Your browser is obsolete!

The page may not load correctly.

無料トライアル版
Dr.Web for Android

Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.com:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

2017年5月のウイルスレビュー

2017年5月31日

株式会社Doctor Web Pacific


Doctor Webは2017年5月のウイルスレビューをここに報告します。5月はWannaCryとして広く知られるようになった危険な暗号化ワームの大量拡散が起こった月として記憶に残るでしょう。また、macOSを標的とするバックドアやLinux向けの複雑なマルチコンポーネントトロイの木馬も発見されました。


2017年5月の最も注目すべきイベントは、Dr.Web Anti-virusによって Trojan.Encoder.11432 として検出される悪意のあるプログラムWannaCryの大量拡散です。このワームはユーザーの介入なしに拡散され、プロトコル「SMB」の脆弱性を悪用してネットワークノードを感染させます。その後、感染させたコンピューター上のファイルを暗号化し、それらを復元するために身代金を要求します。そのほか5月には、Linuxを標的とする、Luaで書かれた複雑なマルチコンポーネントトロイの木馬や、macOSを狙った新しいバックドアが発見されています。

5月の主な傾向

  • 危険な暗号化ランサムウェアWannaCryの拡散
  • macOS向けの新たなバックドアの発見
  • Linux向けのマルチコンポーネントトロイの木馬が登場

5月の脅威

5月には、WannaCryとして知られる悪意のあるプログラムについて多くのメディアで取り上げられました。この危険なアプリケーションはMicrosoft Windowsコンピューターを感染させるネットワークワームで、その拡散は2017年5月12日の午前10時頃に開始されました。このワームはペイロードとして暗号化トロイの木馬を含んでいます。Dr.Web Anti-virusはワームの全てのコンポーネントを Trojan.Encoder.11432 として検出します。

wannacry #drweb

起動されると、ワームは自身をシステムサービスとして登録し、ローカルネットワーク内およびランダムなIPアドレスを持ったインターネット上でネットワークノードを探します。接続の確立に成功するとそれらのコンピューターを感染させ、暗号化トロイの木馬を起動させますが、この暗号化トロイの木馬はランダムな鍵を使用してコンピューター上のファイルを暗号化させます。 Trojan.Encoder.11432 は動作の過程でシャドウコピーを削除し、システムの復元機能を無効にします。このトロイの木馬は、テストとして復号化するファイルのリストを作成します。テストファイルの復号化とその他のファイルの復号化には異なる鍵が使用されるため、例え身代金を支払ったとしても、エンコーダーによって暗号化されてしまったデータが復元されるという保証はありません。この脅威に関する詳細についてはこちらの記事を、ワームに関する技術的な説明(英語)についてはこちらをご確認ください。

Dr.Web Anti-virusによる統計

According to Dr.Web Anti-virus statistics #drweb

Doctor Web統計サーバーによる統計

According to Doctor Web statistics servers #drweb

メールトラフィック内で検出された脅威の統計

Statistics on malicious programs discovered in email traffic #drweb

Dr.Web Bot for Telegramによって収集された統計

According to statistics collected by Dr.Web Bot for Telegram #drweb

 #drweb

2017年5月には、以下のランサムウェアによる被害を受けたユーザーからDoctor Webテクニカルサポートサービスに対するリクエストがありました:

Dr.Web Security Space 11.0 for Windows
は暗号化ランサムウェアからの保護を提供します。

この機能はDr.Web Anti-virus for Windowsには含まれていません。

データ損失防止
データ損失防止データ損失防止

詳細はこちら

2017年5月に非推奨サイトとしてDr.Webデータベースに追加されたアドレスの数は1,129,277件となっています。

2017年4月2017年5月推移
+ 568,903+ 1,129,277+ 98.5%

非推奨サイト

その他の情報セキュリティイベント

5月の初め、「VK」ソーシャルネットワーク上の公式「Doctor Web」グループページ内に投稿されたコメントに含まれるリンクからトロイの木馬が拡散されていることがDoctor Webセキュリティリサーチャーによって発見されました。サイバー犯罪者によって残されたこれらのメッセージは、ユーザーにDr.Webアンチウイルスの無料ライセンスキーのダウンロードを提供するものでした。しかしながら、リンクをたどってしまった被害者は、コンピューター上に Trojan.MulDrop7.26387 をダウンロードしてしまうことになります。

 #drweb

この悪意のあるプログラムはサイバー犯罪者から受け取った様々なコマンドを実行することができます。それらのコマンドには、Windowsデスクトップ壁紙を置き換える、光学ドライブを開くまたは閉じる、マウスキーの機能を入れ替える、音声シンセサイザーやスピーカーを使用して特定の言葉を再生するなどのほか、ユーザーを怯えさせる動画を再生するというものもあります。この脅威に関する詳細についてはこちらの記事をご覧ください。

Linuxを標的とするマルウェア

5月、Luaスクリプトで書かれた、Linux向けのマルチコンポーネントトロイの木馬がDoctor Webのスペシャリストによって発見されました。 Linux.LuaBot と名付けられたこのトロイの木馬は31のLuaスクリプトで構成され、コンピューターのみでなく、ネットワークストレージやルーター、セットアップボックス、IPカメラなど、その他の「スマート」デバイスを感染させることができます。このトロイの木馬は攻撃対象となるIPアドレスのリストを生成し、特別な辞書を用いたブルートフォース攻撃によってログインとパスワードを割り出すことで、それらリスト上にあるリモートデバイスへの接続を試みます。接続に成功すると、感染させたコンピューター上に自身のコピーをダウンロードし、起動させます。

このトロイの木馬は実際にはバックドアであり、すなわちサイバー犯罪者から受け取ったコマンドを実行することができます。さらに、Linux.LuaBotは感染させたデバイス上でWebサーバーを起動させ、このサーバーを使用することでサイバー犯罪者は様々なファイルをロードすることが可能になります。Doctor WebのスペシャリストはLinux.LuaBot に感染したデバイスのユニークなIPアドレスに関する統計を収集しました。以下の図はそれらアドレスの地理的分布を表しています。

 #drweb

この脅威に関する詳細についてはこちらの記事を、技術的な説明(英語)についてはこちらをご確認ください。

macOSを標的とする悪意のあるプログラム

2017年春最後の月となる5月には、macOSを狙ったバックドアの拡散が発生しました。Mac.BackDoor.Systemd.1という名前でウイルスデータベースに追加されたこのトロイの木馬は以下のコマンドを実行することができます:

この脅威に関する詳細についてはこちらの記事をご覧ください。

モバイルデバイスを脅かす悪意のある、または望まないプログラム

5月には、別のプログラムをダウンロードし、情報をC&Cサーバーに送信する Android.RemoteCode.28 がGoogle Play上で発見されました。Google Play上では、その他にも Android.Spy.308.origin の組み込まれたアプリケーションが発見されています。このトロイの木馬は追加のコンポーネントをダウンロード・起動し、広告を表示させます。また、5月には、ユーザーの銀行口座から金銭を盗むバンキング型トロイの木馬 Android.BankBot.186.origin がMMSメッセージを使用して拡散されました。

中でも特に注目に値するモバイルマルウェアに関するイベントは以下のとおりです:

モバイルデバイスを標的とする悪意のある・望まないプログラムに関する詳細はこちらの記事をご覧ください。

追加情報

ウィルス統計 Virus descriptions ウィルスレビュー

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2017

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific〒210-0005神奈川県川崎市川崎区東田町1-2いちご川崎ビル 2F