MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2015年3月 世界のマルウェアランキング

この記事をシェア
2015年3月のマルウェアランキング結果発表
目次
セキュリティの賢人たちが送る50のアドバイス
David Harley、ESETシニアリサーチフェロー

本記事は、WeLiveSecurityのブログ記事ITSecurity UKの同じトピックの記事を組み合わせて構成されています (本記事の英文タイトル(50 Shades of Security)はITSecurity UKの記事から引っ張ってきましたが、個人的にもお気に入りのタイトルの1つです)。どちらの記事も、Heimdal Securityが実施したセキュリティに関するアンケートについて取り上げています。本記事の後半では、Heimdalに送った私の回答をさらに深く掘り下げています。

時代遅れの知識?
私がIT、具体的にはITセキュリティの世界に足を踏み入れてから早くも四半世紀が過ぎようとしていますが、これだけ長く関わっていると21世紀にそぐわない考え方や慣習に縛られることもしばしばあります。例えば、「サイバー」という用語を(特に単体で)あまり使いたがらない、通常は「アンチウイルス」を「anti-virus」とハイフン付きで表記する、ウイルスという用語を従来の悪意のあるソフトウェアではなく自己複製型マルウェアの意味で用いる、若い研究者(研究者のほぼ全員が私よりも年下ですが)には興味深く映るかもしれない倫理規範の遵守を断固として受け入れられない、等などキリがありません。

25年前と言えば、World Wide Webと聞いてもたいていの人が首をかしげる時代です(当時は、一般に浸透していませんでした)。その後、今日普及している多様かつ高度なソリューションとは大きく異なる一昔前のセキュリティ技術を始め、誕生して間もないアンチマルウェア業界がどのように新たなマーケティングやPRのチャンスに順応したのか、私は鮮明に記憶しています。

ネットの黎明期を迎えた当時は、企業の垣根を越えたセキュリティ研究者間の連携、協力関係がまだ活発で、今日よく見られる反競争的なマーケティングどころか企業間の競争も穏やかな時代でした。わかりやすい例を挙げると、特定のウイルスやマルウェアに関する情報を蓄積したデータベースを構築するアンチウイルスベンダーが、他社のデータベースとリンクさせるケースも希ではなかったのです。

企業間の連携
アンチマルウェア業界にはいつの時代も、公益などそっちのけでPRや経済的なメリットばかりに目を向ける行為を良しとせず、正当な評価を下せる人が存在します。幸いにもESETにはこのような人材が少なくなく、他社が実施した調査を実直に扱うことを心掛け、他社とサンプルやセキュリティ情報を共有するほか、調査やカンファレンス用論文の作成、プレゼンテーションを共同で行ったり、たまにはブログを共同執筆する場合もあります(例えばこちらは、2010年に私と当時Kasperskyに在籍していたMagnus Kalkuhl氏が共同執筆したブログ記事で、メディアが提起した問題について私たちが同意した重要ポイントを明らかにしています)。

今もこの伝統は健在で、私は先日、Heimdal SecurityのAurelian Neagu氏からブログ記事への協力依頼を受けました。同氏は、多くのセキュリティ研究者に「ユーザーがネット上での安全を確保するために、セキュリティに関するヒントを3つ挙げるとしたら?」と質問を投げかけたのです。

さまざまな企業から参加
その結果、19名から50を超える回答が寄せられ、「セキュリティ業界のトップが教える50のヒント」という記事としてまとめられました。回答者の一部はHeimdalとCSIS(Heimdalを立ち上げた名高いセキュリティ企業)の所属ですが、多くは同業他社の研究者で、セキュリティ関連のトピックを専門とするジャーナリストも数名含まれていました。その中には、MicrosoftのTroy HuntやF-SecureのMikko Hypponen、CSISのPeter Kruseの各氏、ジャーナリストではSimon Edwards(Dennis PublishingおよびAMTSO)、Neil Rubenking(PC Magazine)、Kelly Jackson Higgins(Dark Reading)など、著名な方々が多数名を連ねています。僭越ながら私、David Harleyも意見を述べています。

記事の前半にある「寄せられた回答に修正や変更を加えたくない」という一文を考慮すると、トピックが重複するケースも当然あるわけですが、専門性には偏りが見られず、一読に値します。例えば、2人の方がパスワードに関するヒントを紹介した場合でも、その切り口は大きく異なり、両者を読み比べることでさらに理解が深まることでしょう。

書籍としても入手可能
本記事は電子書籍としてもダウンロードできます。特定のセキュリティ上の問題への対処方法をまとめた、いわゆる「ハウツー本」の体裁は取っていませんが、安全なオンライン生活を送るために役立つさまざまな情報を網羅しています。

ユーザー教育の重要性
次に、ESETのSebastian Bortnikと私が2014年にAVARで発表したユーザー教育に関するカンファレンス用論文から、関連する記述を抜粋してご紹介します。
「毎日のように登場する新種の脅威とその対処方法、そしてその度に導入される新しい技術について、遅れを取ることなく世界全体で教育を進めることは不可能です。それでも、意識向上を促すアドバイスによって、短期間でも大半のユーザーに何かしらの変化が見られる可能性は否定できず、知識向上と持続的な変化につながるよう繰り返し呼びかける取り組みがおそらく重要なのでしょう(ただし、過度に馴れ馴れしいメッセージは、受信者の反感を招く可能性があるので要注意)。さらに、セキュリティ啓発および強化のための他のアプローチとの全面的な統合努力も引き続き欠かせません。セキュリティコミュニティーだけでは力不足です。他の主要なアクターとの連携や情報交換の強化を推し進める必要があります。」

「このようなアプローチ(とある程度の忍耐)により、情報セキュリティがコミュニティーにとって重要であるとの認識が広まり、ホームユーザーが自らセキュリティを確立できるようになる未来がそう遠くないうちに到来すると確信しています。」

続いて、Heimdalに送った私の回答についてお話ししましょう。簡潔にまとめると、次のような内容です。

「単一のソリューションに頼らず多層防御を取り入れる組織は、合理的なセキュリティを実現できます。(組織ほど資金的に恵まれないケースが大半ですが)適切に保護されているユーザーも、同様の考え方をしています。そして、彼らは自分がセキュリティに不可欠な1つの「層」であることも自覚しています。」

古い友人のKen Bechtelは次のように述べています。「自らセキュリティ対策における重要な要素であるとの認識がユーザーに浸透しない限り、今後もセキュリティインシデントの横行から逃れられないでしょう」。

セキュリティ製品の営業現場で使用される「TOAST」
ここからは私の回答をさらに詳しく解説していきたいと思います。

TOASTという頭字語は、かなり前にPadgett Peterson氏が考えつきました。“ユーザーを完全に保護する単一のセキュリティ製品”を売りつけるための宣伝方法を指す用語で、「The Only Antivirus Software That」の各頭文字から成っています。この後に「you’ll ever need」と続き、全体としては「このアンチウイルスソフトウェアさえ持っておけば、セキュリティ対策は万全である」という意味になります。しかし、真のウイルス(すなわち自己複製型)は今や、脅威全体において比較的小さな一片に過ぎず、唯一の気がかりだった良き時代ははるか昔に過ぎ去りました。

しかし、未だに一つですべてを賄うソリューションを探し求めるユーザーは絶えないようで、セキュリティに不備があれば、ソリューションが期待にそぐわなかったとして憤慨します。このようなユーザーには、「そんな製品なんか買わないで、うちのを買った方が良いですよ」といった、競合製品を叩いて自社製品を持ち上げるセールス手法が通用しません。そのため、パスワードやアンチウイルス、ファイアウォールなど、他の機能も併せ持っていると喧伝する単一ソリューションの衰退が見て取れますが、実際の所、単層/単一ソリューションによるセキュリティの確立という考え方が時代遅れになっているのです。

完璧な代替製品など存在しない
最近、私はパスワードのみによる認証はもはや時代遅れであるとする記事を多数確認しました。認証方法を強化するには、(明らかに欠陥がある)元の方法を(願わくはより優れた)別の方法に置き換えるのではなく、多要素認証を採用します(最低でも2ファクタは必要です)。今日の多くのソーシャルメディアサイトでは、認証方法を少なくとも1つ追加してパスワード認証を補強する対応を済ませています。例えばFacebookのログイン承認の場合、SMSまたは独自の認証用アプリから自分の携帯端末に送信されたトークン(セキュリティコード)を使用します。というわけで私の1つ目のヒント(あるいは提案)は、多要素認証の採用です。

ユーザーはどのようなセキュリティ製品を選択するか?
誰もが、唯一の警戒すべきセキュリティ上の脅威はウイルスだけと考えているわけではないと思いますが、インストールするセキュリティプログラムの種類を吟味しているユーザーの割合はどの程度でしょうか。実は、アンチウイルスソフトをインストールするユーザーのほとんどが、意識的に無料版を選択しています。偽のソフトウェアや正規品ではあるが侵害を受けたセキュリティプログラムではなく、高評価のサイトからインストールした本物のアンチウイルスプログラムを使用している限り、OS組み込み済みのセキュリティ機能やアプリケーション、インターネットサービスですべてを賄うよりも間違いなく安全です(こうしたプログラムやサービスの多くは、10~20年前と比べてはるかに強力になっていますが)。

機能に制限はあっても、有料版に引けを取らない効果を発揮する無料プログラムも存在します。しかし、フル機能搭載のセキュリティスイートと比べれば、多層防御の実現にはまず力不足でしょう。こうしたスイートは、マルウェア検出機能に限らず、アンチスパムやアンチフィッシング、またはマルウェア感染に対するシステムの耐性を間接的に高める技術を含む、さまざまなセキュリティ機能を搭載しています。しかし、私自身がこの種の技術を販売しているアンチマルウェアベンダーの一員であることは誰もがご存じです。このような提案は、一部の読者から反感を招いてしまうマーケティング手法なのかもしれません。

無料のセキュリティ製品を導入する
私の立場からは、インターネットサービスプロバイダーやOSが提供するセキュリティや、その効果を最大限に高める方法の特定に最善を尽くせ、という提案が2つ目のヒントとして妥当でしょう。セキュリティソフトウェアに投じる予算を確保できなければ、デスクトップファイアウォールなどの無料で信頼性の高い別のセキュリティソフトウェアを導入して無料のウイルス対策の補強を検討してください(具体的なプログラムの言及は控えますが、ご了承ください。実のところ、これはおすすめのアプローチではないのですが、1つの無料のウイルス対策のみに頼るよりは安全です)。単一ソリューションを選ぶ場合も同様に注意してください。APT(Advanced Persistent Threat)攻撃については、また別の対応が必要です。心配(あるいは少なくとも把握)しなくても良い訳もなく、特に企業にとっては、主流のアンチマルウェア製品よりもAPT攻撃の検出に長けたサービスの方が、購入する価値がある場合も否定しません。ただし、主流の製品が極めて効果的に対処する、膨大な数の「取るに足らない」マルウェアは無視しても問題ない、というわけでもありませんので早合点は禁物です。

自分がセキュリティ対策における1つの層であると自覚する
ここまで読めば、私が多層防御を心から支持していることは理解していただけかと思います。シグネチャ検出のような1つのアプローチで対処できないケースも、より一般的な機能(ビヘイビアブロッキングやスパムフィルタリングなど)がカバーできる可能性があります。しかし、実はもう1つ、少なくとも私がここまで説明を重ねた内容と同じくらいに重要な、セキュリティに欠かせない要素が残っています。それはユーザー、すなわち皆さんの姿勢です。マルウェアのみならず多くの脅威は、ソーシャルエンジニアリングを多用します。これは、攻撃者が目的を達成するために、ユーザーの心理を悪用して特定の行動を起こすように仕向ける手法で、中には非常に洗練された手口でターゲットを欺く犯罪者も存在します。しかし、少しでも懐疑心を持ち合わせていれば、十分に回避できるのです。ソーシャルエンジニアリング対策について述べるには相当なスペースが必要ですので、別のトピックに機会を譲ります。ここでは、被害に巻き込まれないようにするための簡単なアドバイスをいくつかご紹介しましょう。

  • 1. たびたび言われることですが、話がうますぎる場合は罠であると考えた方が賢明です。しかしそれでも脅威は、ユーザーを軽はずみな行動へと誘導する手段として極めて効果的です。脅迫メッセージに屈し、要求に従ってはいけません。ソーシャルエンジニアリングでは、甘い言葉と脅し文句が巧みに使い分けられています。
  • 2. MicrosoftであれAppleであれ、誤ってクリックしてもセキュリティソフトウェアを導入していれば大丈夫と考えるのは危険です。技術的なソリューションが、クロスサイトスクリプティングやドライブバイダウンロードなど、あらゆる脅威の攻撃手法に対処できるわけではありません。どのソリューションも、ソーシャルエンジニアリングを多用する脅威からユーザーを保護できないのが現実です。
ESETのコーポレートニュース
ESETは、次世代の法人向けセキュリティ製品である、ESET Endpoint SecurityとESET Remote Administratorの詳細なレビュー結果をそれぞれ発表しました。このレビューは、世界的に認知されている独立系テスト機関のAV-Comparativesによって実施されたました。

ESET Endpoint Security

AV-Comparativesをまず唸らせたのは、その機能性とユーザーインタフェースでした。従来版のシンプルさを維持したまま、モダンなデザインへと一新されており、タッチスクリーンでの全体的な使い勝手が向上している点が称賛されました。
また、ステータス表示画面のデザインが明快で、無効状態のコンポーネントを容易に再有効化できる点も高評価。さらに、警告メッセージが「わかりやすく実用的であるほか、権限のないユーザーによる削除や無効化からも保護できている」と評されています。

レビューの全文はこちらでご覧いただけます。

ESET Remote Administrator

本製品のレビューレポートでは、まったく新しいモダンなデザインと、インストール、カスタマイズ、導入をシンプルに行える点が高く評価されています。
また、「セキュリティの状態はカラフルな各種円グラフで表されるため、管理者は重要な項目を容易に見つけられるなど、使いやすさに配慮したデザインである」と記されています。レポートは次の文で締めくくられています。「総合評価として、ESETのコンソールの優秀さは突出している。数千ものクライアントに十分に対処できるパワフルさと、SMBでの使用に適したシンプルさを兼ね備える優れた製品だ」。

レビューの全文はこちらでご覧いただけます。

アルゼンチンでのセキュリティカンファレンスで、ESETノースアメリカのCEOが基調講演
アルゼンチン、ブエノスアイレスで先日開催された最大規模のセキュリティカンファレンス「35° Iberoamerican Congress and Information Security Fair Segurinfo 2015」において、ESETノースアメリカのCEOであるAndrew Leeが基調講演を行いました。

「Immortal Data - The Future of Everything」と題されたLeeの講演では、今後避けては通れない管理社会、すなわち私たちのあらゆる情報が記録される未来像を具体的に明らかにし、満員の聴衆を引き付けました。

Leeは、国民がデータによって管理される社会や、データを保持する人々に権力が集中する状況に伴う、さまざまな可能性を示しました。そして、「会話や外出先がすべて筒抜けになる社会で生きるとはどういうことか」や「匿名性の確保は可能か(あるいは望ましいか)」など、多くの示唆に富む質問を聴衆に投げかけました。

その他にも、個人情報の流出が及ぼす影響やサイバー犯罪者による悪用、社会やテクノロジーにおけるさまざまな変化の影響について考察しています。
マルウェアランキングトップ10
1. Win32/Adware.MultiPlug[全体の約3.55%]
前回の順位:1位
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
2. Win32/Bundpil[全体の約2.27%]
前回の順位:3位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C(指令)サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
3. Win32/TrojanDownloader.Waski[全体の約1.95%]
前回の順位:5位
このトロイの木馬は、HTTPを使用して別のマルウェアをダウンロードしようとします。2つのURLを保持しており、そのURLからファイルをダウンロードしようとします。ダウンロードしたファイルをまず%temp%\miy.exe内に保存し、それから実行します。
4. Win32/Sality[全体の約1.41%]
前回の順位:7位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。
5. HTML/Refresh[全体の約1.39%]
前回の順位:2位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
6. LNK/Agent.AV[全体の約1.38%]
前回の順位:8位
LNK/Agent.AVは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
7. JS/Kryptik.I[全体の約1.36%]
前回の順位:4位
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
8. LNK/Agent.AK[全体の約1.30%]
前回の順位:ランク外
LNK/Agent.AKは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。この脆弱性はStuxnetの発見に伴い知られるようになり、その亜種によって悪用された4つの脆弱性のうちの1つでした。
9. Win32/Ramnit[全体の約1.29%]
前回の順位:9位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、.dll(ダイレクトリンクライブラリー)ファイルや.exe(実行)ファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を挿入します。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターをシャットダウンして再起動を行います。
10. INF/Autorun[全体の約1.24%]
前回の順位:10位
INF/Autorunは、autorun.inf設定ファイルの中で、マルウェアによって作成されたものの汎用検出名です。この悪意のあるファイルには、マルウェアの実行ファイルへのパスが記述されています。感染したドライブをマウントするとマルウェアの実行ファイルが自動実行されるようにするため、通常はアクセス可能なすべてのドライブのルートフォルダー内に作成されます。Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2015年3月度のランキングは、「Win32/Adware.MultiPlug」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.55%を占めています。

2015年3月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!