザーを介して、ペイロードを実行できるWindowsシステムへと入り込んだのです(ユーザーが当時の最新セキュリティソフトウェアを実行していた場合を除きます)。このケースでは、厳密に言えば「異種」という表現が相応しくないかも知れません。両OS間の差違は、単なるバイナリー互換性ではなく、あらゆるOSに共有の環境だからです。一方、Mac、Windows対応Wordの各バージョンには現在、バイナリー互換性がありません。つまり、双方のプラットフォーム上で同じバイナリーを実行することができないのです (もちろん、Mac上でエミュレートされたWindows環境でWindowsのWordを実行することは可能です)。ただし、Wordマクロは、ベースとなるOSではなく、Wordアプリケーションに固有です。悪意のあるWordマクロは現在ほとんど見られませんが、現存するマクロは基本的に、Wordが実行されるOS上ではなく、Word上で実行されます。そのため、類似するバージョンのWordがMacとWindowsの両OSで動作する場合(Word 6.xの場合のように)、マクロ間である程度の互換性が確保される可能性もあります。

(マクロを悪用するマルウェアははるか昔に絶滅したと思う方もいるでしょうが、それは正確ではありません。標的型のマルウェアやAPT攻撃は相変わらず攻撃手段として文書を使用しており、非標的型のマルウェアも同様の手法を用いている事実が判明しています(一部のマルウェアは、さまざまなセキュリティ製品で早期に大量検出される傾向にありますが)。)

アプリケーションおよびアプリケーションフレームワークは、今や幅広いプラットフォームで利用できるようになっています。ベースとなるバイナリーは、実行されているOSやプラットフォームに固有ですが、アプリケーション自体は、まったく異なるOSやハードウェア上の同一アプリケーションとある程度の互換性を持つコードを実行できます。そのコードに悪意がある場合、アプリケーションフレームワークの基盤となるOSとハードウェアのセキュリティ対策が不十分であれば、さまざまな組み合わせのOS とハードウェアにおいて動作する可能性があります。

元々実行するよう意図されたプラットフォーム以外のプラットフォームではマルウェアが正常に動作できない場合でも、実行できないプラットフォームを介して転送されるケースがあります。その場合、実行可能な環境に達し、実行するまでは「潜伏」している可能性があります。

他にも、一般的にマルウェアの攻撃を受けにくいと考えられているプラットフォーム上で使用するセキュリティソフトウェア(もしあれば)について検討する場合は、以下の2つのタイプのマルウェアに留意する必要があります。

  • 正真正銘のマルウェアというよりは「おそらく不要」という表現の方が近い、悪意の有無のボーダーライン上のアプリ。
  • JailbreakされたiGadgetなど、メーカーによって承認または署名されていないアプリケーションをより簡単に実行できるように、OSに組み込まれたセキュリティ機能を回避するように改ざんされているデバイスのみを支配するマルウェア。

個人的には有用性が疑わしいセキュリティアプリは大量に存在していますが、こうしたアプリはマイナーなセキュリティベンダーによって開発されている傾向にあります。そしてもちろん、役に立たないだけでなく悪意を持った“セキュリティアプリ”も存在します。幸いなことに、これらはたいてい、長きにわたって認知されている販売チャネルでは入手できないようになっています。個人的にはおすすめしませんがそれでもセキュリティアプリを購入しようとしている方で、安全を第一に考えているのであれば、他のプラットフォーム用のセキュリティプログラムにおいて実績を積んだ企業の製品を選ぶのが賢明です。ただし、主要セキュリティベンダーも携帯端末向けの無料のセキュリティ製品を多数提供しています(デスクトップ向けの製品と比べて機能が大きく制限される場合もありますが)。

AV-TESTは2014年、Android向けのセキュリティソフトウェアに焦点を置いたテストを多数実施しました。詳細については、以下のURLをご覧ください。

AV-Comparativesも、Androidのセキュリティ製品に関する包括的なレビューを公開しています。

AMTSOでは、モバイル製品のテストへの参加に意欲的な方を対象とした有用なガイドラインを公開しています。詳細については、以下のURLをご覧ください。
http://www.amtso.org/released/20140220_AMTSO%20Guidelines%20on%20Mobile.pdf

PC総合誌ではiOS向けのセキュリティアプリの比較レビューをたびたび公開していますが、素直におすすめできるレビューにはいまだ出会っていません。一方で、セキュリティアプリの評価を実施している主要なテスト機関は現在ほぼありません。Jailbreakしたデバイスを使用しないと、ほとんどのアプリは適切にテストすることが難しい、というのが主な理由です。Jailbreakが「平均的な」モバイルユーザーには馴染みがないとは言え、この点はすぐに大きな問題を引き起こすでしょう。また、iOS環境のシミュレートも問題となります。

ESETのコーポレートニュース
  • EGerald C. Choung氏がセールス担当バイスプレジデントに就任
    ESETRは、Qualcomm, Inc.(現Omnitracs)の元チャネル戦略およびセールス担当シニアディレクターであるGerald C. Choung氏が、セールス担当バイスプレジデントに就任したと発表しました。パートナーおよびチャネル開発、セールス活動、エンタープライズ向けソフトウェアのセールスの各分野で20年以上の経験を有するChoung氏は、ESETにとって大きな戦力となります。
    ESETノースアメリカのCEO、Andrew Leeは次のように述べています。「このたびChoung氏が当社の拡大中のチームに加わることを大変光栄に思います。インターネットとデータのセキュリティが組織の最優先事項となりつつある今日、Choung氏の就任は絶好のタイミングです。ESETを成長軌道へと導いてくれると期待しています。」
    ESETノースアメリカのセールス担当バイスプレジデントとして、Choung氏は北米地区のセールスチームを指揮するとともに、ESETの堅牢なパートナーおよび代理店ネットワークにおける戦略的方向性を定めます。
  • DESlock+ for iOSにより暗号化ソリューションがさらに充実
    ESETRは、北米におけるチャネルパートナーが、統合パートナーシッププログラムであるESET Technology Allianceを通じて、AppleRのモバイルプラットフォームで実行されるデバイス向けの使いやすい暗号化アプリケーション、DESlock+ for iOSの独占権を取得したと発表しました。この技術により、一般のお客様を始めあらゆる規模の企業のお客様も、iOSデバイス上の電子メールや添付ファイル、テキストを暗号化、復号化することが可能となります。
    ESETノースアメリカのCEO、Andrew Leeは次のように述べています。「今日のサイバー犯罪の分野では、暗号化は多層型のセキュリティアプローチにおいて不可欠な要素であり、この技術を未導入の企業は顧客をリスクにさらしていることになります。中央のサーバーから機能と設定を容易に管理できるDESlock+等の製品を使用すれば、IT担当者は暗号化への対応という課題に悩まされることもありません。柔軟性と使いやすさにおいてDESlock +は群を抜いています。この製品の保護対象がiOSユーザーにまで拡大できることを嬉しく思います。」
    DESlock+社は、2013年よりESET Technology Allianceに加わっています。同社の製品は、企業のインフラのセキュリティ強化とデバイスの効果的な暗号化というメリットを当社のお客様にもたらします。
マルウェアランキングトップ10
1. HTML/Refresh[全体の約2.77%]
前回の順位:1位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
2. Win32/Bundpil[全体の約2.37%]
前回の順位:2位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C(指令)サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.

3. Win32/Adware.MultiPlug[全体の約2.04%]
前回の順位:3位
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
4. HTML/ScrInject[全体の約1.42%]
前回の順位:ランク外
HTML/ScrInjectは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
5. Win32/Sality[全体の約1.39%]
前回の順位:5位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
6. LNK/Agent.AV[全体の約1.23%]
前回の順位:8位
LNK/Agent.AVは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
7. Win32/Ramnit[全体の約1.23%]
前回の順位:10位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、dllファイルやexeファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を書き込みます。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
8. JS/Kryptik.I[全体の約1.22%]
前回の順位:ランク外
INF/Autorunは、autorun.inf設定ファイルの中で、マルウェアによって作成されたものの汎用検出名です。この悪意のあるファイルには、マルウェアの実行ファイルへのパスが記述されています。感染したドライブをマウントするとマルウェアの実行ファイルが自動実行されるようにするため、通常はアクセス可能なすべてのドライブのルートフォルダー内に作成されます。Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
9. INF/Autorun[全体の約1.16%]
前回の順位:7位
INF/Autorunは、autorun.inf設定ファイルの中で、マルウェアによって作成されたものの汎用検出名です。この悪意のあるファイルには、マルウェアの実行ファイルへのパスが記述されています。感染したドライブをマウントするとマルウェアの実行ファイルが自動実行されるようにするため、通常はアクセス可能なすべてのドライブのルートフォルダー内に作成されます。Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
10. LNK/Agent.AK[全体の約1.07%]
前回の順位:6位
LNK/Agent.AKは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。この脆弱性はStuxnetの発見に伴い知られるようになり、その亜種によって悪用された4つの脆弱性のうちの1つでした。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2015年1月度のランキングは、「HTML/Refreshl」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.77%を占めています。

2015年1月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!