2009年7月 世界のマルウェアランキング

この記事をシェア
2009年7月の月間マルウェアランキング結果発表
 
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2009年7月度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち10.67%を占めています。

トップ10にランクインした脅威の詳細を、前回の順位(前回がランキング圏内であった場合)、およびThreatSense.Netによって検出された脅威全体に占める割合とあわせて以下に示します。
 
2009年7月の結果グラフ
 
1. Win32/Conficker [全体の約10.67%]
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしMicrosoftは、Windows 7でこの機能を無効にすると発表しています)経由で感染を広げる亜種も存在します。

Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。


エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが10月末に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードが削除されているようですが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。

「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何か月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。

 
2. INF/Autorun [全体の約8.39%]
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。

エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。

WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。

ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(http://www.eset.com/threat-center/blog/?p=94http://www.eset.com/threat-center/blog/?p=828)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。

 
3. Win32/PSW.OnLineGames [全体の約7.92%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。

エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESET Malware Intelligenceチームが詳しく解説しています。
 
4. Win32/Agent [全体の約2.59%]
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。

ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。


エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
 
5. Win32/FlyStudio [全体の約2.38%]
前回の順位:ランク外
Win32/FlyStudioは、ユーザーがWebブラウザーで入力した内容を改ざんする脅威です。検索キーワードを改変し、特定の広告をWebブラウザーで表示させようとします。Win32/FlyStudioは、中国のユーザーをターゲットにしているものと考えられます。

エンドユーザーへの影響
FlyStudioは、中国国内で開発ツールとして広く利用されているスクリプト言語です。ただし、Win32/FlyStudioは北米など中国以外の地域でも検出されています。このことは、Win32/FlyStudioが別のマルウェアファミリーによって拡散された可能性があることを意味しています。
 
6. INF/Conficker [全体の約1.91%]
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。

エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
 
7. Win32/Pacex.Gen [全体の約1.84%]
前回の順位:6位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。

エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。

とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのは言うまでもありません。先ごろ、ESETのPierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”: Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。

 
8. WMA/TrojanDownloader.GetCodec [全体の約0.90%]
前回の順位:7位
WMA/GetCodec.Aは、メディアファイルを改ざんするマルウェアです。PC上で見つかったすべてのオーディオファイルをWMA形式に変換し、ユーザーの誘導先URLを指すフィールドをヘッダーに追加します。そして、メディアファイルを再生するにはそのURLからコーデックをダウンロードする必要があるというメッセージを表示します。WMA/TrojanDownloader.GetCodecは、Wimad.Nに関係するダウンローダで、Win32/GetCodec.AなどのGetCodecの亜種による感染を支援します。

エンドユーザーへの影響
悪意のあるファイルを新しいビデオコーデックに見せかけるというソーシャルエンジニアリングの手法は、多くのマルウェア作者が用いる定番のテクニックです。Wimadに代表されるこの種のマルウェアは、何か便利なもの、おもしろそうなものに見せかけてユーザーに悪意のあるコードを実行させようとします。コーデックとされるファイルが本物のコーデックであるかマルウェアであるかを見分ける簡単で万能な方法はありません。したがって、自分から要求したのではない何かをダウンロードするように求められた場合は、慎重に、そして用心深く対処することが重要となります。信頼できるサイトから提供されているように思える場合でも、できるかぎりの確認作業を行うことをお勧めします(こちらもご参照ください)。
 
9. Win32/Qhost [全体の約0.85%]
前回の順位:9位
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。

エンドユーザーへの影響
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
 
10. Win32/Autorun [全体の約0.70%]
前回の順位:8位
「Autorun」という名称で検出されるのは、Autorun.INFファイルを使用する脅威です。このファイルは、リムーバブルメディアをPCに挿入したときにプログラムを自動実行するために使用されます。

エンドユーザーへの影響
この脅威についてエンドユーザーが実施すべき対策は、INF/Autorunとして検出されるマルウェアとほぼ同じです。
 
近況
 
引き続きのパッチ問題
 
7月には、パッチ問題が各所で取り上げられました。先ごろ、Microsoftは重要な定例外パッチをリリースしましたが、同パッチがこのタイミングで公開された背景には、Active Template Library(ATL)の脆弱性に一部関係する、Black Hatカンファレンスでのプレゼンテーションの存在があったものと思われます。しかしこの脆弱性は、Microsoft一社の問題に留まらないものでした。修正すべき自社製品固有の問題をすでに多数抱えているAdobeも、Adobe Flash Player向けのアップデートでこのATL問題に対処する必要があったのです。ESETのマルウェアインテリジェンス担当ディレクターであるDavid Harleyは、Adobeのこのアップデート問題について、ブログで次のように述べています。

「Adobeはもはや、攻撃者たちから最も狙われるベンダーの1つとなっています。…しかし、おそらくそれよりも重要であるのは、今回明らかになったアプリケーションの相互依存性です。Windowsなどの複雑化したオペレーティングシステムにおいて、各アプリケーションが相互に独立していると考えることは現実的とはいえません。Black Hatカンファレンスで指摘されたATLの脆弱性問題は、Adobe製品とMicrosoft製品の双方に影響を及ぼします。Flash Playerのアップデートが提供されたのはもちろんよいことですが、Microsoft製品のATL問題を解決するためには、Microsoftが提供するパッチも適用する必要があるのです。…またアンチウイルス製品では、脆弱性を突く攻撃をプロアクティブに検出できる場合がありますが、この対策をアンチウイルス製品だけに頼るべきではありません。この種の攻撃は、特定製品による検出を免れるために改良を加えられることがあるからです」
 
Web 2.0であるべきかあらざるべきか、それが問題だ
 
ソーシャルネットワーキングサイトの利用にはリスクが付きまとうという事実をまざまざと見せつけるようなインシデントが後を絶ちません。ESETのテクニカルエデュケーション担当ディレクターであるRandy Abramsは、英国の諜報機関の1つであるMI6の責任者の妻が、公にすべきでない情報をFacebookに投稿してしまった事件についてブログでコメントしています。またその後には、MI5のWebサイトがハッキングされるという事件が発生しています(ただしこの件については、Facebookは無関係なのではないかと思われます)。問題を抱えているのはTwitterも同様で、セキュリティ研究者のAvi Raff氏が「Twitterバグ月間」と称してTwitterに関連するバグを公表しており、同サービスの信頼性に疑問が投げかけられる格好となっています。ただしTwitterの名誉のために述べておくと、Twitterはサービスのセキュリティを強化するべく以前から取り組みを進めており、ESETのリサーチチームでも、われわれのブログ記事や活動(私的な活動ではありませんのでご注意を!)をフォローしたいという方のためにいくつかのTwitterアカウントを運用しています。オフィシャルチームのアカウントは http://twitter.com/esetresearch ですが、http://twitter.com/ESETLLC と http://twitter.com/ESETblog にも投稿しています。現時点では、後者2つの方が多くの方にフォローしていただいています。また、広報用のアカウントとして http://twitter.com/esetpr も使用しています。
 
AMTSO(Anti-Malware Testing Standards Organization)の活動
 
AMTSOはこの7月、公には目立った活動をしていませんでしたが、内部的にはさまざまな作業が進められており、ESETもそれに関与しています。ESETリサーチチームのDavid Harleyは先月からAMTSOの理事会に加わっており、すでにその関連業務に忙殺されているという状況です。ESETでは、AMTSOの活動を極めて重要なものであると見なしており、それはセキュリティ業界にとってだけでなく、コミュニティ全体にとっての利益になるものと考えています。AMTSOは、アンチマルウェア製品の全般的なテスト品質を向上させるという非常に大きな目標を掲げていますが、わたし達は、その目標達成に貢献できることを誇らしく、そして喜ばしく感じています。
 
社会保障番号とパスワード管理
 
米国科学アカデミー紀要から発表された、Alessandro Acquisti氏とRalph Gross氏による論文「Predicting Social Security numbers from public data」が大きな話題となっています。この論文では、個人の住所と誕生日に関する情報があれば、その人物の社会保障番号(SSN)は比較的容易に、そして短時間で推測できると述べられています。この問題の背景には、「自分が何者であるかを主張すること」と「自分が何者であるかを証明すること」が混同されているという要因があるのですが、ここではスペースに限りがあるため、これについて詳しく説明することはしません。詳細については、ESETのブログ記事と、ESET Webサイトのホワイトペーパーページで近日公開予定のDavid Harleyの論文をご覧ください。

また、これとは別に2本のホワイトペーパー(Cristian Borghello著「Playing Dirty」、David Harley、Randy Abrams共著「Keeping Secrets: Good Password Practice」)が同時期に公開予定となっているほか、数本のホワイトペーパーの執筆も進められています。
 
Win32/Waledacと「デューイ効果」
 
ESETは7月初旬、Win32/Waledacの背後にいるグループが、独立記念日に便乗したスパムメールの大量送信キャンペーンを行うという情報をキャッチしました。このグループは、7月4日を記念した花火大会の動画に見せかけてWaledacのファイルを配布し、ボットネットを拡大するために、すでに大量のドメインを登録していました。われわれが事前に警戒を呼びかけることができたこと、そして非常に多くのセキュリティ関連サイト(Internet Storm Centerなど)がそれを取り上げ、メディアの関心を引き寄せたことは、このキャンペーンの効果を減じるうえで大きな効果を果たしたように思います。しかもこのキャンペーンは、おそらくはこれらの警告が人々の耳に届く前にスパムを送り付けようと、7月4日より前に開始されました。このスパムキャンペーンで使用されたソーシャルエンジニアリングの手法は、「今年の独立記念日の花火大会」に特化したものであり、7月4日より前にスパムを送信せざるを得なくなったことは、スパムの効果にさらなるダメージをもたらしたはずです。というのも、まだ行われていないイベントの動画が見られると言われれば、セキュリティの専門家や極度の心配性の人でなくても、不審に思うはずだからです。とはいえこのマルウェアグループも、二度と同じ失敗を犯すことはないでしょう。

このように大きな失敗を犯したWin32/Waledacですが、このマルウェアにもすぐれた点が1つありました。それは、スパムの送信速度です。ESETの中南米チームが実施したテストでは、Waledacに感染したPCは1日あたり15万通ものスパムメールを送信可能であることが判明しました。これは、1秒あたり約2通に相当する速度です。詳細については、Sebastian Bortnikがゲストとして投稿したブログをご覧ください。

(また、「デューイ効果」とは何か気になった方は、 Wikipediaの記事をご覧ください。)
 
無線ホットスポット利用時の注意点
 
ヨーロッパ勤務のESET社員が、街の無料ホットスポット(もちろん、ナイトクラブではなく無線ホットスポットのことです)で無線LANを利用する場合のリスクと、その安全な利用方法について述べた記事をブログに投稿してくれました。以下に、その要約を紹介します。完全版は、ブログをご覧ください。
  • システムとアプリケーションを常に最新の状態に保つ。もちろん、これをお読みの皆さんはすでに実施されていることと思いますが。

  • パスワードを定期的に変更する。これは、ほとんどの人にとって非常に面倒なことではありますが、パスワードを定期的に変更していると、いざ攻撃を受けたときにその影響が及ぶ範囲を小さくすることができます。

  • アカウントごと、リソースごとに異なるパスワードを使用する。このようにすることで、1つのパスワードが漏えいした場合でも、攻撃者がアクセスできる情報やサービスを限定的にすることができます。

  • 推測されにくいパスワードやパスフレーズを使用する。

  • 管理者権限のあるユーザーアカウントを日常的に使用しない。これにより、攻撃者がシステムへのアクセス権を取得した場合の被害を小さくできる可能性があります。

  • ノートPCを持ち出す前にデータをバックアップする。これにより、ノートPCが盗まれたりデータが破損したりした場合でも、すべての情報を失わずに済みます(ただし、ノートPCが盗まれるなどした場合は、各種アカウントのパスワードを直ちに変更する必要があります)。

  • セキュリティソフトウェアが定期的、自動的に更新されるように設定する。ただし、セキュリティソフトウェアが万能であると考えてはなりません。Wi-Fiは本質的に安全性が低いため(特にWEPを使用している場合)、一般常識に則って行動することも重要となります。

  • ファイルやフォルダの共有を無効にする。ただし、ハッカーの侵入を防ぐためには、PCの設定だけでなく、閲覧するサイトにも注意を払う必要があります。機密情報を送信するWebサイト(銀行サイトなど)はできるだけ使用しないようにし、またWebメールなどを使用する必要がある場合はHTTPSを使うようにします。
 
ESETが提供するその他の情報源
 
ESET Threatblog

ESET Threatblogの通知用Twitterアカウント

ESET Webサイトのホワイトペーパーページ

Securing Our eCityコミュニティプロジェクト
 
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!