MALWARE REPORT

マルウェアレポート | 流行したマルウェア

2015年9月 世界のマルウェアランキング

この記事をシェア
2015年9月のマルウェアランキング結果発表
目次
ファービー人形はセキュリティ脅威となるか?
David Harley、ESETシニアリサーチフェロー
IT Security UKのWebサイトより転載
ファービーは、いつの時代も注目の的のようです。ジョー・ダンテ監督の映画『グレムリン』に登場する可愛らしいモグワイ(中国に伝わる幽霊(*1)とは異なります)を模したこのモコモコの電子ペットが、どういうわけかセキュリティ業界の関心も集めているのです。

ウイルス情報を発信するニュースグループ「alt.comp.virus」で、ファービーがウイルスの感染経路になり得るという何とも愚かな議論が交わされたかと思えば(詳細には触れません)、航空業界では機内持ち込み禁止物に指定されました。細かく説明すると、米連邦航空局は以前、離着陸時にナビゲーションシステムとの電波干渉を防ぐために、「高度1万フィート未満の機内にファービーがあってはならない」と通知したのです。多くの航空会社も、ファービーを機内に持ち込む際は電池を抜いておくよう乗客に呼びかけました。これはすなわち、ファービーは、ノートPCや携帯端末、電子ゲーム、個人用音楽プレーヤーなどの電子機器と同じ扱いということになります。

21世紀に突入しようとしていた当時の「個人用ステレオ」といえば、携帯可能なカセットプレーヤーやCDプレーヤーです。通信機能を備え、本格的なPCに引けを取らないiPodなどの高機能携帯端末はまだ普及する以前でした。航空会社が多少なりとも電子的と判断すれば、機内への持ち込み禁止・制限の対象にする拡大解釈が意外ではない時代だったのです。文句を言われようとも備えあれば憂いなし、ということなのでしょう。悲惨な結果を招く可能性は低くなります。確かに、フライト中や着陸時の安全に配慮して、機内で携帯端末やiPodの電源が切ってあるか確認する人を見かけます。高度3万フィートで、ポケットやハンドバッグに入れた携帯電話が勝手に誤発信してしまう回数を示す統計データでもあれば、ぜひとも拝見したいものですが。

以下は私が2002年に執筆した文章です。

「ファービーは最近、情報漏えいの原因になる可能性があるとして、米国ユタ州にある国家安全保障局(NSA)の施設への持ち込み(ストレス解消を目的に持ち込む職員がいたのです)が禁止されました。どうやら同局のセキュリティ担当者は、ファービーを施設に持ち込めば、周囲で交わされる機密性の高い会話の内容を覚え、言いふらしてしまう可能性があるため、セキュリティリスクにさらされると考えているようです。ファービーなら、私の家にもあります。娘のファービーに、2人でウクライナ語のアクセントで「My hovercraft is full of eels(英国のコメディ番組『空飛ぶモンティ・パイソン』に由来するジョーク)」と言わせようとしています。今のところは見事に失敗していますが、それはそれで楽しいひと時です。もしNSAが懸念するような能力が本当にあるのなら、付属の取扱説明書にもwww.furby.comにも記載されていないのは不思議ですね。攻撃者によるPentium搭載マザーボードの焼損を可能にするオペコードのように、文書化されていないだけなのでしょうか。」

★『グレムリン』(*1)の背景にある伝承は非常に興味深い内容です。★ 作品に登場する可愛らしいモグワイは、中国に伝わる復讐心に満ちた幽霊と同名で、しかも共通する行動が多数あります。繁殖方法や変態の面でも類似点がいくつか見られます。グレムリンという名前は1920年代(あるいはそれ以前)の英国空軍のスラングに由来しているようです。機械に「不可解な」故障を引き起こす生き物を指し、ロアルド・ダールの作品を通じて広く知れ渡るようになりました。

このピンポイントの禁止措置は、ファービーが、“母国語”のファービー語に加え、人間と同じように繰り返し話しかけることで英語を習得する能力を備えているという、広く認知されている考えが根底にあるようです。発売元のTiger Electronicsが、子供たちにそんな風に思ってもらいたかったのかはわかりません。いずれにせよ、公式サイトの「Furby Boom」の説明ページには今なお「ファービーに英語で話しかけてみましょう。コミュニケーションの取り方でその性格が変わります」と記されています。

さて、この問題が明るみに出ると、同社の経営幹部は、ファービーには録音機能は内蔵されていないと説明しました。ファービーが言葉を“学習”したり、繰り返したりするのは、模倣による習得ではなく、あらかじめプログラムされたフレーズの発話の蓄積がベースになっているようです。何か言葉を発しているときに可愛がるとファービーはそのフレーズを繰り返しますが、そのときファービーが学習していたのは自身の発言に対する持ち主の反応だけなのです。どうやら、時間が経つにつれ、あらかじめプログラムされた英語のフレーズをどんどん発するように設計されているようで、結果として本当に英語を“学習”しているように思われてしまったと見られます。ともかく、NSAは施設への持ち込み禁止を取り消したようです。その後、同局の幹部の読解力や騙されやすさについて調査が行われたのかどうか、在籍するファービーの持ち主に代わりのストレス解消法が提案されたかどうかは私にもわかりません。

では、「ハッキング」の側面ではどうでしょうか。たいていは、不快感も悪意もない一昔前のタイプのハッキングです。ファービーの場合は、面白い音を出す目的で行われるサーキットベンディングのための、音声およびセンサー入力の改造が大半です。しかし、Michael Coppola氏は、2013年12月に執筆した「ファービー人形のリバースエンジニアリング」という記事で、最新版のファービーで使用されるプロトコルに高い関心を示し、ファービーが理解するイベントに関する以前の研究を取り上げました。

ファービーは、データをエンコードして高周波を突発的に生成するオーディオプロトコルを使用し、iOSアプリや別のファービーと通信を行っている、と同氏は説明します。この考えは、スピーカーの高周波を使用して感染デバイス間の通信などを行うマルウェアに関する、Dragos Ruiu氏の主張反論の声もあります)を思い起こさせます(この恐ろしいrootkitは「BadBIOS」と呼ばれます)。それほどマルウェアに都合の良い話が実在するのかどうかはさておき、関連する記事はどれも突拍子もない内容で、なかなか面白いと思います。ところが、この話はここで終わりません。Chris Valasek氏の「ファービー人形は第2のSCADAへと発展するか」という扇情的な見出しの記事では、他のファービーのモデルやモバイルアプリとの通信において脆弱性が見つかったとするCoppola氏の調査が引用されました。

Valasek氏がCoppola氏の調査を取り上げたSecurity of Thingsのイベントに私は出席していないのですが、同氏の主張は見出しほど扇情的ではなさそうです。

「...影響が低いからといって軽視すべきではありません。IoT(モノのインターネット)デバイスに存在する脆弱性がすべて大きな影響を及ぼすとは限りません。今はリスクを疑われる技術が、将来的にはどのように使用されるかを見極める必要があります。」

Coppola氏が「ファービー人形がもたらすリスク」についてプレゼンした2014年のReconのイベントにも私は出席していませんが、興味深い内容ではあるものの、Valasek氏が指摘しているように影響は低いと見られます。Coppola氏はさまざまな高腐食性の酸や電子顕微鏡を使用するなど、多大な労力を投じたようですが、ファービーの毛皮の下に隠された秘密がすべて明らかになったとは思えません。現時点では、第2のSCADAと位置付けるのは時期尚早と言えるでしょう(そのうち、iPad のように英国閣議への持ち込みが禁止される可能性はありますが)。

私の娘は何年も前にファービーやたまごっちを手放しましたが、私の孫がそれで遊んでいたとしても、取り上げて近所の廃車置き場に捨てに行こうとは思いません。国家インフラへのリスクを軽視するつもりはありませんが、憶測だけでファンタジーの世界を壊すのもいかがなものでしょうか。


(*1)『グレムリン』の背景にある伝承は非常に興味深い内容です。作品に登場する可愛らしいモグワイは、中国に伝わる復讐心に満ちた幽霊と同名で、しかも共通する行動が多数あります。繁殖方法や変態の面でも類似点がいくつか見られます。グレムリンという名前は1920年代(あるいはそれ以前)の英国空軍のスラングに由来しているようです。機械に「不可解な」故障を引き起こす生き物を指し、ロアルド・ダールの作品を通じて広く知れ渡るようになりました。
ESETのコーポレートニュース
データ暗号化分野を牽引するDESlock+を買収

ESETは、データ暗号化ソフトウェアを手掛けるDESlock+の買収を発表しました。今回の買収を通じて、DESlock+のコア技術を既存の法人および個人向け製品ラインに完全統合することを予定しています。データ保護やプライバシーは企業と個人の双方に特に懸念されており、政府機関も、ユーザーのデータを保護するために暗号化などのセキュリティ対策を実装するよう企業や組織に義務付ける規制を制定しています。

ESETのセールス/マーケティング最高責任者であるIgnacio Sbampatoは次のように述べています。「最近実施した調査では、調査対象の企業の3分の2は、標準的なエンドポイント向けセキュリティソリューションの一機能として暗号化機能が必要であると認識している事実が明らかになりました。ESET Technology AllianceにDESlock+の暗号化ソリューションが加わった際は多大な成果をもたらしてくれましたが、今回のパートナーシップにより、お客様にさらに満足していただけるメリットが創出されると見込んでいます。DESlock+の優れた暗号化技術は、ESETの現行セキュリティ製品の補完に大いに役立つことでしょう。」

イングランド西部、トーントンを拠点とし、高度な暗号化ソリューションを専門とするDESlock+は、2013年よりESETのTechnology Allianceの一員として高い成果を上げてきました。今回の買収は、ESETにとっては新たな研究開発拠点の確保にもなり、英国の有望な人材獲得の機会につながると見られます。


ESET Mail Security for Microsoft Exchange Serverの次世代版をリリース

ESETは、完全に再設計されたユーザーインタフェース、強化されたアンチスパムエンジン、オプションでクラウドベースのスキャンが可能なアンチウイルス機能を特徴とする、次世代のESET Mail Security for Microsoft Exchange Serverのリリースを発表しました。ESET Remote Administrator 6によりサポートされる本製品は、マルウェアからの保護やスパムフィルタリング、徹底した電子メールスキャンといった各種機能により、電子メールの安全な利用を実現します。

ESET Mail Security for Microsoft Exchange Serverの新機能は、IT管理者の作業を簡素化すると同時にセキュリティ機能も強化します。そのうちの1つの★ローカル検疫管理機能★は、管理者による社内のメールフローの管理を効率化します。このツールにより悪意があると判断されたメールはブロックされますが、受信者は必要に応じてメッセージにアクセスすることが可能です。正当なメッセージがブロックされた場合でも、メールを迅速に取得できるため、業務を妨げることもありません。

さらに、★ローカルオンデマンドスキャン機能★により、管理者はスキャン対象のデータベースやメールボックスを選択できるため、サーバーリソースへの心配も軽減されます。また、サーバーの活動に関連するログにも簡単にアクセス可能で、トラブルシューティングもクリック1回で行えます。

ESET Mail Security 6 for Microsoft Exchange Serverに搭載された新しいセキュリティ機能により、進化し続ける脅威が潜むメールは、ホストサーバーやエンドポイントに届く前にブロックされます。他にも次のような機能を搭載しています。
 
  • アドバンスドメモリスキャナー
    高度に難読化または暗号化されたマルウェアに対する保護を強化
  • エクスプロイトブロッカー
    WebブラウザーやPDFリーダー、電子メールクライアント、MS Officeのコンポーネントなど、悪用されやすいアプリケーションの保護を強化
  • フィッシング対策機能
    ユーザーを騙して不正なWebサイトに誘導する可能性のあるリンクやスクリプトが用いられている電子メールのメッセージの内容をスキャン

ESET Mail Security 6 for Microsoft Exchangeの次世代版の詳細については、こちらをご覧ください。
マルウェアランキングトップ10
1. Win32/Bundpil[全体の約6.08%]
前回の順位:1位
このワームは、リムーバブルメディアを介して感染を広げます。1つのURLを保持しており、そのURLからいくつかのファイルをダウンロードし、実行しようとします。HTTPプロトコルを使用してC&C(指令)サーバーと通信を行い、新しい命令を受け取ります。次のフォルダーを削除する場合があります。
*.exe
*.vbs
*.pif
*.cmd
*Backup.
2. JS/TrojanDownloader.Iframe[全体の約1.84%]
前回の順位:ランク外
このトロイの木馬は、悪意のあるソフトウェアの配信サイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
3. Win32/Adware.Mobogenie[全体の約1.81%]
前回の順位:ランク外
Win32/Adware.Mobogenieは、ユーザーにとって望ましくない動作をする可能性のあるアプリケーション(Potentially Unwanted Application:PUA)で、Androidデバイスを管理するPCプログラムであるMobogenieと関連しています。通常はユーザーが気付かないうちにシステムにインストールされ、迷惑広告をダウンロード、表示します。
4. HTML/ScrInject[全体の約1.73%]
前回の順位:ランク外
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
5. LNK/Agent.AV[全体の約1.66%]
前回の順位:4位
LNK/Agent.AVは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
6. LNK/Agent.BX[全体の約1.52%]
前回の順位:ランク外
LNK/Agent.BXは、正規のコードを実行するためのコマンドを連結しながら、バックグラウンドで脅威のコードを実行するリンクで、autorun.infという古い脅威と同様の影響を及ぼします。
7. Win32/Sality[全体の約1.37%]
前回の順位:6位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。

詳細については、こちらをご覧ください。
8. Win32/TrojanDownloader.Waski[全体の約1.33%]
前回の順位:ランク外
このトロイの木馬は、HTTPプロトコルを使用して別のマルウェアをダウンロードしようとします。2つのURLを保持しており、そのURLからファイルをダウンロードしようとします。ダウンロードしたファイルを%temp%\miy.exe内に保存し、それから実行します。
9. Win32/Ramnit[全体の約1.32%]
前回の順位:7位
Win32/Ramnitは、他のファイルに感染するウイルスです。システムが起動するたびに実行し、.dll(ダイレクトリンクライブラリー)ファイルや.exe(実行)ファイルに感染するほか、htmファイルやhtmlファイルを検索して悪意のある命令を挿入します。システムの脆弱性(CVE-2010-2568)を悪用して、任意のコードを実行することを可能にします。リモートからコントロール可能で、スクリーンショットの作成や収集した情報の送信、リモートのコンピューターもしくはインターネットからのファイルのダウンロード、実行ファイルの実行、またはコンピューターのシャットダウンや再起動を行います。
10. INF/Autorun[全体の約1.20%]
前回の順位:9位
INF/Autorunは、autorun.inf設定ファイルの中で、マルウェアによって作成されたさまざまな悪意のあるファイルの汎用検出名です。この悪意のあるファイルには、マルウェアの実行ファイルへのパスが記述されています。感染したドライブをマウントするとマルウェアの実行ファイルが自動実行されるように、通常はアクセス可能なすべてのドライブのルートフォルダー内に作成されます。Windows Explorer内での表示を避けるため、システム(S)属性と隠し(H)属性が設定される場合があります。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「Live Grid」によると、2015年9月度のランキングは、「Win32/Bundpil」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち6.08%を占めています。

2015年9月の結果グラフ
ESET社について

プロアクティブなセキュリティ製品のパイオニアとして、数々の受賞歴を誇るESET NOD32テクノロジーの開発を手掛けるESETは、企業や個人向けにセキュリティソリューションを提供するグローバルプロバイダーです。ESETは26年以上にわたり、プロアクティブなマルウェア検出技術の分野で業界をリードし続けています。2013年9月に80回目となるVirus Bulletin誌の「VB100アワード」を獲得したESET NOD32テクノロジーは同アワードの最多受賞記録を保持しており、1998年に同テストが開始されて以来、In-the-Wildワーム/ウイルス(実際に感染報告があるワームまたはウイルス)を1つ残らず検出しています。また、同アワードの最長の連続受賞記録も保持しています。他にも、AV-ComparativesやAV-TESTなどのテスト機関から数々の賞や高評価を獲得しています。ESET NOD32アンチウイルス、ESET Smart Security、ESET Cyber Security(Mac用ソリューション)、ESET Mobile Security、IT Security for Businessは、世界中の何百万人ものユーザーから支持されている、世界有数の推奨セキュリティソリューションです。

ESETは、ブラティスラバ(スロバキア)にグローバル本社を、サンディエゴ(米国)、ブエノスアイレス(アルゼンチン)、シンガポールに地域の物流センターを、そしてイェーナ(ドイツ)、プラハ(チェコ共和国)、サンパウロ(ブラジル)に事業所を構えています。さらに、ブラティスラバ、サンディエゴ、ブエノスアイレス、シンガポール、プラハ、コシツェ(スロバキア)、クラクフ(ポーランド)、モントリオール(カナダ)、モスクワ(ロシア)にマルウェア研究センターを設置しているほか、世界180カ国以上にまたがる広範なパートナーネットワークを形成しています。

詳細については、ESETの概要とプレスセンターをご覧ください。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!