ESETでは、2010年3月度に本レポートの構成を変更しました。変更の理由は、しばらく前からランキング以外のコンテンツを掲載していたにもかかわらず、本レポートには脅威のトップ10しか掲載されていないと誤解されることが多かったためです。トップ10のランキングは、レポートの前半部から後半部に移動しています。また目次を見ればおわかりのように、今月度のレポートでは構成、そしてその内容についてさらなる変更を加えています。
ただし、レポートの改訂はこれで確定したわけではありません。レポートの見やすさやその内容について、ご意見やご希望などがありましたらぜひお知らせください。まずは、ブログ「Monthly ThreatSense Report: What Do You Think?」までコメントをお寄せください。
最近、無償のアンチウイルスソフトウェアの性能は有償ソフトウェアと同等である、という説の証明のために行われているとおぼしきテストを数多く目にします。またCNETにも、「セキュリティソフトウェアにはお金を払うべきではない」と主張するRafe Needleman氏の記事が掲載されています。マルウェア対策のためのプログラムで利益を得るのは倫理的に問題がある、というような論旨をそれとなく披露するのは同氏に限りません(この種の人々にいわせれば、われわれはもっときちんとした職を得て、仕事外の時間にアンチウイルスソフトウェアを開発するべきなのでしょう)。われわれとしても、その利用がライセンス違反ではなく、またユーザーが実際以上の効果を期待するのでなければ、無償アンチウイルスソフトウェアの利用に特段の問題はないと考えています。実際、ESETでも無償のWebスキャンサービスを提供しています(ただし、この種のサービスをフル機能のアンチマルウェアソフトウェアの代わりに使うことはお勧めしません)。
以下は、ESETアイルランドのUrban Schrottが執筆したこの問題についての論考です(完全版はこちらをご覧ください)。
少し前のことですが、ある一般消費者向けの雑誌に掲載されていた1つの記事が目にとまりました。それは、「決してお金を払ってはいけないものベスト10」といった内容の記事で、そのうちの1つにアンチウイルスソフトウェアが挙げられていました。記事の主張は明快です。ただで手に入るものにお金を払う必要などないではないか、というのです。この問題については以前にも論じたことがありますが、無償のアンチウイルスソフトウェアと有償ソフトウェアの効果は本当に同等なのか、ここでもう一度考えてみたいと思います。
まず、「無償」の意味を定義するところから始めましょう。商業ベースのセキュリティベンダーのほとんどは、自社製品の無償版も提供しています。一般に、無償版が使用期限なしで提供される場合は使用できる機能に制限があり、機能制限なしで提供される場合はトライアル版として使用期限が設定されています(その期限が過ぎると通常はソフトウェアを使用できなくなります)。例えば、マルウェアの検出は可能でもその駆除には料金を支払う必要があったり、検出と駆除はできても特定タイプのマルウェアに限定されたりします。このような無償版を提供しているベンダーの多くは、機能や使用期間に制限のないフルバージョンを有償で提供しています。
マーケティングが大きな意味を持つ今日では、ブランド構築のために自社製品の無償配布が一般的に行われています。ただし、ここでいうブランド構築は、製品の知名度を上げることではなく、長期的な観点での売上や利益向上を目的としています。つまり、機能や使用期間を制限した無償版は、ベンダーが善意のサービスとしてユーザーに提供しているのではなく、フルバージョンを利用してもらうための足がかりを用意しているのです。われわれベンダーも、できることなら完全に無償で製品を配布したいのですが、わたし達にも生活があります。妻や子供たち、年老いた両親を養い、住宅ローンを支払い続けねばなりません。
これとは別に、オペレーティングシステムのベンダーもセキュリティスイートを提供しています。しかしこれは、セキュリティよりもマーケティングが優先された結果と見なせるかもしれません。サイバー犯罪者たちが嬉々として利用するセキュリティホール満載のオペレーティングシステムにセキュリティを後付けする無償のセキュリティスイートを提供するのではなく、オペレーティングシステム自体にすぐれたセキュリティを組み込むべきだからです。またこの種のセキュリティスイートを、そもそもユーザーがすでに代金を支払っているオペレーティングシステムに対する付加価値と捉えた場合、これを純粋に「無償」であると考えることはできないかもしれません。
- 電子メールなどのメッセージングシステム: 悪意あるファイルの添付、ドライブバイダウンロードを実行するリンク、ソーシャルエンジニアリングを駆使してのマルウェアのインストール(コーデックに偽装するなど)
- Autorun機能による自動感染、一見無害なプログラムを介して危険なマルウェアをダウンロード
- IPアドレスを継続的かつランダムにプローブし、脆弱性のあるコンピュータを探知
しっかりとしたセキュリティソリューションを開発・保守していくためには、熟練の技術者と高度なラボ環境、そして最高レベルのテクノロジーが必要となりますが、そのいずれも無償では手に入りません。一部のテスターたちは、「無償のセキュリティソフトウェアの性能は有償のスイート製品と遜色ない」と結論づけようと急ぐあまり、この事実を見過ごしがちです。
サイバー犯罪との戦いで重要となるのは、戦略的な思考と、脅威への新たな対抗策を生み出す力です。脅威の検出はその戦いにおける1つの要素ですが、度重なる検証と欠かさぬ改良努力が検出技術に加えられてきました。従来のウイルス定義ファイルから、サンドボックス、振る舞い検出、ヒューリスティックス、アドバンスドヒューリスティックス、そしてクラウド技術の利用に至るまで、次々と新たな検出技術が開発されています。
そして、検出手法がますますプロアクティブになるにつれ、セキュリティを最大限に保ちながらも誤検知は最小限に抑え、駆除を効果的に行う機能が求められています。さらには1990年代のウイルス全盛の時代には想像もできなかった、ウイルス以外の攻撃への的確な対処がますます重要になっています。そのためには、侵入防御やスパム対策機能、Webサイトセキュリティ、ソーシャルエンジニアリング攻撃の防止/抑止といった補完的なテクノロジーを活用することも必要となります。
無償・有償の対立は、つまるところ製品のビジネスモデルについての議論であるといえます。主にホームユーザーに対しては、(合法的な)「フリーランチ*」(free lunch:「対価なしに無料で手に入るもの」の意)として無償のセキュリティソフトウェアが提供されることもあるでしょう。しかし合法的かどうかは別にしても、フリーランチの栄養は期待外れな点を否定できません。
ESETアイルランドは先ごろ、ユーザーがセキュリティ製品で最も重視する点についてアンケートを実施しました。回答の選択肢は「検出性能」、「リソース使用量」、「価格」の3つです。アンケートの結果、ほとんどのユーザーは「検出性能」を選択しました。少ない「リソース使用量」を望むとの声もありましたが、「価格」を挙げた回答者はほとんどいませんでした。このアンケート結果には、ユーザーがセキュリティソフトウェアに対して望むポイントが明確に示されています。あとは、一部ジャーナリストが手抜をやめて、複雑な問題に対する簡潔な解決策が華々しく登場してくれれば申し分ないのですが、それは期待薄かもしれません。
Urban Schrott
ITセキュリティ/サイバー犯罪担当アナリスト
ESETアイルランド
*フリーランチについては、「There is no such thing as a free lunch(ただより高いものはない)」ということわざがあります。
- ウイルスは現在、MacでもWindowsでもそれほど大きな問題にはなっていないが、両プラットフォームにセキュリティ問題が存在しないわけではない。
- Securing Our eCityの委託でCERC(Competitive Edge Research and Communication, Inc.)が最近実施した調査では、次のことが明らかになっている。
- おそらくは多くの人が想像する通り)PC所有者はMac所有者よりも多い。またPCとMacの両方を所有しているユーザーはMacだけのユーザーよりも多い。調査回答者の2.1%は自分が所有するコンピュータの種類を理解していない。
- 全体の10%近くは「Macにはまったく脆弱性がない」と考えている。これは、Macユーザーでは16%、PCユーザーでは12%にあたる。
- 「自分のコンピュータのセキュリティは万全なのでセキュリティに注意する必要はない」と考えているユーザーが、ソーシャルエンジニアリング攻撃の最大の標的となっている。
- Mac OS Xを標的とする悪意あるプログラムの数は、Windowsに比べればごくわずかである。しかしすでに、Mac OS Xを狙う悪意あるバイナリファイルの数は、Mac OS X以前のMac OSを標的とするウイルスの数を上回っている。
- Jailbreak(ロック解除)されたiPhoneの問題は、アプリケーションホワイトリストでスマートフォンを保護しようとするモデルの弱点を明らかにした。これは、ただ1つの脆弱性の悪用が、コンセプト実証コードからマルチプラットフォームのハッカーツール、そして本格的なボットネットへと深刻化することによって立証された。
- Mac OS Xのセキュリティモデルの実装は、そのコンセプトほどはうまくいっていない。
- Macのセキュリティが破綻したというわけではないが、たとえホームユーザーであってもMacの安全性を過信するべきではない。
David Harleyは、Mac Virusブログの「Is there such a thing as Mac malware?」と題する記事の中で、次のように述べています。「もしあなたが、『自分はソーシャルエンジニアリングを仕掛けるトロイの木馬にだまされるほど不注意ではない』、『実際に被害に遭う可能性はそれほど大きくないのでリスクは受け入れる』、『パッチ未公開の脆弱性を悪用した自動実行型の攻撃など気にならない』という理由でアンチマルウェアソフトウェアは不要だと考えているのなら、どうぞご自由にというほかありません。しかし、『Macマルウェアなど存在しない』、『ウイルスにさえ注意すればいい』といった根拠のない考えに基づいて行動しないでください」
Infosecurity Europeの開催地であるアールズコートに到着したとき、Davidは、パーカーを着た数人の男性の出迎えを受けました。彼らのパーカーには、映画「The Italian Job」(邦題「ミニミニ大作戦」)での俳優Michael Caineの有名な台詞をもじったフレーズがプリントされており、胸には「ウイルスだけをぶっ飛ばせばいいんだよ」(オリジナルの映画では「ドアだけぶっ飛ばせばいいんだよ」)、背中には誤検知を引き起こしたMcAfeeの定義ファイル番号「5958」が書かれていました。非常におもしろいパフォーマンスです。しかし、McAfeeはわれわれの競争相手ではありますが、このような他社の問題を有利に利用しようとする行為は適切とはいえません(節操に欠ける1、2社のベンダーがまさにそのような行為をしていますが)。われわれアンチマルウェアベンダーは、あらゆる脅威をもれなく検出し、誤検知をゼロに抑えたいと考えていますが、脅威の動向がめまぐるしく変化する中、それを実現するのは不可能です。幸い、ほとんどの誤検知はごくわずかなユーザーに影響するだけで済んでいますが、もしどこかのベンダーの営業担当が「当社の製品が今回のような大問題を引き起こすことはありませんよ」などと言ったら、上司を呼ぶように要求すべきでしょう。Davidは、AVIEN(Anti-Virus Information Exchange Network)のブログで次のように述べています。
「アンチマルウェアベンダーの価値は、製品が誤検知を起こさないとか、自社製品が引き起こした問題で批判が集まる前に処分を下すといったことではなく、問題解決のために前向きな行動を取れるかどうかで決まるのです」
これだけで済んでいればまだよかったのですが、残念ながら、この問題に便乗して大規模なSEO(検索エンジン最適化)キャンペーンを仕掛ける犯罪グループやマルウェア作者が出てきてしまいました。McAfeeの誤検知問題が明らかになってから、この問題に関連する用語をキーワードにして検索を行うと、偽のアンチウイルスソフトウェアを配布するサイトに不用心なユーザーをリダイレクトする大量のリンクが検索結果に表示されるようになっているのです。例えば、ある一連のキーワードを試したところ、検索結果一覧の先頭20サイトのうち11サイトが悪意のあるサイトという結果になりました(詳細については、ブログ「McAfee FP news misused for more SEO poisoning」をご覧ください)。ソーシャルエンジニアリングを用いて不正活動を行うために、犯罪グループがありとあらゆる機会を利用しようとするのはもはや周知の事実です。有名人のスキャンダルやスポーツ、エンターテイメントの話題にとどまらず、環境破壊や飛行機の墜落事故、テロ事件のニュースへの便乗に彼らは何ら躊躇しません。今回の場合はそれどころか、犯罪グループの敵であるセキュリティベンダーの1つが引き起こした問題を利用できる機会に、特別な喜びを感じてさえいるかもしれません。
現在でも、この問題については、スロバキア、中南米、そして米国カリフォルニアのESETチームが協力して、SEOポイズニングやそれに関連する偽セキュリティソフトウェアについての情報を追跡して公開する活動が続いています。
AMTSOに関していえば、同組織の理事でもあるDavid Harleyの執筆記事がVirus Bulletin誌に掲載されています。この記事はAMTSOのWebサイトからダウンロードできます。また、ESET Webサイトのホワイトペーパーページにも、『A Tried and True Weapon: Social Engineering』(Cristian Borghello著、Chris Mandarano翻訳)や『Re-Floating the Titanic: Dealing with Social Engineering Attacks』(David Harley著)をはじめとする新たなホワイトペーパーが多数追加されています。
前回の順位:1位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
エンドユーザーへの影響
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。それにもかかわらず、依然として600万台以上のマシンがConfickerに感染しているとConficker Working Groupは推定しています。
前回の順位:2位
INF/Autorunというのは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
エンドユーザーへの影響
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
前回の順位:4位
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。
エンドユーザーへの影響
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
4. Win32/PSW.OnLineGames [全体の約3.48%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
エンドユーザーへの影響
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:5位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーへの影響
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:19位
Flystudio O.Genというのは、難読化されたFlyStudio実行可能ファイルの検出名です。
Flystudio O.Genは汎用検出名のWin32/Packed.Flystudio(亜種であることを示すアルファベットなし)とは区別されていますが、これは、Flystudio O.Genでは正規のFlyStudioコードも検出されるためです。
エンドユーザーへの影響
難読化された実行可能ファイルは必ずしも悪意のあるコードを含んでいるわけではありません。
難読化は、不正なリバースエンジニアリングを防止する正当なデジタル著作権管理(DRM)の手段として行われる場合もあります。しかしここ数年は、パッカーや難読化ツールが使用されているファイルには、かなりの確率で悪意のあるコードが含まれています。そのため一部のベンダーは、難読化されているほぼすべてのコードをマルウェアまたはその可能性があるコードとして検出しています。
前回の順位:23位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
エンドユーザーへの影響
これは、自身が実行されたあと、感染の可能性を最大限に高め、できるかぎり長く潜伏できるようにするために幅広い手法を用いる典型的なマルウェアです。具体的には、ファイル感染、Autorunを利用した感染、ポリモーフィック技術、既知のセキュリティソフトウェアの停止、ドライブの列挙といった手法を使用します。セキュリティ関連のプロセスを無効にしようとするマルウェアは数多く存在するため、セキュリティソフトウェアが正常に動作しているかどうか定期的にチェックするようにしてください。Salityが登場から数年間も拡散し続けているという事実は、セキュリティ関連のプロセスを無効にするという戦略が非常にうまく機能していることを示しています。
前回の順位:9位
Pacex.genというのは、特定の難読化手法を用いる、さまざまな悪意あるファイルの総称です。「.Gen」という接尾辞は、「汎用的な」という意味の「generic」を表しており、この名称は既知の多くの亜種に使用されます。また、特徴が類似する未知の亜種に対して使用されることもあります。
エンドユーザーへの影響
この種の難読化手法は主に、パスワードを盗み出すトロイの木馬で使用されています。ただし、基本となるコードは必ずしも同じではないが難読化手法は共通というマルウェアファミリーも数多く出現しており、現在ではこれらの脅威の一部もPacexとして検出されています。
とはいえ、多少データが不正確になったとしても、複数のプロアクティブな検出アルゴリズムによって保護が強化されることの方が重要であるのはいうまでもありません。先ごろ、Pierre-Marc BureauとDavid Harleyがカンファレンス(“The Name of the Dose”:Pierre-Marc Bureau and David Harley, Proceedings of the 18th Virus Bulletin International Conference, 2008、“The Game of the Name:Malware Naming, Shape Shifters and Sympathetic Magic” by David Harley)で発表したように、マルウェアを1つ1つ正確に特定するよりも、プロアクティブに検出することのほうが重要なのです。
前回の順位:6位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。
エンドユーザーへの影響
autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。
前回の順位:20位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
エンドユーザーへの影響
Windowsのレジストリ設定に精通しているユーザーであれば、Win32/Spy.Ursnif.Aがシステムに存在するかどうかはさまざまな方法で確認することができますが、新しいアカウントが作成されたことを確認する方法を知らない一般ユーザーがこのスパイウェアの存在に気づくことは難しいでしょう。いずれにしても、このマルウェアが使用する設定の細かい部分は、その進化の過程で変更されていくものと予想されます。この種のスパイウェアへの感染を防ぐためには、アンチウイルスソフトウェアをはじめとするセキュリティソフトウェア(パーソナルファイアウォールなど)を導入および実行し、常に最新の状態に維持するだけでなく、最新のパッチを確実に適用し、意図しないファイルのダウンロードやリダイレクト、添付ファイルに注意するというあたりまえの対策を実施することが最も重要となります。
