• 2008年の終わりから2009年の初めにかけて、わたし達は自己防衛のための一連のヒントをブログ（http://www.eset.com/threat-center/blog/2008/12、http://www.eset.com/threat-center/blog/2009/01）に投稿しました（近々、これらの記事の改訂版がホワイトペーパーとして公開される予定です）。
  
  
• この月に最も多く検出された脅威は、（相も変わらず）INF/Autorunでした。ホリデーシーズンということもあり、クリスマスプレゼントとして購入されることも多かったデジタルフォトフレーム経由でこの脅威に感染する危険性も指摘されました。
  
  
• 1月度のランキングでトップ10入りを果たした脅威のほとんどは、単一のマルウェアファミリーに対応するシグネチャではなく、アドバンスドヒューリスティックによって検出されたものでした。しかし、そうした傾向の中にあって、非常に有害なアドウェア型トロイの木馬であるVirtumondeも引き続き大量に検出されていました。
  
  
• 著名人のStephen Fry氏が詐欺に騙されたことを告白したことで、Twitterを舞台にしたフィッシングが大きな注目を集めました。ESETのマルウェアインテリジェンス担当ディレクターであるDavid Harleyが本格的にTwitterを使い始めたのもこのころです。12か月後の今、口では「まだ専門家というレベルではない」と言いながらも、Davidはブログアカウントと同じくらいの数のTwitterアカウントを開設するまでに至っています。興味のある方は、米国カリフォルニア州サンディエゴに拠点を置くリサーチチームのアカウントをフォローしてみてください。
  
  
• 英国では、警察当局の権限を強化することに対する懸念が話題となりました。この問題については、Craig JohnstonとDavid HarleyがAVAR 2009でのプレゼンテーションで取り上げています。
  
  
• ESETのテクニカルエデュケーション担当ディレクターであるRandy Abramsが、適切な（不適切な）パスワードの使用に関する記事をブログに投稿しました。この記事は、後にRandyとDavidの共同執筆によるホワイトペーパーに再録されています。
  
  
• Win32/Confickerは、トップ10にランクインする脅威の中でもとりわけ目立つ存在であり、Confickerに感染したPC数をおおざっぱに推定した数字がメディアで大きく取り上げられました。もちろん、Confickerは現在でも大量に検出されています。Confickerに関しては、ESETラテンアメリカのセキュリティアナリスト、Sebastian Bortnikが執筆したホワイトペーパーの英語版（「Conficker by Numbers」）が近々、ESET Webサイトのホワイトペーパーページで公開される予定となっています。
  
  
• 政府の補助金や米国税庁の還付金が受けられるとする詐欺が流行しました。その後この種の詐欺メールは、電子メールトラフィックの中で一定の割合を占めるようになっています。
  
  
• Googleで、検索結果のすべてのサイトについて「このサイトはコンピュータに損害を与える可能性があります」というメッセージが誤表示されるというトラブルが発生しました。インジェクション攻撃やクロスサイトスクリプティングが日常的に発生している今日、すべてのサイトにこのメッセージを表示したとしても、理屈のうえでは必ずしもまちがっていないかもしれません。しかし、これではエンドユーザーが不便ですし、Googleの信用にも傷が付きます。「偽陽性」という問題を抱えているのは、どうやらアンチウイルス製品だけではないようです。
  
  

• 2月度もまた、INF/Autorun（およびその関連マルウェア）とパスワードを盗み出すトロイの木馬がランキングの1位と2位を占めましたが、最も大きな関心を集めたのはWin32/Confickerでした。アドウェアやPUA（Potentially Unwanted Application：ユーザーにとって好ましくない動作をする可能性のあるアプリケーション）は引き続き大量に出現し、ユーザーや企業を悩ませています。
  
  
• フィッシング詐欺師が、景気対策の還付金をエサにしてパスワードを盗み出そうとし始めました。2010年には、健康保険に関する法令がソーシャルエンジニアリングに利用されるようになると予想されます。
  
  
• Win32/Waledacの背後にいるグループが、バレンタインデーに乗じて「グリーティングカード」（その実体はマルウェア）を流布させました。
  
  
• 「Bill Gatesが資産を分配する」という奇妙なデマメールが、この種の話題には耐性があると思われるアンチウイルス業界の関係者にばらまかれました。
  
  
• Adobeがついに、PDF関連の深刻な脆弱性を警告するに至りました。Adobeにとっては不幸なことですが、同社製品はこの年、何度も攻撃を受ける羽目となりました。ESETのブログ執筆者も、Adobe関連の問題を警告する記事を多数投稿しています。
  
  
• 偽セキュリティソフトウェアの深刻さが、質量ともに増大し続けました。
  
  
• 人々の郷愁を誘うかのように、Microsoft Excelの脆弱性を突くマルウェアが数多く出現しました。
  
  

• 3月の第1週は、オーストラリアの「ゾンビボットネット問題啓発週間」でした。しかし、ボットネットやゾンビPCについては、啓発週間だけでなく、常に意識することが重要であるのは言うまでもありません（http://www.eset.com/threat-center/blog/2009/03/03/zombies-down-under）。
  
  
• サイバースクワッティング（ドメイン名を転売目的で取得する行為）を懸念する人々にドメインを売りつけようとする詐欺が急増しました。
  
  
• 診断パッチを未署名でリリースするというSymantecが犯した些細なミスが、風評によって「同社がrootkitやバックドアを配布している」という都市伝説に発展しました。「都市伝説」と述べているように、これは単なるうわさであり真実ではありません。
  
  
• 英国のBBCが、2万2,000台のPCで構成されるボットネットを購入し、スパム送信とDDoS攻撃を実演してみせるという「犯罪行為」に手を染めました。ボットネットの活動内容を示すために犯罪者の懐をうるおす必要などまったくなかったはずですが、結果的にBBCは英国のコンピュータ不正使用法に基づく訴追を免れました。
  
  
• 「行方不明の子どもたち」についてのデマメールが大量に発生したことを受け、David HarleyとRandy Abramsがデマメールに関するホワイトペーパーをVirus Bulletin 2009で発表しました。
  
  
• 苦情申し立てに対するGoogleの消極的な姿勢が多くの注目を集めました。
  
  
• Virus Bulletinがアンチスパムのテストを開始しました。
  
  
• Psyb0tがボットネットとしての機能を強化し、PCではなくルータやDSLモデムをターゲットにするようになりました。
  
  
• Win32/Conficker.Cが4月1日に何らかの活動を開始するらしいという憶測が広まりました。その内容が事前に判明することはありませんでしたが、結局はインターネットをダウンさせるなどの大事件を引き起こすことはなく、通信プロトコルを変えただけでした。アンチウイルス業界の関係者の多くは、数週間にわたり「パニックにならないように」とブログで注意喚起していましたが、一部の批評家は「ベンダーが危機を煽った」と批判しました。
  
  

• 4月にはそれほど大きな出来事はありませんでしたが、本格的なMacボットネットが登場し、DDoS攻撃に使用されるという事件が起きました。
  
  
• 標的型攻撃でOfficeソフトウェアが狙われるケースが急増しました。しかしMicrosoftは、この種の攻撃は影響範囲が狭く重要な問題ではないと考えているようであり、修正パッチの提供を急ぐことはしませんでした。
  
  
• ロシアのニュースサイトが、ConfickerがDDoS攻撃を行っていると報道しました。しかし、わたし達が社外の研究者と共同調査を行ったところでは、そのDDoS攻撃にConfickerが関与している証拠は一切見つかりませんでした。
  
  
• ロシアと中国のスパイが、米国の電力網システムに侵入しているとの報道がありました。
  
  
• W32/Conficker.AQと呼ばれるマルウェアが興味深い挙動を示しました。
  
  
• 自己顕示欲の高いMichael Mooneyという少年が作成したMikeyyワームが、Twitterに大混乱をもたらしました。David Harleyはこれに腹を立て、「こんなことをしてもセキュリティ業界に職を得ることはできない」とブログで述べています。
  
  
• Hexzoneボットネットが、不愉快なランサムウェアと関係があることが判明しました。
  
  

• 「楽しき5月」には、ハンガリーのブダペストで重要なイベントが開催されました。攻撃手法と脆弱性に関するCAROワークショップと、2年目を迎えたAMTSO（Anti-Malware Testing Standards Organization）の年次ワークショップです。後者のイベントでは、レビュー分析委員会によるレビュープロセスが承認され、サンプルの検証方法とクラウド型セキュリティ製品のテスト方法がドキュメントとしてまとめられました。またEICARカンファレンスでは、DavidとRandyがテスト手法についての論文を発表し、EICAR、AMTSO、ICSALabsの代表者たちによるテスト手法をテーマとしたパネルディスカッションが行われました。
  
  
• ESETの上級マルウェア研究者であるPierre-Marc Bureauが、ポーランドのクラクフで開かれたCONFidenceカンファレンスに参加し、同イベントのすばらしさに感銘を受けていました。
  
  
• サンディエゴでは、ESETが協賛するコミュニティプロジェクト「Securing our eCity」がサイバー犯罪についての講演を無償で開催し、大きな成功を収めました。
  
  
• 英国では、データ漏えい事件を引き起こした国民保健機関（NHS）に対し、情報コミッショナーが厳しい姿勢を示しました。
  
  

• 英国では、スコットランドの高齢者を標的とする電話詐欺が発生したほか、データ保護法が正しく理解されていないことに対する懸念の高まりから、新たな英国規格BS 10012が策定されました。
  
  
• スタンフォード大学に新設されたソーシャルメディアの修士課程を、MSNが「FacebookとTwitterの修士号」と評しました。
  
  
• メールアカウントを乗っ取り、そのアドレス帳にあるアドレス宛てに「強盗に遭ったので、帰国するためのお金を送ってほしい」というメールを送信する詐欺行為が頻発しました。
  
  
• Microsoftの無償アンチウイルスソフトウェアが登場し、アンチウイルス業界はもう終わりだと指摘する声が出てきました。しかし、このような見方は実態とは大きくかけ離れています。
  
  
• ある調査の結果、ビジネスパーソンの1/3は、会社のPCから不適切な内容のメールを送ったり、恋人に別れ話を持ちかけたり、別の会社に履歴書を送ったりした経験があることが判明しました。このような行動は、公私の区別が正しくなされていないことの表れであり、大いに懸念されます。
  
  
• 歌手のMichael Jackson氏が亡くなり、これに便乗したソーシャルエンジニアリングの手法で詐欺行為を行ったりマルウェアをインストールさせたりする不心得者が多数出現しました。
  
  

• Waledacボットネットが、独立記念日に便乗したスパムメールの大量送信キャンペーンを仕掛けましたが、ESETの研究者は、その被害を最小限に食い止めるうえで重要な役割を果たしました。
  
  
• 英国の諜報機関の1つであるMI6の責任者の妻が、公にすべきでない情報をFacebookに大量投稿するという事件が発生しました。
  
  
• ESETラテンアメリカのSebastian Bortnikが、Waledacに感染したPCがどれほどのスパムメールを送信しているかを推定しました。それによるとWaledacに感染したPCは、1台につき1日あたり15万通ものスパムメールを送信していました。
  
  
• 米国政府のWebサイトが北朝鮮によるDDoS攻撃（複数のPCから分散して行われるサービス妨害攻撃）を受けている可能性があるとの報道がなされました。ただし、この推測を裏付ける証拠は見つかっていません。
  
  
• セキュリティ関連のブロガーやエクスプロイトコードの公開/配布サイトが、「Anti-sec」を名乗る何者かから「消去する」との脅迫を受けました。しかし、今のところわたし達はまだ「消去」されていません（http://www.eset.com/threat-center/blog/2009/07/11/orwell-double-think-and-anti-sec）。
  
  
• 社会保障番号を認証手段として利用することの危険性をDavid Harleyらが指摘しました。また、米国のシンクタンクPonemon Instituteが発表した「米国の組織の85%はデータ侵害を経験している」という調査結果について、Jeff Debrosseが長めの論考をブログに投稿しました。
  
  
• Win32/TrojanDownloader.Bredolab.AAがエンドユーザーに深刻な影響を及ぼしました。ESETのメインラボがあるスロバキアのESETスタッフからも情報が寄せられましたが、このマルウェアは特にヨーロッパで猛威を振るいました。ヨーロッパのESETスタッフはこのほかにも、無料のWi-Fiアクセスポイントを利用することの危険性について解説した有用なプレスリリースを発表しました。
  
  
• AdobeとMicrosoftのパッチが大きな話題となり、AppleはiPhoneを「Jailbreak」（「脱獄」を意味するロック解除行為）することの危険性を訴えました。
  
  

• Slideshareが、スライドショーを閲覧したユーザーを偽セキュリティソフトウェアの配布サイトへ誘導するために悪用されていることをESETラテンアメリカのスタッフが発見しました。同サイトの担当者は、わたし達の報告にすばやく対応し、悪質なアカウントを直ちに削除してくれました。
  
  
• 「Delf」あるいは「Doneltart」と呼ばれる悪質なダウンロード型トロイの木馬に対抗すべく、アンチマルウェア研究者が一致団結しました。
  
  
• 英国の内閣事務局が、Twitterを利用したいと考える政府機関向けに驚くほどよくできたテンプレート文書を策定しました（さすがにこの文書を「140文字」以内に収めることはできなかったようですが）。
  
  
• コンパイラに感染し、さらにそのコンパイラによってコンパイルされたプログラムに感染するWin32/Induc.Aが、数か月にわたりアンチウイルス製品による検出を免れていたことが明らかになりました。この感染手法については、UNIXの開発者として知られるKen Thompson氏が1984年の講演「Reflections on Trusting Trust」で指摘したコンセプトとの類似性が指摘されています。
  
  
• Microsoftが、INF/Autorunによって悪用されているAutorun機能を初期設定で無効にする方法を公開しました。
  
  
• ESET LLCの上級研究者であるAryeh Goretskyが、Mac OS Xを狙う脅威がAppleでさえ無視できないほど増加していることをブログで指摘しました（その後David Harleyも、この問題について長めのブログ記事を投稿しています）。
  
  

• 一部のMacユーザーは、セキュリティ対策はSnow Leopardが備える最小限のトロイの木馬対策機能で十分である（あるいは十分以上である）と考えていることが明らかになりました。
  
  
• Pierre-Marcが、ESETの無料オンラインスキャナで収集されたマルウェア統計に関する興味深い記事をブログに投稿しました。
  
  
• Aryehが、ソーシャルネットワーキングサイト利用時における自己防衛についての記事をブログに投稿しました。
  
  
• David Harleyによるマルウェアの命名についてのCFETカンファレンスペーパーがホワイトペーパーページで公開されました。
  
  
• 米国バージニア州在住の19才の少年が強盗の容疑で逮捕されました。逮捕に至った経緯は、強盗に押し入った先で被害者のノートPCを使用して自分のFacebookアカウントにアクセスし、ログアウトしなかったためだということです。
  
  
• スイスのジュネーブで開かれたVirus Bulletin 2009カンファレンスで、Juraj Malcho、Jeff Debrosse、Randy Abrams、そしてDavid Harleyが論文を発表しました。
  
  

• 第6回目となる米国の「サイバーセキュリティ啓発月間」において、セキュリティ意識や自己防衛の重要性を啓発するためのイベントやプロジェクトが多数実施されました。
  
  
• SEO（検索エンジン最適化）ポイズニング（「インデックスハイジャッキング」とも呼ばれる）は決して新しい攻撃手法ではありませんが、2009年にはこの手法がさらに高度化しました。ESETのマルウェア研究者であるTasneem Patanwalaが、この種の攻撃に関するすばらしい分析記事をブログに投稿しています。
  
  
• Sebastian Bortnikが、HTTPSに関する問題をブログで警告し、その内容を実例するビデオを作成しました。ESET LLCのリサーチチームもその後、ブログでこの問題やSSLに関連する問題を取り上げました。
  
  
• Windows 7がリリースされました。
  
  
• 比較テストの実施者が「AMTSOに準拠している」などと勝手に主張する状況を受け、チェコのプラハで開かれたAMTSOミーティングでは、他の組織がAMTSOの信用をおとしめたりその意義を曲解したりすることを防ぐための方策について白熱した議論が交わされました（2月に開催される次回のワークショップでも同様のテーマが議論の中心となりそうです）。
  
  
• Windowsのパッチ適用を呼びかける偽のメールは決して目新しいものではありませんが、10月度にはこの種のメールが急増しました。現在、これらのメールでは、偽のパッチを添付するのではなく、メール本文に記載された不正URLにアクセスさせるという形を取るのが主流となっています。
  
  

• 主に児童ポルノに関係する状況で、コンピュータ関連法違反の責任を逃れるために、責任を他人になすりつける「Some Other Dude Did It（SODDI：「だれかほかの奴がやった」の意）」やトロイの木馬のせいにする「Trojan Defense」と呼ばれる手法が用いられるようになりました。
  
  
• Jailbreak（ロック解除）されたiPhoneの脆弱性を攻撃する一連のマルウェアが登場しました。Appleは「それは自分たちの問題ではない」という態度を崩していませんが、長期的な観点では、このような姿勢はAppleコミュニティ全体に深刻な影響をもたらすものと見なされる可能性があります。
  
  
• オーストラリアのPCベンダーが「耐ウイルスPC」を発表しました。このベンダーは「耐ウイルス」の内容を明らかにしていませんが、どうやらWindows以外のOSを使用した強化パーティションのことを指しているようです。このPCを使用したユーザーの多くは、いつもの作業を行うには、たとえウイルスの問題があってもWindowsが必要だと改めて知ることになるでしょう。
  
  
• Securing our eCityの委託を受けて行われた調査の結果、サイバー犯罪およびセキュリティ問題についての地域住民の認識が心許ないものであることが明らかになりました。
  
  
• ESETは、ほかのベンダーの委託で実施されたパフォーマンステストにおいてすぐれた結果を残しました。しかし、Andrea Kokavcovaがブログ記事で指摘しているように、メモリ使用率の測定がより実際的なアプローチで行われていれば、さらによい成績が残せたことでしょう。
  
  
• 未だ開発途中のGoogle Chrome OSですが、特定のマルウェア攻撃を防げる可能性があるとして注目を集めました。
  
  
• 防衛技術企業Qinetiqによる特許技術が「ウイルス」問題に終止符を打つとして、New Scientist誌が歓迎の意を表しました。この技術を詳しく見てみると、確かに興味深いアイデアが盛り込まれているようではありますが、それでもわたし達がすぐに職を失うということはなさそうです。
  
  

• RandyがPayPalに対し、「PayPalから送られてくる一部のメールはほとんどフィッシングだ」と指摘しました。PayPalからの返信には、そのメールは「確かにフィッシングである」とありましたので、Randyの指摘には同意してもらえたはずです。彼らは、一介のセキュリティ研究者のたわごととしてこの問題を処理しようとしましたが、セキュリティコミュニティの相当数の人々はRandyの意見に同意してくれています。
  
  
• ESETは、Mac OS XおよびデスクトップLinux向け製品のパブリックベータ版とマルウェアレポートポッドキャストの記念すべき第150話を公開しました。Randyのブログもご覧ください。
  
  
• David Harleyが、アンチマルウェア業界に関与して20周年というささやかな記念日を迎えました。
  
  
• MotorolaのDroidが「root化」されました。root化とは、ベンダーが定義するアプリケーションのホワイトリストを、iPhone/iPodにおけるJailbreakと同様の方法で回避する手法のことを言います。
  
  
• Facebookとプライバシーに関するさらなる疑問が提起されたほか、金融機関が、顧客がその機関に直接提供した情報だけでなく、「公になっているデータ」を認証に利用することの是非が話題となりました（http://www.eset.com/threat-center/blog/2009/12/14/your-data-and-your-credit-card）。
  
  
• ESETラテンアメリカとESET LLCの研究者が、イタリアのシルビオベルルスコーニ首相の襲撃動画に見せかけたマルウェアについての議論と分析を（いつものように）共同作業で行いました（http://www.eset.com/threat-center/blog/2009/12/15/fake-videos-of-berlusconi-attack）。
  
  
• Windows XP SP2のサポート期限が2010年7月に迫っていることを受け、それ以降もWindows XPのサポートを受けたければSP3に移行するようRandyが注意喚起を行いました。また、Howard Schmidt氏がホワイトハウスのサイバーセキュリティコーディネータ職に任用されたことについてもコメントしています。
  
  
• 11月のセクションで述べた「SODDI」が、Sarah Palin氏のメールアカウントハッキング事件でも用いられました（http://www.eset.com/threat-center/blog/2009/12/24/grasping-at-straws-did-malware-hack-palins-email-account）。
  
  

ESETラテンアメリカとESET LLCのリサーチチームが顔を突き合わせ、セキュリティやサイバー犯罪、そして流行語にもなっている「サイバー戦争」を巡る状況が、今後12か月間でどう変化していくかを予測しました。2010年の予測については、Randyがその一部をブログで述べており、ESETラテンアメリカのスタッフもスペイン語のブログ記事を投稿していますが、ここでは、ESETラテンアメリカとESET LLCのスタッフが議論する中で得られた結論を概説します（両者の考えをまとめた英語版のホワイトペーパー「2010: Cybercrime Comes of Age」も、今後数週間のうちにhttp://www.eset.com/download/whitepapers.phpで公開される予定です）。

1. ソーシャルエンジニアリング攻撃が引き続き流行する一方、安全性の高いオペレーティングシステムが普及するのに伴い、OSの脆弱性を突く攻撃はますます減少していく。アプリケーションの脆弱性を狙う攻撃は依然として深刻な脅威になっているが、ベンダーが品質管理を強化しパッチ提供方法を改善していくにつれ、これらの攻撃も減少していくものと予想される。またWindows 7の普及により、INF/Autorunおよびその関連脅威も徐々に力を失っていく。
   
   
2. 祝祭日や最新ニュース（本物であるかねつ造であるかは問わない）、注目のイベント（ワールドカップなど）、人々の普遍的な関心事（国内外の経済など）といった話題のトピックが、ソーシャルエンジニアリング攻撃に利用される。
   
   
3. JailbreakしたiPhoneは攻撃の対象になるという認識が広まるのに伴い、この攻撃の被害を受けるユーザーは減少していくが、モバイルデバイス全般で悪用可能な脆弱性探しが行われるようになり、モバイルデバイスを狙うソーシャルエンジニアリング攻撃も普及する。。
   
   
4. 問題の修正が行われるまで感染PCを隔離する検疫システムの重要性が高まる。
   
   
5. データ侵害の深刻さがさらに増大する。クラウド環境におけるセキュリティの強度に、（少なくとも短期的には）大きな差が出るようになる。
   
   
6. 偽ソフトウェアを利用したゆすり行為が増加する。セキュリティソフトウェア以外のジャンルにも偽ソフトウェアが登場する。
   
   
7. 「サービスとしてのマルウェア」に、正規のビジネスにおけるスペシャリストどうしの協業モデルがますます色濃く反映されていく。
   
   
8. プラットフォーム間で悪意のあるコードを再利用できるようにするため、マルウェア開発において高級言語（特にスクリプト言語）の利用が増加する。
   
   
9. ソーシャルネットワーキングサイトが、ソーシャルエンジニアリング攻撃と脆弱性を突く攻撃の対象としてこれまで以上に狙われるようになる。
   
   
10. 仮想化環境の研究が進み、これらの環境に対する攻撃も増加するが、その影響はまだ限定的な範囲にとどまる。
    
    
11. オンラインゲームユーザーに対するフィッシングと関連攻撃がますます大きなビジネスとなる一方、ゲームコンソールに対する攻撃では大きな成果を得られなくなる。
    
    
12. 無線接続を不正操作する攻撃が引き続き流行する。
    
    
13. 犯罪者と正規企業の双方が、ソーシャルネットワーキングサイト間の連携を利用して、より幅広いリソースからデータをマイニングするようになる。民間におけるデータ共有が大きな問題となり、主にヨーロッパの公共機関におけるデータ共有に適用されているデータ保護法のような規制の必要性が高まる。
    
    
14. その収益性の高さから純然たるクライムウェアが大流行し、マルウェアの成功モデルとなる。
    
    
15. 犯罪活動において、正規のWebサイトやソーシャルネットワークの乗っ取りが引き続き有効な攻撃手段として利用され続ける。このようなネットワークは、組織的犯罪ネットワークが使用する違法なインフラ（ボットネットなど）を管理するための手段として、あるいは不正広告などのより直接的な攻撃手段としてこれまで以上に利用されるようになる。
    
    
16. 標的型攻撃（スピアフィッシング、幹部クラスを狙うホエーリング）が重大な脅威となるが、その危険性は正しく理解されない。