2012年2月9日掲載

株式会社Doctor Web Pacific

Doctor Webは2011年に起こったウイルスイベントを総括しました。昨年見られた大きな動きは、Androidプラットフォームを狙った脅威の急激な増加です。ユーザーが課金されるSMSを勝手に送信することの出来る機能はウイルス製作者にとって格好の餌であることを考えると、当然のこととも言えるでしょう。ソーシャルネットワークを標的とした詐欺手法も巧妙化しており、残念ながらこの傾向は2012年も続いています。デスクトップシステムプラットフォームに対する脅威では、恐喝プログラムのファミリーに属するTrojan.Winlock、Trojan.MBRlock、Trojan encodersの新しいバージョンが登場しました。また、インターネットバンキングに関する新たなマルウェアの数にも劇的な増加が見られました。

2011年、Androidを狙った脅威が20倍に

昨年はAndroidモバイルプラットフォームに対する脅威の数が20倍に増加し、そのうちの多くがAndroid.SmsSendファミリーに属していました。これらのアプリケーションは通常、ユーザーの望むプログラムを含んでいると見せかけてそのインストール過程で有料SMSを送信させるインストーラの機能を実装しています。この詐欺の本質は、本来デベロッパーのサイトから無料でダウンロードできるアプリケーションであるにも関わらず、犯罪者にお金を払ってしまうという点にあります。

Dr.Webウイルスデータベースにおいては、2011年の初めには6個のみであったAndroid.SmsSendのエントリが12月までの間に約45倍に増加しています。下のチャートは、その月別推移を示しています。

このような種類の脅威への対応に大きく貢献したのはDr.Web によって開発されたユニークなテクノロジーOrigins Tracing™です。従来の検出テクニックでは、アンチウイルスが悪意のあるファイルを認識する為にそのようなファイルのユニークなシグネチャが必要でした。Origins Tracing™では、悪意のあるプログラムそれぞれに対してその動作パターンを記述した特別なエントリが作成され、ウイルスデータベースに追加されます。そのようなエントリが1つあれば、アンチウイルスは悪意のあるアプリケーションのファミリー全体を認識することが出来ます。それにより、ファミリーに属する新しい亜種の迅速な検出を確実なものにし、ウイルスデータベースのサイズを大幅に削減します。

Dr.Webウイルスデータベースにおいては、2011年の初めには僅か30個であったAndroid に対する悪意のあるプログラムに関するエントリが、2011年の終わりには計630個に達しました。従って、Androidモバイルプラットフォームに対する脅威の総計は過去12か月の間に20倍に増加したと言えます。下の表はAndroidを狙った脅威の種類別の割合です。

これに対し、Symbian OSに対する脅威は現在までに212個、Windows Mobileでは30個、Javaに対応しているあらゆるプラットフォームに対するトロイの木馬は923個検出されています。これらの数字から、Androidを標的とした脅威の数が他のOSのそれをはるかに上回っていることが分かります。

ルートキット

ルートキットがOS内に潜むマルウェアであることはよく知られています。この種類の脅威は昨年と同じペースで拡散され続けています。64ビット版Windowsの人気が高まるにつれ、それに呼応するようにユーザーモードで動作するルートキットの亜種が増加しました。最も多く見られる脅威は依然としてBackDoor.TdssおよびBackDoor.Maxplusとなっています。

2011年、Doctor Webのスペシャリスト達はAward BIOS のみを感染させる Trojan.Bioskit.1と呼ばれるユニークなルートキットを確認しました。後にTrojan.Bioskitの亜種が1つ発見されましたが、コード内にエラーが存在したためユーザーに対して深刻な損害を与えることはありませんでした。

ファイルウイルス

ファイルウイルスは、特に実行ファイルを感染させ、自身を複製する能力（ユーザーの操作無しに）を持つ昔からあるマルウェアの1つです。感染数に基づく昨年のファイルウイルス統計で最も多かったものはWin32.Rmnet.12で、ユーザーのパソコン上で1億6528万6935回の検出があり、マルウェアによる感染件数全体の11.22%を占めました。9477万7924回検出（6.44%）された Win32.HLLP.Neshtaが2位につけ、Win32.HLLP.Whboy.45（5261万974回、3.57%）が3位になりました。

2011年には、ファイルウイルスのファミリーにWin32.Rmnet.12、Win32.HLLP.Novosel、Win32.Sector.22を始めとするその他多くのマルウェアが加わりました。

Windowsロッカー

OSの起動をブロックする古くから知られる恐喝プログラムで、Trojan.Winlockファミリーの亜種の数は過去12か月の間に増加しました。2011年には、Windowsロッカーはロシア近隣国（恐喝プログラムの亜種はカザフスタン、ウクライナ、ベラルーシのユーザーを標的としていました）からヨーロッパ諸国へと広がり、特に9月には、被害者の母国語で表示されるメッセージと各国の警察－例えばドイツではBundespolizei（連邦警察局）、イギリスではMetropolitan Police（首都警察）、スペインではLa Policìa Española（スペイン警察）－によるサインの組み込まれたTrojan.Winlock.3260が発見されました。全てのケースにおいて被害者は、システムのロックを解除する為に、それぞれの国で最も広く使用されているペイメントシステムを介してお金を支払うよう要求されています。以降、このようなトロイの木馬の数は急速に増加しています。その原因として、恐喝プログラムの製作者によって設置されたアフィリエイト・プログラムがインターネット上に多く出現するようになったということが考えられます。攻撃者達は、悪意のあるソフトウェアを拡散させるためのスペシャリストを、特別なフォーラム上で積極的に探しています。

Trojan.Winlockの新しい亜種の数は2011年の初めから2倍以上に増加し、Dr. Webテクニカルサポートへの全問い合わせ件数のうち、ブロッカーによる被害を受けたユーザーからのものは29.37%に達しました。

MBRlock

コンピューターのマスターブートレコード（MBR）を感染させる恐喝プログラムにも著しい増加が見られました。2010年11月にこのウイルスの最初のサンプルがウイルスラボに送られ、今日ではその数は300を超えています。検出されたTrojan.MBRlockファミリーの亜種の数は6個から316個に増え、2011年から52倍になっています。このようなトロイの木馬の機能の変化には明らかな傾向が見られ、ますます巧妙化かつ悪質化してきています。Trojan.MBRlockの最初の亜種は自動的に無害化されましたが、最新のバージョンはそのような機能を持たない上に暗号化されていないロック解除コードを保管しないため、修復が困難になっています。2011年11月に出現したTrojan.MBRlock.17は、自身のコンポーネントをハードディスク上のランダムディスクセクターに書き込み、そのロック解除キーは特定のパラメータに基づいて生成されるという点で従来のものと異なっています。現在、MBRをブロックするこのようなプログラムは最も危険なトロイの木馬の1つとなっています。

エンコーダー

エンコーダーはコーダーとも呼ばれ、コンピューター上に侵入してハードディスクのファイルを特別なアルゴリズムで暗号化し、ユーザーがそれらの情報にアクセスするために一定の料金を要求するプログラムです。2011年の9月頃には、Trojan.EncoderおよびTrojan.FolderLockのファミリーが大量に拡散され多くのユーザーに被害を与えました。様々な種類のエンコーダーがデータベースに加えられ、その数は2011年の初めから60%増加しました。

ネットワーク詐欺

インターネットユーザーを狙った詐欺件数は減少することは無く、ユーザーに有料SMSを送信させ、また毎月課金される有料サービスに登録させるためにハッカー達はあらゆる手法を用いています。オンライン詐欺者達は実に想像力に富み、偽の宝くじ・偽のファイル共有ネットワーク・手相・その他占い・ダイエット・家系調査など多くのいかがわしいサイトが存在します。オンライン詐欺に関する詳細はこれまでのウイルスレビューで紹介しています。ソーシャルエンジニアリングの手法を用いた詐欺サイトの検出推移を下の表に示します。

データベースに加えられた詐欺者達のオンラインリソースの9月から10月における急激な増加は、Doctor Webのニュースでも公表された「9月に行われた偽サイトの追跡」によるところが大きく、スペシャリスト達の努力の結果が上記の表に顕著に表れています。

以下の表は、データベースに追加された、2011年に悪意のあるソフトウェアを拡散させたサイトURLの推移です。

ここでは逆の動向が見られ、悪意のあるリソースが最も多く登録されたのは2011年前半で、秋以降は穏やかになっています。

ソーシャルネットワークサイトの追跡は続いています。2011年、詐欺者達は新しい手法を次々と編み出し、そのうち最も普及したものについては最近のレビューで紹介しています。また昨年は、人気のあるソーシャルネットワークのインターフェースを模倣したwebサイトが多く出現し、そのようなリソースのURLがDr. Webデータベースに追加されました。

バンキング系トロイの木馬

2011年、オンライン「バンク－クライアント」システムや電子財布にアクセスするためのものを含むユーザー情報を盗むために設計されたマルウェアがDoctor Webのウイルスアナリストによって大量に発見されました。

最も注目すべきは幅広い機能を持ったTrojan.Winspyで、2011年の前半にはその新しいバージョンが出現しました。ウイルスデータベースには、このタイプの悪意のあるアプリケーションがもう1つTrojan.Carberp.1という名前で追加されています。他のトロイの木馬同様Trojan.Carberp.1も、デバッガによる解析を妨げるビルトインプロテクションを備えています。データのハッシング、複数のシステムプロセスへのコード挿入がこのトロイの木馬の主な特徴です。Trojan.Carberp.1の機能は、バンキングサービスにアクセスするための情報を犯人に送信し、様々なプログラムからキーやパスワードを盗み、キーロガーとして動作し、スクリーンショットを撮る、などです。さらにこのトロイの木馬は、リモートコントロールセンターからその後の指示を受け取ることが出来るビルトインモジュールを備えています。これらの機能によって攻撃者は、被害者のコンピューターをプロキシサーバー化して匿名でwebサイトにアクセスし、様々なファイルをダウンロード・起動し、リモートホストにスクリーンショットを送信し、またOSを破壊することさえ出来るようになります。

またオンラインバンキングへのアクセスデータを盗み、感染させた複数のコンピューターをボットネット化させるTrojan.PWS.Ibankファミリーに属するウイルスも多く拡散されました。Zeus または Zbotとしても知られる悪名高いTrojan.PWS.Pandaも無視することはできません。このトロイの木馬は多くの機能を備えていますが、中心となるのはユーザーパスワードの窃取です。Zeusは広範囲に渡って拡散され、長い間バンキングシステムのユーザーにとって深刻な脅威をもたらし続けています。同じような目的で作成された他のトロイの木馬にはSpyEyeとしても知られるTrojan.PWS.SpySweepがあります。さらに、2011年にはAndroidプラットフォームを狙った初のバンキング系トロイの木馬であるAndroid.SpyEye.1が出現しました。ユーザーのコンピューターがSpyEyeに感染していると、モバイルデバイスがAndroid.SpyEye.1に感染するリスクが非常に高くなります。トロイの木馬の設定ファイル内にそのアドレスが含まれている銀行のサイトにユーザーがアクセスすると、悪意のあるプログラムによってテキストやwebフォームなどのコンテンツがwebページに挿入されます。こうして、何も知らないユーザーがコンピューターのブラウザでサイトを開くと、そこには新しいセキュリティポリシーが導入された旨を知らせるメッセージが表示され、バンク－クライアントシステムにアクセスする為にポリシーに従うことを要求されます。さらにユーザーはトロイの木馬を含んだ特別なアプリケーションを携帯電話にインストールするよう促されます。

被害者がAndroid.SpyEye.1をモバイルデバイス上にインストールしてしまうと、感染したデバイスが受信するSMSは全てトロイの木馬に傍受され、犯人へ転送されます。

2011年の最も注目すべき脅威

2011年の2月および3月には、ロシアで最も普及している支払い端末に対するTrojan.PWS.OSMPを用いた攻撃がありました。この悪意のあるプログラムは支払い端末のソフトウェア環境内で動作するmaratl.exeのプロセスに入り込み、ユーザーが入金するアカウントの番号を犯人のものとすり替えます。こうして、お金は直接犯罪者のアカウントに入金されるようになります。

Trojan.PWS.OSMPは、支払い端末の利用者に対して被害を与えた最初のマルウェアの1つです。このトロイの木馬はユーザーの送金先となるあらゆるアカウントの番号を変更することが可能です。また、このマルウェアの他の亜種は支払い端末からコンフィギュレーションファイルを盗みます。犯罪者はそれを利用してコンピューター上に偽の端末を作り、送金先を自分のアカウントに変更することが出来るようになります。

言及に値するもう1つのトロイの木馬にBackDoor.Dandeがあります。このトロイの木馬は薬品の注文に使用するクライアントアプリケーションから情報を盗むことを目的として設計され、収集されたデータにはコンピューター上にインストールされたソフトウェアに関する情報やユーザーアカウントパスワードなどが含まれます。犯罪者が最も関心を寄せているのは注文数および価格であると推測され、また盗まれた情報は全て暗号化されて犯人の操作するサーバーへと送信されます。このケースは特定の分野における情報のみを狙った、非常にまれなトロイの木馬であると言えるでしょう。

また昨年は、Androidモバイルプラットフォームを標的とした非常に興味深い悪意のあるプログラムも登場しました。その1つに、Androidを搭載した携帯電話から僅か60秒で全ての情報―アドレス帳、メール、通話やブラウザの履歴など―を盗み取るトロイの木馬Android.Gone.1があります。盗まれたデータはウイルス製作者によって作成されたwebサイトにダウンロードされ、ユーザーはそのデータにアクセスするために5ドルの支払いを要求されます。他に、ユーザーの知らないところでスマートフォン上のソフトウェアに対する高い権限を取得してしまうAndroid.DreamExploidトロイの木馬があります。その結果ユーザーは、制限された標準的なアクセス権限の代わりにシステム管理者権限を持つことになります。またこのトロイの木馬はインターネットからプログラムをダウンロード・インストールし、感染したデバイス上にある情報を収集して犯罪者に送信します。

2012年の脅威予測

2012年には、AndroidモバイルOSを狙った脅威のさらなる増加が予想され、また同プラットフォームに対するブロッカープログラムの出現も考えられます。これらの予測は、モバイルOS上では侵入者が遥かに容易く被害者の財布にアクセスすることが出来るという事実に基づいています。デスクトップOSの場合、例えば、まずWindowsをロックし、ユーザーを支払い端末に誘導するかまたはSMSを送信させる必要があり、そう簡単にはいきません。対して感染した携帯電話では、有料番号にSMSを送信、広告を表示、有料コンテンツをダウンロードさせることができ、ユーザーのアカウントから少しずつお金を搾り取ることが可能です。このブラックマーケットは規模が大きく、現在もハッカー達によって目覚ましい発展を続けています。様々な機能を搭載した最新のモバイルプラットフォームは、犯罪者達にとって絶好の機会を提供しているとも言えます。

また、産業オートメーションシステム―自動化プロセス制御システム 、アクセス管理、モニター、暖房装置、エアコン、空調、および工業・製造業で使用されるその他のコンピューター化されたシステムなど―を狙った特殊な脅威の拡散も考えられます。監視制御システム（SCADA）インフラも危険にさらされる可能性があります。そのようなシステムは電気・交通・採掘・石油・ガスなどの主要な産業で使用されているため、その脆弱性を悪用するマルウェアは特に危険であるとDoctor Webのアナリストは強調しています。

バンキングシステムやバンキングアクセスデータを狙った、進化した新たな脅威が出現する可能性も極めて高いと言えます。恐らく攻撃者達は、ユーザーのコンピューターやバンク－クライアントシステムに留まらず、バンキングの構造そのもの、さらには国有銀行までをも攻撃するようになるでしょう。フィッシングサイトやソーシャルネットワークに関するこれまでにない新しい詐欺手法の出現も予想されます。そのような詐欺手法のこれまでの動向から判断すると、攻撃者達は利用できるありとあらゆるテクノロジーを駆使し、ソーシャルネットワークサイトの新たな機能が登場すると同時にそれらの新機能を導入して目的を達成しようとするでしょう。例えば2011年、サイバー犯罪者達はソーシャルネットワークに埋め込まれたファイル共有機能、動画、さらにはユーザーを騙して投票させる目的でMozilla Firefoxブラウザのアドオンまでをも利用しています。犯罪者達はそれだけで満足することは無く、今後もさらに違法利益を得る為の新たな手法を編み出し続けていくことでしょう。

Top 20 malware detected in 2011 in mail traffic

総スキャン数: 181,136,303,763
感染数: 33,407,612 (0.02%)

2011年にユーザーのコンピューター上で検出されたマルウェアTop20

総スキャン数: 17,743,716,899,610,753
感染数: 1,560,049,362 (0.00%)