2015年2月 世界のマルウェアランキング

この記事をシェア
2015年2月のマルウェアランキング結果発表
目次
Facebook上のデマを見抜くためのヒント
David Harley、ESETシニアリサーチフェロー

[IT Securityのブログより転載]

通常、セキュリティ業界はデマそのものに対してそれほど強い関心を示しません。しかし、どのような場合にも例外はあるもので、1990年代に大量に出回ったデマウイルスメールなどが好例です。問題の「ウイルス」がアンチマルウェアソフトウェアでは検出されない、といった類の非難の声が多く上がり、アンチウイルス業界の信用問題にまで発展しかねない事態となりました(この種の批判は最近、技術サポート詐欺師もターゲットとの会話の中であげつらっています)。

デマは人間の心理的な隙を突くソーシャルエンジニアリングを利用するため、技術的なセキュリティ対策では多くの場合、的確に対処できません。マルウェアの拡散や、実行をターゲットに仕向けるなどの手段としては十分有効ですし、詐欺師もツールとして重宝しています。広範に拡散したケースもありますが、実際の所デマの効果はせいぜい、どいつもこいつもマヌケであると詐欺師が悦に入る、騙されていることに気付いた被害者が自己嫌悪に陥る、または何度も送られてくるくだらない情報に辟易している人々をイライラさせる、といった域に留まるのが実情です。この程度なら、金融機関を狙うトロイの木馬やAPT攻撃などの深刻なサイバー犯罪の被害を軽減しようと日々取り組んでいる人々にとってたいした問題ではありません。彼らは例えば、Facebookの新しい利用規約がユーザの投稿物の著作権を取り上げると、法的に無意味なプライバシーに関する声明を出すなんてピントがずれていると考えるタイプです。

私の見解は少し異なります。長年、マルウェア研究を第三者の立場で観察していた私は、実体はなくとも現実世界に深刻な影響を及ぼすケースを直に見てきました。これはおそらく、私がセキュリティベンダーを対象としたコンサルティング業務を行うようになったのが割と最近(2006年以降)のことで、セキュリティ製品を購入するユーザーと向き合っていた時間の方が長いからでしょう。私は1990年代の大半を某医療研究機関で過ごしました。Good Timesのような実在しないウイルスに脅える人たちや、MicrosoftやNokiaなど当時急成長を遂げていたIT企業に抗議して金銭や無料の電話機、あるいはガンの研究費を請求しようとしていた人たちをなだめる日々でした。2000年代に入り、英国国民保健機関(NHS)のセキュリティマネージャーに就任すると、sulfnbk.exeやjdbgmgr.exeといった架空のマルウェアに対する警告メールが大量に届くようになります。当時は、本物のマルウェアへの対抗措置の導入と整備に携わったり、2004年のインド洋大津波で親を失った子供たちに関する膨大な量のデマメールでメールサービスがダウンしないように取り組んだりしていました。NHSを退職してからは、デマウイルスによる被害を減らす活動に本格的に着手しました。その一環としてデマや人間心理の利用に関するブログを開始することにしたのです。しかし、当初の意気込みに反して、残念ながら当時はまったく時間を割けず、今となってはどのような内容だったかさえも覚えていません。多少の余裕が生まれたら、今後はこのような取り組みに再び目を向けられるようになると思います。しかし、私がセキュリティ業界に(半ば強制的に)足を踏み入れて以来、セキュリティ脅威の技術と同じくらい多くの詐欺に関する記事を執筆してきました。まるで、ソーシャルサイエンスとコンピューターサイエンスの両方を専攻している学生のような気分です。

以下は、私が過去に執筆した記事からの引用です。

「バスの車内やバーで人々が交わす会話であれば、たとえ内容が事実とは異なるとしても、一般社会への影響はほとんどないでしょう。しかし、ソーシャルメディアではそうもいきません。私はたびたび、ソーシャルメディアが詐欺師にとって電子メールを補完する、あるいは取って代わる仕組みになると主張してきました。ソーシャルメディアが情報(あるいは誤報)量の制限を受ける場合はまずないので、デマ大量発生装置とも言い表せます。」

その筆頭として、私が考えていたのはFacebookでした。それは、スパマーや詐欺師によって悪用される唯一のソーシャルメディアサービスという意味合いではなく、膨大な数のユーザーを抱えている、という理由からです。幸いにも、Facebookにはユーザーにとって不愉快な虚情報が大量に出回っている、という事実に皆気付いているようです。先日、同サービスは、ニュースフィード上の偽情報への対策を講じたと発表しました。(その情報が虚偽であることを示す確かな情報源があるという前提で)「多くの人」がデマであると報告、またはそのまま削除した投稿に対し、注釈を追加するという内容です。ただし、私の知る限り、「多く」というのがどの程度の人数を指すのかを定めるアルゴリズムに関する情報は提供されていません。では、例えば「サンタクロースの存在を科学的に完全に証明」といった記事に対し、これが真実ではないと友人に知らせようと考えるユーザーはどれだけいるのでしょうか。もしかしたら、結構多いのかもしれません。

Facebookでは、詐欺や「意図的にでっち上げた、または誤解を招くようなニュース記事」をデマの例としていますが、「虚偽であると報告された記事を削除」したり、「内容を確認して何らかの判断を下し」たりする予定はないと即座に明言しています。Facebookや同様のサービスでは膨大な量のコンテンツが共有されている事実を考慮すれば驚きではありませんが、ここでのポイントは、Facebookはパブリッシャーではなくプラットフォームという立場を主張し、したがってユーザーが共有するコンテンツについては法的責任を負わないとしている点です。

では、どの程度の影響が生じるのでしょうか。WeLiveSecurityでは、Alan Martinが、Wiredの提案(Stop the Lies: Facebook Will Soon Let You Flag Hoax News Stories)に対し、自分の政治的信念に反する投稿については虚偽や悪評であるとしてフラグを付けるユーザーが出てくると指摘しています。私は、これはどちらかと言えば主観性と客観性を分離できないケースとみなしていますが(状況によっては、おそらく私たちの誰もが大いに共感できるでしょう)、例えば政治的に物議を醸す記事(または他のリンク)があり、相当数のFacebookユーザーが異議を唱えていれば、Facebookによって虚偽としてのフラグが付けられる(またはニュースフィードでの表示が制限される)可能性があることは確かです。Facebookが実際にこうしたアイテムを削除していない場合、その処理はユーザーに委ねられるかもしれません。ただし、Facebookは、大量のフラグが付けられたアイテムについてはニュースフィードでの表示が制限されるケースを認めています。今回の措置が講じられる以前から、ニュースフィードに表示される記事がどのように選ばれるかは明確にされていませんでした(2013年に公開されたこちらの記事に目を通している方であれば、ご存じかもしれません)。

ニュースフィードのアルゴリズムは、ユーザーからの次のようなシグナルに応答します。

  • 友人やページ、投稿を送信した著名人(俳優やジャーナリストなど)とのやり取りの頻度
  • 投稿が全世界および特定の友人から獲得した「いいね!」や「シェア」、コメントの数
  • 特定タイプの投稿に対する操作の頻度
  • 自分や他のユーザーがFacebookで特定の投稿を非表示にする、または報告しているかどうかなど

最近行われた修正は些細なもので、フィードとして配信されるコンテンツへの影響はほとんどありません (一部の記事に実際にフラグが付けられるようになった点が主な違いです)。実のところ、Facebookによるニュースフィードの操作の度合いは少し前に大きな論争に発展しました。同社が実験を目的として70万のニュースフィードを操作したことが発覚したのです。

こうした理由により、自分の投稿がまったく表示されていないようだと不満を述べるユーザーもおり、これはいかがなものかと私はFacebookに対して感じます。ちなみに、問題の投稿が友人や知人のフィードに一切表示されないケースも起こり得るのです。他方、フィードを操作したり、デマの可能性があるとしてフラグを付けたりする対策で、Facebookがデマの再投稿を大幅に削減できれば、少なくともコンテンツをしっかり確認してから再投稿するユーザーが増える可能性はあります。

The Guardianの風刺的なコンテンツに対する懸念は興味深い内容です。Facebookは、ユーモアを意図した風刺的なコンテンツや、風刺であると明確にラベル付けされているコンテンツが、虚偽と報告される可能性は低いと明言しており、これには米国の風刺報道機関The Onionのようなサイトもその読者も一安心したことでしょう。一方、Wiredは、風刺的な内容であると主張しておきながら、記事が“風刺”であるか見分けにくい一部の「クリックベイト(クリックを誘発する記事)」の問題を提起しています。真実ではないパロディ記事だけを公開しているものの、機転も機能性も持ち合わせていない“風刺的なサイト”がどの程度「クリックベイト」として正確に処理されるかは不明ですが、クリックを集めるだけが目的と思えるサイトが大量に存在しているのも事実です。確かに、クリックを稼げば利益につながる、という裏事情もわからない訳ではないのですが。

Rob Waughの記事では、Facebook上のデマを見分けるためのヒントをいくつか紹介しています。すべてのケースに対処できるわけではありませんが、特に重要な判別要因を以下にまとめておきます。

  • 「中身を読む前に共有するよう求められる記事」: この種のクリックベイトは何年もほとんど同じパターンで確認されています。
  • 「人魚や恐竜の生存などの非現実的な内容のニュース」: サンタクロースの記事なども該当します。
  • 「極めて暴力的なシーンの多い動画」: 詐欺師は常に、怖いもの見たさといった人間心理の弱点を突いてきます。私はふと「and do you have a picture of the pain?」*という歌詞が頭をよぎりました。
  • 「Facebookに関するでっち上げのニュース記事」: 来週には閉鎖する、使用料の徴収が始まる、といった記事が定期的に出回ります。
  • 「いいね!」のクリックをリクエストする重病の少女に関するレポート」: Facebookが病に苦しむ子供の治療を支援できるように、写真に「いいね!」を付けるよう要求するパターンです。
  • 自分のFacebookページを見ている人を把握できるようにする驚愕の「ハッキング」に関するレポート: または自分のFacebookページをピンク色にする(個人的にはぜひお願いしたいところです)、「よくないね!」ボタンを提供する、といったパターンもあります。

Facebookのサイトで取り上げられているその他の詐欺の例も以下にいくつかご紹介します。

  • 自分のプロフィールを閲覧したユーザーや、プロフィールの閲覧を自分に許可していないユーザーを知らせてくれるアプリ (このような機能を備えたアプリは実現不可能です)。
  • iGadgetのテストと確保の申し出。
  • 「無料」ゲームのクレジット。
  • 「無料」の旅行券、ギフトカード、クーポン券など。
  • 「独占スクープ」のニュース速報。
  • 「OMG(Oh My God!)」などインパクトのあるフレーズで始まる投稿 (これは少し大ざっぱだと思いますが、注目を集めたり、アンケート詐欺などに読者を誘導したりするためのエサを用意した疑わしいコンテンツは多数存在します)。
  • 有名人に関する偽の記事 (こうした記事はTwitter経由でもあっという間に拡散します)。

Facebookは楽しいだけでなく、有用なツールでもあります。だからと言って、数人の友人が再投稿したという理由だけで、リンクや記事が安全、正確、あるいは正当であると考えるのは危険です。

*1960年代のアメリカのプロテストシンガー、フィル・オクスのアルバム「Pleasures of Harbor」中のナンバー、「Crucifixion(磔刑)」より。

ESETのコーポレートニュース
ESETは、完全に再構築、再設計した法人向けITセキュリティ製品のスイートを全世界で提供開始すると発表しました。この新しいITセキュリティ製品のスイートは、ESETが世界中のビジネスユーザーを対象に数か月にわたって実施した詳細な調査の結果より明らかになった、IT管理者やCIOにとってのセキュリティ上の最優先課題に対処します。設計、開発、テストの集中的な実施を経て完全リニューアルしたこのセキュリティスイートは、規模や業種、地域を問わずあらゆる組織のお客様にご利用いただけます。

ESETの法人向けのITセキュリティ製品は、プロアクティブな保護の効果を最大限に高めながら企業インフラストラクチャへの影響を抑えるほか、ボットネットプロテクション、エクスプロイトブロッカー、アンチフィッシング、アンチセフトなどの豊富な新機能も搭載しています。

今回の新製品で核となるのはESET Remote Administratorです。プラットフォームに依存しないこのリモート管理コンソールは、ユーザビリティー強化、セキュリティ向上、実装と管理に要するトータルコストの低減を目的に再構築されています。優れた組み込みのタスク管理システムにより、ダウンタイムの最小化とグループメンバーの動的変化に応じたアクションの自動実行が実現します。

一新されたユーザーインタフェースにより、ネットワークアクティビティの監視、設定、制御の各タスクが簡素化され、好ましくない、または悪意のあるアクションについて事前の警告が行われるため、組織の確実な保護が可能になります。
ESETは、FacebookやTwitter向けのESET Social Media Scanner(ソーシャルメディアスキャナー)の新バージョンをリリースしました。完全に再設計されたグラフィックユーザーインタフェース(GUI)と改善された検出機能を特長とするこのスキャナーは、15万人以上のユーザーに使用されており、現在までにFacebook上の28,000個以上の不正リンク、Twitter上の1万個の危険なリンクを検出しています。

ESETソーシャルメディアスキャナーの新バージョンは、改善された有害リンクの検出機能や直感的なデザインを採用しており、モバイルプラットフォーム全体で使い勝手が向上しています。自動スキャン機能はバックグラウンドで定期的に実行され、悪意のあるコンテンツからユーザーをリアルタイムに保護します。
マルウェアランキングトップ10
1. Win32/Adware.MultiPlug[全体の約2.89%]
前回の順位:3位
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
2. HTML/Refresh[全体の約2.42%]
前回の順位:1位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
3. Win32/Bundpil[全体の約2.24%]
前回の順位:2位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C(指令)サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。

*.exe
*.vbs
*.pif
*.cmd
*Backup.
4. JS/Kryptik.I[全体の約1.72%]
前回の順位:8位
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
5. Win32/TrojanDownloader.Waski[全体の約1.46%]
前回の順位:ランク外
このトロイの木馬は、HTTPを使用して別のマルウェアをダウンロードしようとします。2つのURLを保持しており、そのURLからファイルをダウンロードしようとします。ダウンロードしたファイルをまず%temp%\miy.exe内に保存し、それから実行します。
6. HTML/ScrInject[全体の約1.36%]
前回の順位:4位
HTML/ScrInjectは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
7. Win32/Sality[全体の約1.34%]
前回の順位:5位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。
8. LNK/Agent.AV[全体の約1.20%]
前回の順位:6位
LNK/Agent.AVは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
9. Win32/Ramnit[全体の約1.19%]
前回の順位:7位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、.dll(ダイレクトリンクライブラリー)ファイルや.exe(実行)ファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を挿入します。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
10. INF/Autorun[全体の約1.15%]
前回の順位:9位
INF/Autorunは、autorun.inf設定ファイルの中で、マルウェアによって作成されたものの汎用検出名です。この悪意のあるファイルには、マルウェアの実行ファイルへのパスが記述されています。感染したドライブをマウントするとマルウェアの実行ファイルが自動実行されるようにするため、通常はアクセス可能なすべてのドライブのルートフォルダー内に作成されます。Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2015年2月度のランキングは、「Win32/Adware.MultiPlug」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち2.89%を占めています。

2015年2月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!