2015年7月のマルウェアランキング結果発表
目次
David Harley、ESETシニアリサーチフェロー
[IT Security UKのWebサイトより転載]
確か1980年代の後半頃だったと思いますが、当時バンドを組んでいた私はバンド名をどうするかでメンバーと揉めたことがあります。その頃の私といえば、建築業界からIT業界に鞍替えしたばかりで、プログラミング漬けの日々を送っていました。諸事情が重なって、私が提案したのは、「Division by Zero(ゼロ除算)」という、どこか無を追求する禅の雰囲気を醸し出す名前でした。ご存知の方もいるでしょうが、今ではポーランドに同名のバンドが存在します。多数決の結果、私の案は却下されてしまったのですが。※
あれから数十年、このゼロ除算に関する興味深い記事を最近目にしました。「Siriに「ゼロ割るゼロ」を質問するとどうなる?」という見出しです。Siriとは、Appleが提供しているパーソナルデジタルアシスタントのことです。記事によると、Siriは以下のとおりこの質問を馬鹿げていると見なし、正論ながらやや素っ気ない回答をするそうです。
「0枚のクッキーを、0人の友達と分け合う状況を想像してみて。1人何枚ずつもらえたかしら。ほら、まるで意味をなさないでしょう。それにクッキーモンスターはクッキーがなくて悲しんでいるし、あなたも友達がいなくて悲しいはず。」
…なかなか手厳しい回答ですね。気の短い方であれば、質問しない方が賢明です。それでも、正しい解答(数学的に言えば(文字通り)不定ということになります)を知りたい、というよりもネット上で話題になっているSiriの回答が気になって質問しようとする人は多いでしょう。ここでは数学的な説明は省略します。私自身、そこまで深い知識を持ち合わせていませんので。
とはいえ、ゼロ割るゼロはゼロ除算の中でも特殊なケースです。Siriによるゼロをゼロで割ることができない理由の説明はもっともらしいものですし、日常で使う程度の算数の知識を持ち合わせていれば皆さんも納得できるでしょうが、そもそも存在しないもので割ろうとすること自体がほとんど無意味です。もし数学的な解説をご希望の方がいましたら、こちらをご覧ください。
しかし、プログラマの観点から言えば、現実的な事情があります。計算機は通常、ゼロで割る(「/」、「0」、「=」の順に入力する)と、エラーを返すようにプログラミングされているのです。実際、多くのプログラミング言語は「ゼロで割る」という不正な演算を防止するように設計されています。演算結果の信頼性が(控えめに言っても)低いためです。場合によっては、「runtime error [numeric code] at [segment]:[offset]([セグメント]:[オフセット]でランタイムエラー[数値コード]が発生しました)」のような不可解なエラーメッセージを返しながら、コンパイル済みのプログラムが停止します。これはプログラマ、特に算術演算を実行するための操作をよくわかっていない方にとってはちょっと避けたい話題でしょう。数学者どころかプログラマでもない私ですが、予期しないコンテキストで何らかの例外処理を行う必要がある場合に備えてコーディング(一部は数学と関連しています)についてはそれなりに勉強しました。デバッグ中にプログラムがクラッシュしてエラーコードを返すのならまだしも、現実世界でクラッシュするのでは楽観視できません。
では、セキュリティにはどのように関係しているのでしょうか。私たちセキュリティ業界の人間にとって、データの正確性と完全性は死活問題です。信頼性の低いアプリケーション、すなわち不適切な条件が重なるとエラーになる可能性があるアプリケーションは、間違いなく厄介かつ大きな問題を引き起こします。例えば、米海軍のミサイル巡洋艦「USS Yorktown」は1997年、Windows NTアプリケーションにおいてゼロ除算エラーが発生したためシステム故障に陥ったと報告されています。その結果、船は2時間45分にわたり、海上で身動きが取れない状態になりました。この件を受けて、RISKS Digestには次のような文が寄せられています。
「次の数世代のOSはレガシーシステムとの互換性と縁を切ることを願います。そうすれば、戦争を仕掛けようとする国は現れないでしょう。」
※その後、私たちのバンド名がどうなったのかおそらく気になるところでしょう。最終的にバンド名は「Flying Piglets」(Pigletは童話に登場する子豚)に決まりました。たまに人に話すことがあるのですが、たいていは「そうなんですか。じゃあ当時は結構騒がれたでしょう」と返ってきます。どうやら、アカペラ・ヴォーカル・グループのFlying Picketsと勘違いされているようで、仕方なく私は正確に発音し直します。残念ながら、Flying Pigletsが彼らのようにブレイクすることはありませんでした(ちなみにThree Flying Pigletsはまた別のグループです)。
確か1980年代の後半頃だったと思いますが、当時バンドを組んでいた私はバンド名をどうするかでメンバーと揉めたことがあります。その頃の私といえば、建築業界からIT業界に鞍替えしたばかりで、プログラミング漬けの日々を送っていました。諸事情が重なって、私が提案したのは、「Division by Zero(ゼロ除算)」という、どこか無を追求する禅の雰囲気を醸し出す名前でした。ご存知の方もいるでしょうが、今ではポーランドに同名のバンドが存在します。多数決の結果、私の案は却下されてしまったのですが。※
あれから数十年、このゼロ除算に関する興味深い記事を最近目にしました。「Siriに「ゼロ割るゼロ」を質問するとどうなる?」という見出しです。Siriとは、Appleが提供しているパーソナルデジタルアシスタントのことです。記事によると、Siriは以下のとおりこの質問を馬鹿げていると見なし、正論ながらやや素っ気ない回答をするそうです。
「0枚のクッキーを、0人の友達と分け合う状況を想像してみて。1人何枚ずつもらえたかしら。ほら、まるで意味をなさないでしょう。それにクッキーモンスターはクッキーがなくて悲しんでいるし、あなたも友達がいなくて悲しいはず。」
…なかなか手厳しい回答ですね。気の短い方であれば、質問しない方が賢明です。それでも、正しい解答(数学的に言えば(文字通り)不定ということになります)を知りたい、というよりもネット上で話題になっているSiriの回答が気になって質問しようとする人は多いでしょう。ここでは数学的な説明は省略します。私自身、そこまで深い知識を持ち合わせていませんので。
とはいえ、ゼロ割るゼロはゼロ除算の中でも特殊なケースです。Siriによるゼロをゼロで割ることができない理由の説明はもっともらしいものですし、日常で使う程度の算数の知識を持ち合わせていれば皆さんも納得できるでしょうが、そもそも存在しないもので割ろうとすること自体がほとんど無意味です。もし数学的な解説をご希望の方がいましたら、こちらをご覧ください。
しかし、プログラマの観点から言えば、現実的な事情があります。計算機は通常、ゼロで割る(「/」、「0」、「=」の順に入力する)と、エラーを返すようにプログラミングされているのです。実際、多くのプログラミング言語は「ゼロで割る」という不正な演算を防止するように設計されています。演算結果の信頼性が(控えめに言っても)低いためです。場合によっては、「runtime error [numeric code] at [segment]:[offset]([セグメント]:[オフセット]でランタイムエラー[数値コード]が発生しました)」のような不可解なエラーメッセージを返しながら、コンパイル済みのプログラムが停止します。これはプログラマ、特に算術演算を実行するための操作をよくわかっていない方にとってはちょっと避けたい話題でしょう。数学者どころかプログラマでもない私ですが、予期しないコンテキストで何らかの例外処理を行う必要がある場合に備えてコーディング(一部は数学と関連しています)についてはそれなりに勉強しました。デバッグ中にプログラムがクラッシュしてエラーコードを返すのならまだしも、現実世界でクラッシュするのでは楽観視できません。
では、セキュリティにはどのように関係しているのでしょうか。私たちセキュリティ業界の人間にとって、データの正確性と完全性は死活問題です。信頼性の低いアプリケーション、すなわち不適切な条件が重なるとエラーになる可能性があるアプリケーションは、間違いなく厄介かつ大きな問題を引き起こします。例えば、米海軍のミサイル巡洋艦「USS Yorktown」は1997年、Windows NTアプリケーションにおいてゼロ除算エラーが発生したためシステム故障に陥ったと報告されています。その結果、船は2時間45分にわたり、海上で身動きが取れない状態になりました。この件を受けて、RISKS Digestには次のような文が寄せられています。
「次の数世代のOSはレガシーシステムとの互換性と縁を切ることを願います。そうすれば、戦争を仕掛けようとする国は現れないでしょう。」
※その後、私たちのバンド名がどうなったのかおそらく気になるところでしょう。最終的にバンド名は「Flying Piglets」(Pigletは童話に登場する子豚)に決まりました。たまに人に話すことがあるのですが、たいていは「そうなんですか。じゃあ当時は結構騒がれたでしょう」と返ってきます。どうやら、アカペラ・ヴォーカル・グループのFlying Picketsと勘違いされているようで、仕方なく私は正確に発音し直します。残念ながら、Flying Pigletsが彼らのようにブレイクすることはありませんでした(ちなみにThree Flying Pigletsはまた別のグループです)。
攻撃活動「Potao Express」に関するホワイトペーパーを公開
ESETは、マルウェアファミリー「Win32/Potao」の背後に潜むサイバースパイ活動グループによる攻撃活動「Potao Express」について包括的に分析し、その結果を公開しました。この最新のホワイトペーパーでは、Win32/Potaoの拡散手法に関する技術的な詳細や、初めて確認された2011年以降のこのマルウェアによる主要な攻撃について取り上げています。
Win32/Potaoはスパイ活動を行うマルウェアで、ウクライナをはじめ、ロシアやグルジア、ベラルーシなどのCIS諸国で見つかっています。Potaoファミリーは典型的なスパイ型トロイの木馬であり、パスワードなどの個人情報を盗み出し、攻撃者のリモートサーバーに送信します。
2,000台ものPCで構成され、キー入力内容を記録する「Liberpy」を詳細解析
ESETは、「ラテンアメリカで情報窃取を働く「Liberpy」」と題した詳細な調査記事を公開しました。Liberpyは、ベネズエラのユーザーをターゲットとして2,000台ものPCで構成されるHTTPベースのボットネットで、キーロガーを使用して個人情報を盗み出します。
この攻撃ではまず、貨物の追跡情報に見せかけたマルウェア感染ファイルを添付した不正な電子メールをユーザーに送り付けます。ユーザーがファイルを開いてしまうと、PCが感染してボット化するだけでなく、接続されているUSBデバイスを介してマルウェアが拡散する可能性もあります。
Windows 10に移行する際はまずESET製品のバージョンの確認を
ESETは、MicrosoftのOSの最新バージョンであるWindows 10と互換性がある、Windows用の個人および法人向け製品を発表しました。ただし、いまだESETの旧バージョンのセキュリティ製品をご利用のお客様には、OSをアップデートする前にまずこれらの製品をアップグレードすることが推奨されます。
社内のエンドポイントをWindows 10にアップグレードすることを決定した法人のお客様の場合は、ESET Endpoint SecurityとESET Endpoint アンチウイルスを最新のビルドバージョン(5または6)にアップデートしておくことをおすすめします。それ以前のバージョンは、Windows 10との互換性がありません。
ESETではWindows 10への移行に関する質問と回答をまとめた専用のサポートページを公開していますので、個人ユーザ、企業の担当者の皆さんもぜひご覧ください。
ESETは、マルウェアファミリー「Win32/Potao」の背後に潜むサイバースパイ活動グループによる攻撃活動「Potao Express」について包括的に分析し、その結果を公開しました。この最新のホワイトペーパーでは、Win32/Potaoの拡散手法に関する技術的な詳細や、初めて確認された2011年以降のこのマルウェアによる主要な攻撃について取り上げています。
Win32/Potaoはスパイ活動を行うマルウェアで、ウクライナをはじめ、ロシアやグルジア、ベラルーシなどのCIS諸国で見つかっています。Potaoファミリーは典型的なスパイ型トロイの木馬であり、パスワードなどの個人情報を盗み出し、攻撃者のリモートサーバーに送信します。
2,000台ものPCで構成され、キー入力内容を記録する「Liberpy」を詳細解析
ESETは、「ラテンアメリカで情報窃取を働く「Liberpy」」と題した詳細な調査記事を公開しました。Liberpyは、ベネズエラのユーザーをターゲットとして2,000台ものPCで構成されるHTTPベースのボットネットで、キーロガーを使用して個人情報を盗み出します。
この攻撃ではまず、貨物の追跡情報に見せかけたマルウェア感染ファイルを添付した不正な電子メールをユーザーに送り付けます。ユーザーがファイルを開いてしまうと、PCが感染してボット化するだけでなく、接続されているUSBデバイスを介してマルウェアが拡散する可能性もあります。
Windows 10に移行する際はまずESET製品のバージョンの確認を
ESETは、MicrosoftのOSの最新バージョンであるWindows 10と互換性がある、Windows用の個人および法人向け製品を発表しました。ただし、いまだESETの旧バージョンのセキュリティ製品をご利用のお客様には、OSをアップデートする前にまずこれらの製品をアップグレードすることが推奨されます。
社内のエンドポイントをWindows 10にアップグレードすることを決定した法人のお客様の場合は、ESET Endpoint SecurityとESET Endpoint アンチウイルスを最新のビルドバージョン(5または6)にアップデートしておくことをおすすめします。それ以前のバージョンは、Windows 10との互換性がありません。
ESETではWindows 10への移行に関する質問と回答をまとめた専用のサポートページを公開していますので、個人ユーザ、企業の担当者の皆さんもぜひご覧ください。
1. Win32/Bundpil[全体の約3.93%]
前回の順位:2位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C(指令)サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
*.exe
*.vbs
*.pif
*.cmd
*Backup.
2. SWF/Exploit.ExKit[全体の約3.19%]
前回の順位:ランク外
SWF/Exploit.ExKitはFlashに潜む脆弱性を悪用するエクスプロイトの汎用検出名で、通常はエクスプロイトキットに組み込まれます。
3. Win32/Adware.MultiPlug[全体の約2.61%]
前回の順位:2位
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
4. JS/Kryptik.I[全体の約1.79%]
前回の順位:4位
JS/Kryptikは、HTMLページに埋め込まれている、難読化された悪意のあるJavaScriptコードの汎用検出名です。通常は、悪意のあるURLにブラウザーをリダイレクトしたり、特定の脆弱性を悪用したりします。
5. LNK/Agent.AV[全体の約1.53%]
前回の順位:5位
LNK/Agent.AVは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
6. LNK/Agent.BS[全体の約1.51%]
前回の順位:ランク外
LNK/Agent.BSは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
7. Win32/Sality[全体の約1.31%]
前回の順位:7位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
8. Win32/Ramnit[全体の約1.24%]
前回の順位:8位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、.dll(ダイレクトリンクライブラリー)ファイルや.exe(実行)ファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を挿入します。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからのファイルのダウンロード、実行ファイルの実行、またはコンピューターのシャットダウンや再起動を行います。
9. HTML/Refresh[全体の約1.13%]
前回の順位:ランク外
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
10. INF/Autorun[全体の約1.13%]
前回の順位:9位
INF/Autorunは、autorun.inf設定ファイルの中で、マルウェアによって作成されたさまざまな悪意のあるファイルの汎用検出名です。この悪意のあるファイルには、マルウェアの実行ファイルへのパスが記述されています。感染したドライブをマウントするとマルウェアの実行ファイルが自動実行されるようにするため、通常はアクセス可能なすべてのドライブのルートフォルダー内に作成されます。Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2015年7月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち3.93%を占めています。
プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年7月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。
ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。
詳細については、ESETの概要とプレスセンターをご覧ください。
セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。
この情報は、ThreatSense.net(※)の情報を元に作成しています。
- ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
