MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2015年8月 世界のマルウェアランキング

この記事をシェア
2015年8月のマルウェアランキング結果発表
目次
セキュリティ用語、その使い方に異議あり!
David Harley、ESETシニアリサーチフェロー
米国のリサーチチームは最近、各々が物言いをつけたいセキュリティ分野の専門用語について意見を求められました (実は、これはNCSAが管理するTwitterでのチャットとの連動企画で、他にもさまざまなトピックについて意見が交わされています。興味のある方は「#ChatSTC」を検索してみてください)。

私がセキュリティ業界に足を踏み入れてからほぼ30年。初めて耳にした際はセキュリティと関係があるとは思いもしなかった業界用語も、今ではさすがに慣れました。当時の混乱ぶりを表すとしたら、次のような感じでしょうか。
 
「誰が机(デスクトップ)に壁紙を貼るの? それから、窓(ウィンドウ)のこともよくわからないな。「窓を閉じる」とはどういう意味だろう? (カーテンを閉めるということ? それともシャッターを下ろすのかな?)」

しかし、その後も意見を聞いていくと、似たような経験のある方が多数いることがわかりました。しかも、馴染みのない用語にただ機嫌が悪くなるだけでなく、言語学的な議論にまで発展する場合もしばしばでした(句読点の重要性を説いたベストセラー『Eats, Shoots & Leaves: The Zero Tolerance Approach to Punctuation(パンクなパンダのパンクチュエーション―無敵の英語句読法ガイド)』の著者であるLynne Truss氏なら、喜んで参加しそうですが)。

次のような意見も聞かれました。
 
「ユーザーを狙う脅威の名称には違和感を覚えます。」
「ウイルス…まるで病原体のように聞こえます。」
「ワーム…線虫の一種でしょうか? アースワーム・ジム(1990年代に人気を博したテレビゲームのキャラクター)のことでしょうか?」
「トロイ(の木馬)…行く予定もありません。」

関連する意見をもう1つ紹介します。
 
「悪意のある(有害な)ペイロードを保持していないマルウェアを「benign(良性)」と表現するのはいかがなものでしょうか。被害を阻止する善玉というわけでもないのに。元々は医療分野でよく使われる用語ですが、誤解を招いているのも事実です。それに、コンピューターウイルスと生物学的な病原体の区別も曖昧になりますし、他の生物学的現象との混同を招く事態になりかねません。」

WildListは使用すべきか?

厳しい批判が寄せられたZooウイルスやWildListについては私も考えさせられました。

Zooウイルスとは何のことかご存知でしょうか。簡単に言えば、檻の中、すなわち研究施設に限って見つかるウイルスを指します。その対極が、In-the-Wild(実際に感染報告がある)ウイルスです。WildListはかつて、研究施設内にのみ存在する種ではなく、一般に流布し、日常的にPCを使うユーザーにリスクをもたらす悪意のあるプログラムを見抜くマルウェアのリストとして極めて重宝されました。ところが、WildList Organizationが管理する「WildCore(WildListに対応するウイルスのサンプルセット)」中のウイルスは今や世の中に拡散している種よりも、研究施設でしか見つからない種、つまりZooウイルスのほうが優勢になっているのです。

WildCoreがいまだ認定テストに使用される主な理由は、あらゆる検出重視のセキュリティソフトウェアが対処できる基本的なパフォーマンス指標を提供しているためであり、それゆえに合意、検証済みのサンプルセットとなっています。しかし、大半のマルウェアは日々進化を続けています。通常、サンプルが「実世界」に出回ることはありません。一方で、古くから存在するブートセクタ感染型ウイルスは絶えず進化を遂げています(そのため、リストには常に登録されています)。したがって、検証プロセスといっても、たいていは「消費期限切れ」のサンプルを使用してテストしていることになるのです。

ベストプラクティスは本当にベスト?

次のような意見を述べた方がいました。
 
「ベストプラクティスという表現をよく耳にしますが、口にするのはたいてい製品やサービスのマーケティング担当者です…」

次のコメントには他の方も同意していました。
 
「私は、ベストプラクティスという類にはまず反発します。基本的な対策という意味ならまだしも、経験豊富な技術屋に言わせれば、「ベストプラクティス」にただ従うのではなく、環境に応じて微調整、ときには大胆な変更を加えたほうが間違いなく賢明です。「基本的なセキュリティ対策」とでも言えば、まだ納得できるのですが。」


Robert Slade氏は著書『Dictionary of Information Security』で、2005年のCISSPforumでの議論に言及しています。
 
「…「ベストプラクティス」は、何かを保証するものでも万能薬でもありません。代わりになる表現としては、「標準的な習慣(大半のユーザーが実践している習慣)」、「必須の習慣(最低限実践すべき習慣)」、「推奨される習慣(優良企業が実践している習慣)」が挙げられました。」


何にでも「サイバー」を付ければ良いのか?

「サイバー」という用語を使おうとする風潮が高まっています。この用語については、次のような傾向があるそうです。
  • 名詞としての「サイバー」の使用。情報技術のように曖昧な意味合いで使用されるのが一般ですが、米軍ではネットワーキングという意味でも用いられるなど、その用途は多岐にわたります。英国の法執行機関では、コンピューター犯罪と同義ながら漠然とした意味合いで使用される傾向にあります。実際には、接頭語として使われるのが大半です。
  • 「デジタル」や「コンピューター」、「IT」はもはや使い古された感があるとし、コンピューターやネットワーキング、インターネットと関係するものにはすべて頭に「サイバー」を付けることを決定したマーケティング部門もあります。皆さん、覚悟してください。「サイバー」部門が企業に設置される日が近づいているのです。想像するだけでゾッとします。

正しい文法に則るべきか?

続いて、こちらの意見をご覧ください。
 
「答えは取るに足りません(trivial)です。」

「セキュリティ上の問題や障害について話すときに「克服は簡単」という意味で「trivial」という単語を使用する人が多いのですが、このような使用は問題を「たいしたことのないもののように思わせ」、相手をほぼ間違いなく誤解させます。」


私も「trivially」という単語を「平凡な、単調な」の意味で使用しています。間違いではなくても、誤解を与える可能性があります。おそらく再考する必要があるでしょう。

セキュリティ分野に限らず、あらゆる名詞の動詞化に対しても批判の声が上がりました。私も「security」の動詞化を例に考えてみましたが、イライラしそうなのでやめました。「セキュリティを強化する」と言いたいのなら「leverage」でも使えば済むのですから。その後で思い出したのですが、トロイの木馬を指す「trojan」が動詞で使用されたケースもありました。おそらく、ほとんどの方が「Trojanize(またはtrojanize)」を思い浮かべると思います。実を言うと、この表現は私が以前修正を依頼された『Maximum Security』という書籍の1つの章にありました。せっかくなので触れておきましたが、私がこの表現を好んでいるわけではありません。そもそも、マルウェアについて言及する際に「Trojan」とするか「trojan」とするかですら、私たちはまだ議論していません。まあ、私たちが万人に通用するようにワームやウイルスを定義しようと試みたものの不首尾に終わったため、業界内にさまざまな表記が混在するようになったのでしょう。

気になる方のために、この問題の本質について説明します。Trojanは本来、名詞「Troy」の形容詞形です。したがって、「(トロイア戦争を主題にしたギリシア悲劇『イリアス』を読んだ経験があれば)Trojan Horse」、または「Trojan horse」のように大文字で始めるのが一般的です。一方で、マルウェアを表す場合は本来の意味から切り離して使用すべきだと考え、小文字の使用を正当化する人もいます(馬が木製ではなく自由に駆け回れるのであれば尚更です)。例えば、ディーゼルエンジンの「ディーゼル(diesel)」は、その発明者であるルドルフ・ディーゼル(Diesel)に由来しています。ですから、小文字でも問題ないと考える人の主張も十分納得できるものだと思います。

「保証」は「不安」にさせる?

「情報セキュリティ」の意味で用いられる「情報保証(Information Security)」という表現にも物言いがつきました。
 
「皆さんはどう思うかわかりませんが、私個人としては「セキュリティ(Security)」と聞くと安全であるという印象を受けます。一方、「保証(Assurance)」も安全であるかのように思えますが、かえってインチキ商品を売りつけようとしているのではないかと勘繰ってしまいます。」

[「情報保証」を実現します、と言われると、「情報セキュリティ」の場合よりも身構えてしまいますね。]

これには私も同意せざるを得ません。

実際、脅威やソリューションに関する名称変更と再定義は、古典的なマーケティングの手法です。APT(Advanced Persistent Threat)攻撃という用語が良い例です。どの程度高度(Advanced)かはともかく、従来型のアンチマルウェア製品では間違いなく太刀打ちできないほど洗練された攻撃という印象を植え付けられます。なお、「シグネチャ(signature)」に関してもいろいろ言いたいことがありますが、スペースが尽きたようです。興味がある方はこちらをご覧ください。
ESETのコーポレートニュース
「Stagefright」の脆弱性を検出するAndroid向けの無料アプリを提供開始

ESETは、Android向けの無料アプリ「ESET Stagefright Detector」の提供開始を発表しました。Android搭載デバイスに深刻な「Stagefright」の脆弱性が潜んでいないかどうかの判断に役立つ このアプリは現在、Google Playストアからダウンロード可能です。

Black Hat 2015で初めて取り上げられたStagefrightの脆弱性は、攻撃者による、Android搭載デバイスの95%で使用されているオープンソースのメディアプレーヤー、Stagefrightライブラリーを介したデバイスの乗っ取りを可能にします。攻撃者は、MMS(マルチメディアメッセージングサービス)でターゲットのAndroidスマートフォンにメッセージを送信するだけで、電子メールや写真、個人情報など、デバイス内のほとんどのデータを入手できます。

ESET StageFright Detectorは、★Android 4.0とそれ以前のバージョン★のAndroidオペレーティングシステムで動作します。この最新アプリは単独では脆弱性を修復できませんが、ユーザーがアプリを有効にして自身のスマートフォンに脆弱性が存在するかどうかを調べると、[Learn More about Stagefright(Stagefrightの詳細)]アイコンが表示されます。このアイコンをクリックすると、データを保護するための安全手順をまとめたESETナレッジベースのページに移動できます。

カナダ地域のカントリーマネージャー就任を発表

ESETは、カナダ市場への進出、ならびにそれに伴うカナダオフィスの開設とIva Peric-Lightfootの同地域のカントリーマネージャー就任を発表しました。Iva Peric-Lightfootは、チャネルセールス、マーケティング、および流通分野を中心に、トロントに設置される新オフィスの業務を管理します。今回の人事はただちに有効となります。

IT業界に20年以上在籍するIva Peric-Lightfootは、国内外のチャネル戦略の策定と実施において豊富な経験を有しています。

カナダのテクノロジー分野を牽引するトロントへの進出により、モントリオールに所在する既存の研究施設が補完されるとともに、同国内のお客様のご要望にもより的確に対応できるようになると見込んでいます。
マルウェアランキングトップ10
1. Win32/Bundpil[全体の約4.86%]
前回の順位:2位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C(指令)サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
2. Win32/Qhost[全体の約2.25%]
前回の順位:ランク外
この脅威は、Windowsが起動する前に%system32%フォルダーに自身をコピーします。その後、DNSを介してC&Cサーバーと通信します。電子メール経由で拡散し、攻撃者による感染PCの乗っ取りを可能にします。
3. Win32/Adware.MultiPlug[全体の約1.90%]
前回の順位:3位
Win32/Adware.Multiplugは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)です。ユーザーのシステムに侵入すると、そのユーザーがWebサイトの閲覧中にポップアップ広告が表示されるようにします。
4. LNK/Agent.AV[全体の約1.66%]
前回の順位:5位
LNK/Agent.AVは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
5. HTML/Refresh[全体の約1.62%]
前回の順位:9位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
6. Win32/Sality[全体の約1.36%]
前回の順位:7位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。
7. Win32/Ramnit[全体の約1.30%]
前回の順位:8位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、.dll(ダイレクトリンクライブラリー)ファイルや.exe(実行)ファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を挿入します。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからのファイルのダウンロード、実行ファイルの実行、またはコンピューターのシャットダウンや再起動を行います。
8. LNK/Agent.BS[全体の約1.29%]
前回の順位:6位
LNK/Agent.BSは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
9. INF/Autorun[全体の約1.16%]
前回の順位:10位
INF/Autorunは、autorun.inf設定ファイルの中で、マルウェアによって作成されたさまざまな悪意のあるファイルの汎用検出名です。この悪意のあるファイルには、マルウェアの実行ファイルへのパスが記述されています。感染したドライブをマウントするとマルウェアの実行ファイルが自動実行されるようにするため、通常はアクセス可能なすべてのドライブのルートフォルダー内に作成されます。Windows Explorer内で表示されないようにするため、システム(S)属性と隠し(H)属性が設定される場合があります。
10. Win32/ExtenBro[全体の約1.16%]
前回の順位:ランク外
これはWebブラウザー用の悪意のある拡張機能で、ソーシャルネットワーク経由で拡散します。ユーザーのアクティビティを傍受し、データを盗み出そうと試みます。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2015年8月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち4.86%を占めています。

2015年8月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年8月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!