2012年1月 世界のマルウェアランキング

この記事をシェア
2012年1月の月間マルウェアランキング結果発表
目次
419詐欺の最新動向
David Harley、CITP FBCS CISSP、ESETシニアリサーチフェロー

419詐欺を働く犯罪者たちには強い憤りを覚えます。この種のペテンは別名、「ナイジェリア詐欺」または「Advance Fee Fraud(先払い詐欺)」とも呼ばれ、よく知られている手口には、独裁者が死亡したアフリカの某国の政府関係者や家族を名乗り、莫大な額の資金を安全に持ち出すのを手伝ってほしいと呼び掛ける、あるいは宝くじに当選したというメッセージを送り付ける、などがあります。事実、悪党共は荒稼ぎを重ねており、腹立たしい限りです。まんまと詐術に乗ってしまった「お得意さま」の金銭は、情け容赦なく奪い取られます。先日もテレビ番組で、後で数百万ポンドになるという口先三寸に騙されて数十万ポンドを渡してしまったという気の毒な被害者のインタビューを見たばかりです。その事件の詳細は把握していませんが、被害に遭ったユーザーがお金だけでなく自尊心までも失ってしまうケースも少なくありません。というのも、自らの騙されやすさを思い知らされただけでなく、降って湧いたような大金を手にするために必要な税金や手数料、賄賂を支払うために、友達や身内から借金している場合があるからです。中には、入金したら返すつもりで職場のお金を持ち出したという方もいました。 もちろん、実際に入金されることはありません。他にも、問題の犯罪グループと実際に接触してトラブルに巻き込まれた被害者もいます。

私自身は「Bait a Mugu」や「419eater.com」といったサイトに掲載されているような詐欺のトラブルに巻き込まれた経験はありませんが、それでもやはり犯罪者たちに対する不快な感情は拭いきれません。そういえば、西アフリカなまりの英語を話す女性がアムステルダムから電話をかけてきたことがありました。どういうわけか、私が彼女と不適切な関係にあるとだれかが言いふらしているというのです。彼女の目的は私の財布だったのは明らかですが、話が本題に入って支払いを迫ろうとする前に、私は彼女の話にうんざりして電話を切ってしまいました。以前、PCサポート詐欺に関する記事でも触れましたが、私のようにすぐ頭に血が昇るような人間は騙された振りを続けるのが困難なのです。

とはいうものの、詐欺師たちが用意するメッセージを読んでいて、独創的とみなすべきか大胆というべきか、どこかピントがずれている印象を受けることもあります。例えば、地球に帰れなくて困っているナイジェリア人との宇宙飛行士やローマ法王の隠し資産の内密な使用、殺害依頼を受けたものの、そのターゲットは死ぬべきではない判断し、代案を掲示してくる倫理的なヒットマンの話などがあります。 確かに、ヒットマンだって生活していくには任務を一応果たさなければなりませんからね。 他にも、私が昨年SC Magazineに寄稿した記事では、話の辻褄を合わせようとすると結婚したのはどうしても12歳前後になると言う何とも不思議なオハイオ出身のアイルランド人老女からのメールを紹介しています。読んだところで参考にはならないかもしれませんが、笑い話のネタにはなるのではないでしょうか。

一方で、多くの詐欺師は最近あまり仕事に身が入っていないようです。おそらく、彼らはコルカタやニューデリーでサポート詐欺に失敗して気が滅入っているのでしょう。Aryeh Goretskyは先日、「いままで最も手抜きな」詐欺メッセージを取り上げました。

件名: FW: お客さまのIDが当選しました

本文: お客さまの名前、住所、電話番号、国をお知らせください。

たったこれだけです。私もお粗末な419詐欺のメールはいくつか目にしてきましたが、少なくとも本文に金額は書いておくべきではないでしょうか。その場合は、寒い朝でも思わず飛び起きてしまうぐらいの額にしてもらいたいものです。

一方、私の妻も単純ながら魅力的な“国連”からのメールを転送してきました。

拝啓
貴殿には国連詐欺被害者補償の下、総額75万ドルが支払われます。詳細については、お支払い担当のGeorge Jacobs[明らかにウクライナのメールアドレス]にお問い合わせください。
敬具
Mary Moore

419詐欺師はてっきり、Bayron Javier Revelo Cabreraのような大層立派な名前や、Diana Spencer(ダイアナ英王太子妃)のようなわかりやすい有名人の名前を騙ると思っていましたから、差出人名のMary Mooreには拍子抜けでした。多分、“Mary Tyler Moore”(メアリー・タイラー・ムーア=米女優)の名前を知らなかったのでしょう。 ところで、私はThreatSenseレポートの読者に妻の個人情報が知れ渡ってしまわないかと気にするのはいささか心配しすぎかと思い、メール内の彼女の名前を削除しませんでした(本稿には記載しませんでしたが)。一方で、このMoore氏は、名前や性別に関係なく、だれに対しても気軽に使える挨拶を使おうとすらしない簡素な内容でした。しかし、ユーザーが実際に被害に遭ったかは別として、補償を提供するという謳い文句は注目に値します。もらえるのであればもらっておこうというある種の抑えられない感情がユーザー側で発生してしまうからです。

魅力的なのかはわかりませんが、詐欺の被害者に補償を提供すると申し出る手口は、419詐欺では実はそれほど珍しくはありません。その理由は私にもはっきりとはわかりません。すでに騙されたユーザーを再び騙すと詐欺師の“恥の殿堂(Hall of Shame)”で追加ポイントを得られるのか、それとも一度狙われたら二度目は早々やってこないだろうと油断するユーザーが多いため成功しやすい定番のテクニックなのでしょうか。

とはいえ、この種の詐欺にロビンフッドのような美談は期待できません。419詐欺の犯罪者たちにとっては、「自分のお金が有意義に使われている」とユーザーを信じ込ませることがすべてなのです。彼らの関心はユーザーの懐にしか向けられていないので、あなたが貧困や飢餓、自然災害による被害から救うための寄付に回そうと考えていたとしてもお構いなしです。引っ掛ける相手の思惑など一顧だにしないのが彼らなのですから。

アンチウイルスソフトウェアの未来を考える
Stephen Cobb、セキュリティエバンジェリスト

この記事では、最近のセキュリティインシデント数件を振り返り、従来はアンチウイルスとして言及される(正確にはアンチマルウェアとなるのかもしれませんが)ソフトウェアに求められる役割が大きくなっている点について考えてみたいと思います。犯罪者が悪事のためネットワークやネットワークユーザーを操作する新しい手法を編み出すにつれ、アンチウイルスソフトウェアにはますます多様な保護機能が求められるでしょう。

Google検索で使用するマルウェア対策関連のキーワードを分析するとしたら、最も一般的に使われるキーワードといえば、やはり「アンチウイルス」ではないでしょうか。私たちは長年の間、アンチウイルスソフトウェアにはコンピューターウイルスの感染防止以上の働きを期待してきました。ワームやトロイの木馬のコードからの保護も望んでいます。ちなみに後者は、デバイスからデバイスへの拡散というよりは、各デバイスを悪用できるように乗っ取ります。この用語の由来をよく知らない読者のために説明すると、元々はトロイア戦争で使用された巨大な木馬を意味します。トロイア人は、敵対していたギリシア人が作製したこの木馬の真の意図に気付かず、イーリオス(トロイ)市内に入れようと城壁の門を破壊してしまいます。しかし、木馬の中にはギリシア勢が潜んでおり、トロイア人たちの隙を突いて攻撃を開始、最終的にトロイアを滅亡させたのです。

一部のアンチウイルスソフトウェアも、スパムやスパイウェア、PUA(ユーザーにとって好ましくない動作をする可能性のあるアプリケーション)に対する保護機能を搭載しています。アンチウイルスソフトウェアがセキュリティスイートに含まれる場合は、エンドポイントのファイアウォール機能やコンテンツのフィルタリング機能が組み込まれているかもしれません。しかし、ネットワークユーザーの前には、いずれのカテゴリーにもほとんど当てはまらない脅威や攻撃が次々と現れます。たとえば、ソーシャルネットワーク上にはびこるSEOポイズニングアンケート詐欺、偽のメッセージなどです。特にFacebook関連では、ESET Threatブログでこうした脅威を多数取り上げてきました。これらの詐欺を私たちが追い続ける理由の一つは、その数と多様性の増大が明らかだからです。私たちは最近、詐欺師らの目的について明察しました。答えは予想どおりかもしれませんが金銭です。

多くのアンケート詐欺は、ユーザーに大量のリンクをクリックするように仕向けるような作りになっており、詐欺師または詐欺師のエージェントや系列会社が無警戒の広告主にクリック数に応じて請求します。この手法はクリックジャッキングとして知られ、この種の攻撃による被害が高額になるのは明らかです。ちなみにいくらぐらいかご存知でしょうか。参考までに、アメリカで今月起こったAdscend Mediaに対する訴訟では、運営する詐欺目的の広告ネットワークから同社は「1カ月で最高120万ドルの利益」を得ていた、とワシントン州司法長官は述べています。

この訴訟では、詐欺の仕組みはもちろん、「元カノが激変!彼女の身に何が?」、「2歳児の衝撃映像」、「お子さまは要注意!見るときは親にばれないように」などと意味深なメッセージを記載したリンクのからくりについて詳しく説明されており、注目に値します。衝動に駆られて思わずクリックしようものなら、怪しいWebページが延々と続きます。偽の「年齢確認」ページや「いいね!」、「共有」リンクから、アンケートページや特典の問い合わせフォームまで、サイト全体が、ユーザーがサイトを離れるまでにできるだけ多くのクリックを獲得するように作成されています (法廷文書には、SC MagazineのCybercrime Cornerに掲載されているリンクから簡単かつ直接アクセスできます)。

またAdscendの訴訟では、興味深いことにどれくらいのユーザーがこの種のメッセージに騙されたかも明らかにされています。それによると、2011年2月に「被告の系列会社は、280,214人のFacebookユーザーを騙して自社のページにアクセスするよう仕向けた」としています。また、前述したメッセージなど、Facebook上のユーザーを引き付けるために作成されたメッセージが公開されています。この被害者数と月当たりの粗利120万ドルとの間に明確な関連性はありませんが、双方が同じ月を対象とした数値であれば、騙されたFacebookユーザー1人あたり平均4.28ドルの計算になります。ユーザーに実質的な被害がなかったケースもありますが、その場合はクリック数に対して請求される広告主が被害者となります。しかし、これらの詐欺の一部ではおそらく、再アプローチをかける目的で個人データも収集されているでしょう。これには、プレミアム料金詐欺でターゲットとする携帯電話の番号などが含まれます。

昨年後半、FBIが実行した「Operation Ghost Click」と呼ばれる作戦によってDNSChangerボットネットが閉鎖し、偽のクリックで莫大な金額が搾取されていた実態が明らかになっています。起訴状によると、ボットネットの背後に潜む詐欺師は、100カ国、約400万台のコンピューターでトロイの木馬のコードによりDNSを操作してトラフィックをリダイレクトすることで、少なくとも1,400万ドル相当の偽のクリック数を獲得したとしています。すぐれたアンチウイルスソフトウェアは十分な保護機能を提供していたため、コードの実行を阻止しました。しかし、ソーシャルネットワーク上の友人から「100万人が目撃した衝撃の復讐劇!」などとメッセージが記載されたリンクが送られてきた場合、ユーザーのクリックに待ったをかけることまでできるのでしょうか。

その答えはユーザー教育にあります。安全なコンピューター操作についてのベストプラクティスをアンチウイルスソフトウェアを通して学んだユーザーは、リンクを目にしても考えなしにクリックするのは控え、「相手にするのは時間の無駄だ」あるいは「リスクがある」と考えるはずです。これこそ、ESETが考えるアンチウイルスソフトウェアの向かうべき方向です。将来的には、多くのアンチウイルス製品にユーザー教育機能が備わっているかもしれません。いまや、アンチウイルスソフトウェアにはコンピューターやネットワークの悪用から包括的に保護できる機能が欠かせないとコンピューターユーザーは考えるようになっています。とはいえ、クリックジャッキングのような詐欺を技術だけで回避するのは非常に困難です。だからこそ、ユーザー教育を実践すれば、詐欺の被害者になる可能性が削減すると見込めます。また、不適切なパスワードの設定からフィッシング攻撃まで、さまざまなセキュリティリスクも軽減されることでしょう。

コメントスパマーへのメッセージ
David Harley、CITP FBCS CISSP、ESETシニアリサーチフェロー

ESETでブログを展開していたLetitia Teaspoonは最近、コンサル会社のSmall Blue-Green World(SBGW)へ移籍しました(同様の任務に就きます)。しめしめと思ったコメントスパマーもいるかもしれませんが、ここでは彼女がサンディエゴのデスクに残したユーモアたっぷりの別れの挨拶をいくつか紹介しましょう。

親愛なるRobin。Win32/Carberpに関するHarleyさん(訳注:本稿筆者兼SBGWのCEO)のブログ記事に対して、その内容はともかくコメントを寄せてくれてありがとう。 詳細な情報にも感謝しています。よかったら、あなたのメールアドレスにある「Mini-Palms」とはPDAのことか、非常に小さなヤシのことか教えてもらいたいです。というのも、私は以前コロナドの果樹園でヤシを育てようとして、失敗してしまったことがあるのです。iPhoneやBlackberryの方の意味であれば、おいしく育てる方法はご存じないかもしれませんね。

親愛なるNail Fungus Product(真菌感染症治療薬)よ。生き続ける生命とライフスタイルについての興味深い意見を聞かせてくれてどうもありがとう。私の水虫菌が、約50億年後に超新星が起こって太陽系を飲み込んだとしてもなんとか生き残るとわかってホッとしました。

親愛なるColton。そうですね、あなたはコメントする場所を間違えているようです。私たちはITセールスの仕事を宣伝する組織に対する意見は持ち合わせておらず、その連絡先の詳細情報を記載したコメントを承認するつもりはありません。

親愛なるZachary。興味深い医薬品リストを提供してくれてありがとう。あなたのコメントを承認できたら、サンプリングの時間も短縮できたのでしょうね。

親愛なるLouisa。そうですね、ハッカーの攻撃を防ぐ方法はいろいろあります。コメントの管理はまさしくその1つです。

親愛なるFacebookの友人たち。皆さんが私たちのWebサイトを偶然にも見つけたことを幸運だと思ってくれていることが本当に嬉しいですね。なぜこんな運命のいたずらがもっと早く起こらなかったのでしょう。ですが……

ありがとう、Letitia。途中でメッセージを遮ってしまい申し訳ないのですが、この後に続くジョークはあなたの年齢や気品のある人柄にはあまりふさわしくはないと思うのです。

2012年の脅威のトレンド

ESETラテンアメリカのリサーチチームは、レポート「Trends for 2012: Malware Goes Mobile」を公開しました。レポートでは、2011年は市場におけるスマートフォンの出荷台数増加に伴い、モバイルデバイスを狙った脅威が急増したと強調しており、2012年はAndroidを狙う脅威が主要なトレンドになると予想しています。また、世界のモバイルデバイス保有台数は50億を超え、そのうち5億台はラテンアメリカの国々で使用されているとしています。レポートは、Androidがモバイルプラットフォームではトップの地位を確立したとするGartnerの見解を支持しています(2011年のスマートフォンの出荷台数は約4億台)。

また、レポートではAndroidを標的とする悪意のあるコードを分析しており、注目すべき点を以下にいくつかまとめておきます。

  • 分析された41個の悪意のあるコードのうち、2010年に出現したのはわずか5つ
  • ほとんどの脅威(70%)は非公式リポジトリーからダウンロードされた
  • 41個中15個のコードは、SMS型トロイの木馬であると判明
  • 分析された悪意のあるコードの60%はボットネットの特性と機能を備えている

Androidを狙う悪意のあるコードが今年の主要なトレンドであるとする根拠は他にもあります。この種のマルウェアの代表格とも言うべき存在はDroidDreamです。Android市場ではこの脅威が25万回以上もダウンロードされており、悪意のあるコードによるモバイルデバイスを狙った攻撃としては最大規模と考えられています。

これに加えて、ESETラテンアメリカのレポートでは、悪意のあるソフトウェアの開発者が最近、Windows XPで長年確認されている悪用可能性をAndroidでも発見したと言及しています。その原因は、プラットフォーム固有の特性だけではなく、多くのユーザーによる安全配慮を欠いた行動にもあるとしています。

詳細については、こちらでレポートの完全版をご覧ください。

PUAとは何か?

ESETの上級研究者であるAryeh Goretskyは、ホワイトペーパー「Problematic, Unloved and Argumentative: What is a potentially unwanted application (PUA)?」を更新しました。更新版では、悪用されているという理由でPUAに分類される正規のソフトウェアや“ソフトウェアラッパー”と呼ばれるダウンローダーについて解説しているほか、スクリーンショットも一新しています。

ホワイトペーパーでは次のように述べています。「PUA(ユーザーにとって好ましくない動作をする可能性のあるアプリケーション)とは、コンピュータープログラムの一種および関連する一連の動作である。PUAはコンピューターウイルスやワームでよく見られる悪意のある活動は行わず、代わりに不要なソフトウェアの追加インストール、デジタルデバイスの動作の変更、ユーザーが承認または予期していない動作をする場合がある」。

PUAとみなされるプログラムやソフトウェアには次のようなものがあります。

  • Webブラウザーにツールバーをインストールするプログラム。こうしたアドオンに必ずしも悪意があるとは限りません。それでも、ユーザーに自身の存在を明示しないでインストールする、インストールを無効にするオプションを提供していない、完全にアンインストールする手段がない、またはアンインストールのサポートを提供していないのであれば、PUAに該当します。
  • アドウェアコンポーネントを含んでいるが、そのようなコンポーネントの存在を明示していないか、親アプリケーションがアンインストールされた後にアドウェアを削除するための方法や手順を提供していないプログラム。
  • 有効性について怪しい、証明できない、あるいは支持できない主張をしている、または特に必要としていない製品を購入するようにユーザーを仕向けるために、ありもしない脅威をでっち上げて、偽りの誤検知の警告レポートを生成するプログラムを含む、品質や信頼性が疑わしいソフトウェア。
  • スパムメールや、ソフトウェアのインストールに応じてコミッション料を支払う(「Pay-Per-Install」ビジネスモデル)偽のアフィリエイトマーケティングネットワークを介して販売されるプログラム。
  • デフォルトのホームページや検索エンジンなど、Webブラウザーの設定を非公式または疑わしい方法で変更をするプログラム。
  • 悪意のあるソフトウェアで幅広く使用されている(悪用されている)パッカーまたはプロテクターで圧縮されたプログラム。
  • 悪意のある活動を行う目的でマルウェアに悪用される正規のプログラム。

これとは別にもう一つ似たようなアプリケーションとして、安全でない可能性があるアプリケーションがあります。このカテゴリーには次のようなものが含まれます。

  • ソフトウェアクラッキングツールとライセンスキージェネレーター。
  • ハッキングツール。
  • プロダクトキーファインダー。
  • 遠隔操作プログラム:企業のIT部門はサーバールームのコンピューターにアクセスしたり、遠隔地からコンピューターを修理したりする際にこの種のプログラムを使用する場合があります。しかし、こうしたプログラムは偽のサポートサービスセンターなどで広く使用されており、他の社員が実行することは望まないかもしれません。
  • 広告が表示されるソフトウェア。

PUAの詳細については、Aryeh Goretskyのホワイトペーパーをご覧ください。

Facebook関連のセキュリティ情報

今月はFacebook関連のセキュリティに関してさまざまな動きがありました。ESETのブログでも多数取り上げています。

Stephen Cobbは、Facebookが新たに導入した「タイムライン」という機能に関する問題について説明しています。タイムラインは従来のプロフィールページを一新する機能ですが、Facebookユーザーの間では混乱が生じています。そして、この隙を狙った詐欺事件も案の定いくつか確認されました。2012年1月3日現在で、16のタイムライン関連の詐欺ページが見つかっており、全体で71,000回を超える「いいね!」を獲得しています。中にはFacebook内で「タイムライン」を検索すると、検索結果の上位に表示されるページもありました。Stephenによると、今回のリリースに伴い、タイムライン機能の削除方法を説明するという偽のFacebookページが大量に出現する可能性があります。Stephenのブログ記事「Facebook’s timeline to fraud-a-geddon?」では、実際にある偽のページを取り上げています。ぜひご覧ください。

David Harleyは、「Facebook, your birthday #1, and survey scams」と題した記事で、Facebook上で発生した新種の詐欺について解説しています。この詐欺では、ユーザーが生まれた日の音楽チャートで第1位を獲得した曲を紹介し、その関連動画と称した偽ページへのリンクをクリックするよう促します。詳細については、David Harleyのブログ記事をご覧ください。

Cameron Campは、「Welcome to Facebook f-commerce platform - and Own/Want features」という記事で、Facebookプラットフォームに今後導入される可能性のある“所有”を表す「Own」と“願望”を表す「Want」の2つのボタンについて説明しています。いずれの機能も広告主によるマーケティング活動では有益かもしれませんが、リスクも少なからず招くとみられます。プロフィールを参照するだけで、犯罪者もユーザーが何を所有しているか把握できてしまうわけですから、お目当ての物品を手に入れるにはどの家に忍び込めばよいのか教えているのも同然だと考えるべきでしょう。しかも一部のユーザーはモバイルデバイスから現在地を表示する傾向があるため、犯罪者たちはこの機能と併用すれば、ターゲットが家を空ける時間帯や帰宅する時間を突き止めて、家の中を物色する時間をどれくらい確保できそうか把握できてしまいます。詳細については、Cameron Campのブログ記事をご覧ください。

David Harleyの記事「Facebook Fakebook: New Trends in Carberp Activity」では、トロイの木馬「Win32/Carberp」の活動に関連する新事実をいくつか取り上げています。この金融詐欺の手口はシンプルです。Facebookにログインしようとしたユーザーに対し、ログインページの代わりに、「あなたのFacebookアカウントは一時的にロックされています」というメッセージを掲載した偽のFacebookページを表示します。そして、ロック解除のため電子マネーを購入するよう要求してきます。この脅威に関する詳細については、David Harleyのブログ記事をご覧ください。

マルウェアランキングトップ10
1. HTML/ScrInject.B[全体の約4.98%]
前回の順位:1位
これは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
2.INF/Autorun[全体の約4.41%]
前回の順位:2位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入したときに自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナーでは、この特徴を手がかりにしてこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナーに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
3. HTML/Iframe.B[全体の約2.74%]
前回の順位:3位
脅威のタイプ:ウイルス
HTML/Iframe.BはHTMLページに埋め込まれた悪意のあるiframeタグの汎用名であり、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。
4. Win32/Conficker[全体の約2.01%]
前回の順位:4位
Win32/Confickerは、元々Windowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダーやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダーに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何カ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
5. Win32/Dorkbot[全体の約1.31%]
前回の順位:5位
このワームは、リムーバブルメディアを介して感染を広げます。バックドアの機能を備えており、リモートからコントロールすることが可能です。UPXを使用して実行ファイルが圧縮されています。
ユーザーが特定のWebサイトを閲覧中にログイン用のユーザー名やパスワードを盗み出します。その後、収集した情報をリモートのコンピューターに送信しようとします。 リモートからコントロールが可能なワームの1種です。
6. Win32/Autoit[全体の約1.08%]
前回の順位:6位
Win32/Autoitはリムーバブルメディア経由で感染を広げるワームで、一部の亜種はMSNを介しても拡散します。悪意のあるWebサイトからダウンロードされたファイルとしてシステムに到達しますが、別のマルウェアによってドロップされる場合もあります。システムが感染すると、実行ファイルを検索し、自身のコピーと置き換えます。ローカルディスクとネットワークリソースにコピーします。実行されると、新たな脅威や自身の亜種をダウンロードします。
7. JS/TrojanDownloader.Iframe.NKE[全体の約0.96%]
前回の順位:8位
このトロイの木馬は、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
8. Win32/Sality[全体の約0.92%]
前回の順位:7位
Salityは、他のファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリーキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリーキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
9. JS/Iframe.AS[全体の約0.70%]
前回の順位:12位
JS/Iframe.ASは、悪意のあるソフトウェアのサイトに誘導する特定のURLにブラウザーをリダイレクトします。プログラムコードは通常、HTMLページに埋め込まれています。
10. Win32/Spy.Ursnif[全体の約0.70%]
前回の順位:10位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。
エンドユーザーへの影響
Windowsのレジストリー設定に精通しているユーザーであれば、Win32/Spy.Ursnif.Aがシステムに存在するかどうかはさまざまな方法で確認することができますが、新しいアカウントが作成されたことを確認する方法を知らない一般ユーザーがこのスパイウェアの存在に気づくことは難しいでしょう。
いずれにしても、このマルウェアが使用する設定の細かい部分は、その進化の過程で変更されていくものと予想されます。この種のスパイウェアへの感染を防ぐためには、アンチウイルスソフトウェアをはじめとするセキュリティソフトウェア(パーソナルファイアウォールなど)を導入および実行し、常に最新の状態に維持するだけでなく、最新のパッチを確実に適用し、意図しないファイルのダウンロードやリダイレクト、添付ファイルに注意するというあたりまえの対策を実施することが最も重要となります。
マルウェアランキングトップ10(グラフ)

ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2012年1月度のランキングは、「HTML/ScrInject.B」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち4.98%を占めています。

2012年1月の結果グラフ
ESET社について

ESETは、セキュリティソフトウェアのグローバルプロバイダーです。ESET NOD32 AntivirusとESET Smart Securityは、包括的な機能とすぐれた検出性能を備えるセキュリティソリューションとして、常に高い評価を受けています。

ESETが提供するその他の情報源

セキュリティ脅威の被害に遭わないためには、アンチウイルスソフトウェアを最新の状態に保つだけでなく、セキュリティに関する最新情報を把握しておくことも重要となります。ESET Threat Centerでは、セキュリティに関するさまざまな情報を提供しています。次の情報源をぜひご覧ください。

この情報は、ThreatSense.net(※)の情報を元に作成しています。

  • ※ ThreatSense.Netは、ESETが新しい脅威を迅速かつ継続的に把握するためのシステムです。ESET製品のオプションで、ThreatSense.Net早期警告システムを有効にした場合、ESET社のウイルスラボで、検出された脅威の情報を収集し、台頭する脅威の検出率の向上等、ESET製品の品質向上に役立てています。
この記事をシェア

業務PCのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!