MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2015年4月 世界のマルウェアランキング

この記事をシェア
2015年4月のマルウェアランキング結果発表
目次
ESETが読み解く今日のセキュリティ業界
David Harley、ESETシニアリサーチフェロー
本記事は昨年、「最新マルウェアの脅威」に関する論文を執筆中の情報保証分野を学ぶ学生から寄せられたいくつかの質問に対する、ESETノースアメリカの研究者の回答を少し編集したものです。同じ質問に複数の研究者が回答しているケースもありますので、その場合は「回答1」、「回答2」のように区別しています。


--マルウェア感染のリスクを低減させるための対策として、OSベンダーがMac App StoreやWindows Storeのようなクローズド(閉鎖的)システムを介したソフトウェア配布に移行している傾向について、どのように考えていますか?

▼ 回答1
確かに、AppleやMicrosoftからは、できる限り独自のシステムで配布したいという意向が伺えます。しかし現時点では、ユーザーが入手できるアプリをホワイトリストに登録された承認済みのものに制限する動きは確認できていません。すでに膨大な数の未承認アプリが出回っており、今のところOSベンダーが承認プロセスを通じて制限をかける様子もありません。今後、その一部はある意味で承認されるでしょうが(特定バージョンのOSとの互換性がある、など)、このようなアプリはiOSアプリや(一部の)Androidアプリならば本来は実施される綿密なテストを受けていません。

Apple iOSとGoogle Androidは、どちらもまったく新規にゼロから設計され、従来のOSに固有のセキュリティ上の弱点を一部解消するように開発されている点で異なります。ただし、Googleはアプリの入手経路を規制するクローズドシステムを義務付けておらず、弱点を十分にカバーできているとは言えないでしょう。また、デバイスで利用できる機能についてもある程度制限されています。いずれにせよ、あらゆる点でノートPCの適切な代替品となり得るデバイスはいまだに登場していません。

一般ユーザーの視点から見ると、クローズド環境への移行にはどのような意味があるでしょうか。ベンダーにとっては、次のようなケースが想定されます。
  • 何らかの脅威の拡散源となるアプリを流通させることなく、モデルの整合性が維持されます。携帯端末に関連するクローズド配布システムの問題のほとんどは、明らかなマルウェアではなく、グレーウェアやPUA(ユーザーにとって望ましくない動作をする可能性のあるアプリケーション)に位置付けられるアプリケーションが原因となっています。
  • より多くの選択肢を求める人たちから、規制を緩めてほしいという圧力を受けます (良いかどうかは別として、Jailbreak(脱獄)やroot化が発生するのはこうした背景からでしょう)。私は完全なクローズド環境を支持しているわけではありませんが、このような状況になる可能性も念頭に置く必要があります。
  • 顧客に対し完璧なセキュリティを常時確保できるという考えに陥りやすくなります。最悪の場合、侵害が発生したら原因はすべて顧客の過失であると見なします。
  • クローズド環境と同様に、顧客に対する責任も負います。特に、顧客にセキュリティについてもっと真剣に考えてもらいたいと考えるようになります。

--David Harley

▼ 回答2
まず、今日のマルウェアの大部分が組織的な犯罪の一要素であり、「裏街道を拠点とする起業家」にとってのある種のビジネスの道具と化している事実を理解する必要があります。このような連中はお金を稼ぐ、正確に言うと他人のお金を奪うことしか考えておらず、OSベンダーが自社のプラットフォーム用のソフトウェア配布モデルを変更したからと言って大人しく引き下がるようなお人好しではありません。おそらくは、ストアのシステムに潜む脆弱性のみならず、そのエコシステムにおける新たな「ビジネスチャンス」をも見つけ出し、新たな犯罪モデルを確立しようと試みるでしょう。

例えば、正規アプリの認証情報を盗み出すために使用されるさまざまな偽のアプリや、オリジナル版から資産を盗み出す海賊版ゲーム、公式アプリであると主張する一方、モバイルのWebページを読み込むだけのアプリなどはたびたび見かけます。いずれもたいていは、アプリのさらなる収益化を目的として、プライバシーを侵害するさまざまな形式のアドオン(アドウェアやスパイウェアなど)をバンドルしています。Android上では偽のアンチウイルスアプリも確認されています。この種の問題は、従来は主にMicrosoft WindowsやApple OS XのようなデスクトップOSでのみ発生していました。

このような悪意のあるプログラムはデスクトップ上ではお馴染みですが(私たちは、不適切なアプリケーション「PUA」に10年以上対処してきた経験があります)、ユーザーのソフトウェアの入手経路が分散しているため緩やかな増加傾向を示しています。アプリストアによってソフトウェア配布が少数のソースに「集中」すれば、小規模の犯罪グループでさえ容易に金銭を搾取できるようになることでしょう。

Windows Phone 8が発表されたとき、私はその制限されたエコシステムでどのような問題が起こり得るか考察してみました。詳しくはこちらの記事をご覧ください。

マルウェアの中には、通常はアプリストアによって閉め出される携帯端末からデスクトップへと拠点を移すタイプも存在します。その代表がランサムウェアです。PCにおいて、従来からランサムウェアは好奇の対象でしかありませんでしたが、ロシアなどCIS諸国のユーザーのスマートフォンをロックし、解除費用として所有者から少額の金銭(通常は約20~25ドル)を搾取する手口が通用した結果、Windowsを狙うCryptolockerのようなマルウェアが台頭するようになりました。このマルウェアは企業をターゲットとし、身代金として数百ドルを支払うよう要求します。

以上をまとめれば、閉鎖型のソフトウェア配布モデルは既存の手法で拡散する不正ソフトウェアには有効となる可能性がある反面、犯罪者に新たな窃盗手段の模索を促す結果を招くという結論に至ります。

--Aryeh Goretsky


--Microsoftは、Windows 8に組み込まれたセキュリティ機能について極めて積極的な姿勢を見せています。ESETの研究者は、Windows 8(および8.1)のシステムに感染するためにマルウェア作者が使用する新しい技術について確認していますか?

▼ 回答1
Windows 8、8.1(および8.1 Update)は、特定のタイプのマルウェアを防ぐ目的で大幅な改良が施されています。例えば、最新のハードウェア(UEFIファームウェアベースなど)上で動作する際はセキュアブートが有効になっています。これは初期化中のOSで、bootkitやrootkit、悪意のあるフィルタードライバーが先に実行されるのを防ぐ非常に有効なメカニズムです。ただし、このような技術はすべてのマルウェアに通用するわけではなく、特にソーシャルエンジニアリングを介して展開されているマルウェアや、ローカルユーザーのアカウントのコンテキスト(現在ログイン中のユーザーが持つ権限内)で実行されているマルウェアにはほとんど効果がありません。
Windows 8以降のセキュリティ機能(および攻撃)の詳細については、次のWe Live Security内の記事をぜひご覧ください。

上記のページは皆さんの疑問を解消するうえで大いに役立つでしょう。
--Aryeh Goretsky


--毎日のように作成される膨大な数の新しいマルウェアに対処するために、ESETではどのようなツールを導入していますか?
 
ESETで使用するツールの多くは、大学でマルウェアのリバースエンジニアリングのコースを履修している学生であれば馴染み深いものばかりです。IDA ProやOllyDbugなどのデバッガ、JavaScriptを復号化、エミュレートするためのツール、複数の仮想(および実際)のマシン、curlやPEID、wgetなどのツール、パケットスニファ、プロキシ、仮想マシンなどです。「既製」のツールをそのまま使用したり、多少のカスタマイズを加える場合もあります。

他のアンチマルウェア企業と同様に、ESETでも多くのツールを自社開発しています。大量のトランザクションを処理しながら(1秒間に数十個の新しいマルウェアのサンプルを受け取る場合もあります)、複数のユーザーや場所からの接続が可能な設計にしています。詳しい説明は省きますが、いずれのプログラムも超高解像度ディスプレイを備えた超高速のコンピューター上で実行されるように設計されており、画面上に表示される情報量を最大化しています。また、グラフィックを全てまたはほとんど省いてテキストだけを表示する、キーボードによるナビゲーションが可能なタイプが多くを占めています。その方が、マウスよりもはるかに素早い操作が可能になるためです。プログラマーによるプログラマーのための設計ですので、概してデザイン性には乏しくなっています。
--Aryeh Goretsky


--一部のセキュリティ専門家からは、アンチマルウェアソフトウェアは事後対応的で、結局はマルウェア作者に検出を回避されてしまっているとして、厳しい批判の声が上がっています。この意見についてはどのように考えていますか?

▼ 回答1
この種の批判は、少なくとも1990年代初頭から繰り返し聞かれてきましたが、一向に止む気配はありません。私としては、一般ユーザーと前述のセキュリティ専門家の双方に根本的な誤解があると考えています(前者はプロではありませんから理解できるとしても、後者に対してはあきれて言葉もありません)。ポイントを以下に箇条書きにしてまとめておきます。
  • まず、アンチマルウェアソフトウェアは十分なセキュリティ対策になるでしょうか。答えはノーです。おそらく、これまでも十分な対策にはなっていなかったでしょう。
  • では、アンチマルウェアソフトウェアは必要でしょうか。こちらの答えはイエスですが、あくまでも適切に導入する必要があるセキュリティ対策の1つに過ぎません。併せて、ファイアウォール、ソフトウェアのパッチの定期的かつ自動的な適用、ホストのハードニング、IDSとIPS、スパムおよびフィッシングメールのフィルター、軽視されがちなユーザー教育なども重要です。
  • アンチマルウェアソフトウェアは過去の遺物であると主張するセキュリティ専門家には、次のような質問をしてみたいものです。
    • エンドポイントコンピューターに最も導入されているソフトウェアは何でしょうか。またOSから提供されており、最も頻繁に追加されているセキュリティソフトウェアは何でしょうか。その答えは間違いなくアンチマルウェアソフトウェアです。だからと言って最も重要であるということにはなりませんが、少なくとも知覚価値、つまりユーザーが対価を払ってもよいと感じる価値があることを示しています。
    • 既知の疾患に有効な薬をすべて廃棄するべきだと考えますか。
    • 刑務所に収容されている重罪人を全員解放するべきだと考えますか。
  • 実際のところ、アンチマルウェアソフトウェアは、犯罪者を隔離された部屋に閉じ込めるという点で刑務所に似ています。さらに、アンチマルウェアの研究機関は新たな脅威が潜んでいないか常に目を光らせており、見つけたら同様に隔離します。周辺環境のセキュリティ状況を常時監視下に置き、発見次第すぐに捕獲できるようにしています。しかし警察などと同様に、たいていのサイバー犯罪は未然に防げません。予防措置的なセキュリティ対策もいくつかありますが、脅威が確認された後からの対応が大半です。
  • アンチマルウェアソフトウェアの効果を一般ユーザーは気付いていない、あるいは把握していない可能性があります。完璧なセキュリティは実現できませんが、次の点については保証します。
    • 認識した脅威から保護する。
    • 新たな脅威が潜んでいないか監視し、発見したら迅速に認識(および保護)する。

アンチマルウェアソフトウェアは言わば、警察と刑務所の両方の役割を兼ねているのです。
  • とはいえ、マルウェア作者がアンチマルウェアソフトウェアを回避する方法を見つける場合もあるでしょう。例えば作成されたばかりの亜種ならすり抜けてしまうかもしれません。しかし、一度見つかればそれまでです。もちろん、攻撃を認識するメカニズムを確保していれば、の話ですが。アンチマルウェアソフトウェアは、おそらくあらゆる実用的な目的のために開発されており、脅威の認識と保護における有効性が長い年月を経て実証されています。

--Bruce P. Burrell


▼ 回答2
次のリンク先が役立つと思いますのでぜひご覧ください。

http://www.welivesecurity.com/2013/01/03/imperva-virustotal-and-whether-av-is-useful/
http://antimalwaretesting.files.wordpress.com/2013/05/dharley-feb2013.pdf
http://www.welivesecurity.com/2012/12/04/why-anti-virus-is-not-a-waste-of-money/
http://www.welivesecurity.com/wp-content/uploads/2013/12/avar-2013-paper.pdf

上記の記事およびAVAR用論文から一部を抜粋して以下にまとめておきます。

個人的には(および原則としては)、万能ではない製品を次から次へと試すよりもこれらを適切に組み合わせる多層防御の導入を提唱します。他のセキュリティ分野のベンダーの中には、同様の方針を取り入れている所もあるようです。実際、今日のアンチウイルスソリューションは、特定マルウェアの検出と汎用的な検出の折衷案のようなものですが、それでもやはりアンチウイルスに限らず、IPSやホワイトリスティング、ファイアウォールのいずれか1つあれば事足りるとは思っていません(高度に特化したAPT攻撃の検出システムについては言うまでもありません)。

あらゆるマルウェアを完全に検出、ブロックし、しかも使い勝手に優れ、すべてのビジネスプロセスに対し完璧な透明性を確保し、誤検知とは一切縁の無い単一のセキュリティソリューション(アンチマルウェアに限らず)が存在するとすれば、とっくに話題になり、他のベンダーがこぞって追随していたことでしょう。

マルウェアに特化したセキュリティソフトウェアという分野が存在するからこそ、OSベンダーと技術面で後れを取る競合ベンダーに、マルウェア(およびアンチマルウェア)に対し常に先手を取ろうとする意欲が芽生えます。アンチウイルスの研究機関に所属する研究者がみな退職したり、ソーシャルメディア系の新興企業に転職したりしていたら、マルウェアの全体的な検出率(およびブロック率)に長期的かつ多大な影響が生じていたことでしょう。

実際、無料製品は商用製品の収益から開発されており(商用製品の販売促進を目的に客寄せとしての役割も果たしますが)、アンチマルウェア製品の品質確保には相当なリソースと専門知識が必要になります。

効果は低くてもアマチュアの熱狂的なファンから支持されている製品や、さまざまな種類のセキュリティ製品の「付加価値」として提供される製品とは対極にある、有効ながら利益を生み出さないアンチマルウェア技術がどのようにして生き残ることができるかはわかりません。

現在、アンチウイルスソフトウェアを批判している企業がまともな研究を実施していたら、アンチウイルスの研究機関で奮闘する研究者と同等の専門知識を保持できていたのでしょうが。

--David Harley

教育者や学生の方で、最新のマルウェアやアンチマルウェア技術について質問がありましたら、AskESET@ESET.COMからお気軽にお問い合わせください。

ESETのコーポレートニュース
データのバックアップおよびディザスタリカバリの分野を牽引するStorageCraftがESET Technology Allianceに加入

ESETは、データのバックアップおよびディザスタリカバリソリューションのリーディングプロバイダーであるStorageCraftが、ESET Technology Allianceに加わったと発表しました。今回の加入により、ESETのお客様は、既存の販売代理店を通じてStorageCraftのバックアップおよびディザスタリカバリソリューションを、自社の多層防御戦略に組み込むことが可能になります。

StorageCraftは、物理環境や仮想環境、WindowsとLinuxの混在環境向けに、数々の受賞歴を誇るバックアップソフトウェアやディザスタリカバリ、データ保護、および移行ソリューションを提供しています。同社のソリューションは、ダウンタイム低減、システムとデータのセキュリティと安定性の改善、総所有コスト削減を実現して、災害発生時やコンピューターの停止時など不測の事態が生じた場合でも事業継続性の維持を可能にします。

ESETを介したStorageCraft製品の提供は、お客様やチャネルパートナーに対し、注文時における利便性向上、多層防御ソリューションを網羅する優れた製品の容易な入手などのメリットをもたらします。また、パートナーが両社の製品を同時に購入する場合、ESET製品は競争力のある価格で提供されます。


Best of Interop Award 2015のファイナリストに選出

ESETは、Interop Las VegasにおいてBest of Interop Award 2015のセキュリティのカテゴリーでファイナリストに選出されたと発表しました。9つの技術カテゴリで構成されるBest of Interop Awardsは、優れた革新性および技術的進歩を実現している企業を表彰するアワードです。受賞者は、4月27日から5月1日にかけてMandalay Bay Convention Centerで開催されるInterop Las Vegas 2015にて発表されます。

Interop Las Vegasは、ITコミュニティの成長を促進する現在および将来の技術革新に焦点を当てた業界随一の技術イベントです。このイベントでESETは、ESET Remote Administratorを含む完全に再設計されたセキュリティソリューションのラインナップを披露します。

製品開発にあたりESETは、世界中のお客様やIT専門家を対象とした詳細な事前インタビューを多数実施。あらゆる規模の企業が日々直面している具体的なセキュリティ上の課題について調査しました。その結果、寄せられたフィードバックからは、導入率向上やセキュリティ強化、実装と管理にかかる全体的なコストの削減を実現するための、容易な統合、肥大化を招かない実用的な機能、およびシンプルさの追求の重要性が浮き彫りになりました。こうした知見をベースに開発された新しい法人向け製品は、使い勝手を向上させながら、ITリソースに関する要件削減を実現しています。
マルウェアランキングトップ10
1. Win32/Adware.MultiPlug[全体の約3.57%]
前回の順位:1位
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
2. Win32/Bundpil[全体の約1.81%]
前回の順位:2位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C(指令)サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
3.JS/Kryptik.I[全体の約1.70%]
前回の順位:7位
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
4. Win32/TrojanDownloader.Waski[全体の約1.67%]
前回の順位:3位
このトロイの木馬は、HTTPを使用して別のマルウェアをダウンロードしようとします。2つのURLを保持しており、そのURLからファイルをダウンロードしようとします。ダウンロードしたファイルをまず%temp%\miy.exe内に保存し、それから実行します。
5. LNK/Agent.AV[全体の約1.35%]
前回の順位:6位
LNK/Agent.AVは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
6. Win32/Sality[全体の約1.27%]
前回の順位:4位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。
7. Win32/Ramnit[全体の約1.20%]
前回の順位:9位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、.dll(ダイレクトリンクライブラリー)ファイルや.exe(実行)ファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を挿入します。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからファイルのダウンロード、実行ファイルの実行、またはコンピューターのシャットダウンや再起動を行います。
8. HTML/ScrInject[全体の約1.19%]
前回の順位:ランク外
HTML/ScrInjectは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
9. Win32/AdWare.ConvertAd[全体の約1.17%]
前回の順位:ランク外
このアドウェアは、迷惑広告の配信に使用されます。通常は別のマルウェアの一部です。
10. HTML/Refresh[全体の約1.14%]
前回の順位:5位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2015年4月度のランキングは、「Win32/Adware.MultiPlug」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.57%を占めています。

2015年4月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年6月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!