Kaspersky Lab は、2010 年 2 月のマルウェアマンスリーレポートを発表します。
ユーザの PC 上で検知されたマルウェアランキング
1 つめのランキングでは、最初のアクセスで (オンアクセススキャナによって) 検知・駆除されたマルウェア、アドウェアおよび潜在的に危険なプログラムの TOP20 がリストアップされています。
| 順位 | 順位変動 | マルウェア名 | 感染した PC の台数 |
| 1 | 
0
|
Net-Worm.Win32.Kido.ir | 274729 |
| 2 | 
1
|
Virus.Win32.Sality.aa | 179218 |
| 3 |
1
|
Net-Worm.Win32.Kido.ih | 163467 |
| 4 | 
-2
|
Net-Worm.Win32.Kido.iq | 121130 |
| 5 |
0
|
Worm.Win32.FlyStudio.cu | 85345 |
| 6 |
3
|
Trojan-Downloader.Win32.VB.eql | 56998 |
| 7 | 
新規
|
Exploit.JS.Aurora.a | 49090 |
| 8 |
9
|
Worm.Win32.AutoIt.tc | 48418 |
| 9 |
1
|
Virus.Win32.Virut.ce | 47842 |
| 10 |
4
|
Packed.Win32.Krap.l | 47375 |
| 11 |
-3
|
Trojan-Downloader.WMA.GetCodec.s | 43295 |
| 12 |
0
|
Virus.Win32.Induc.a | 40257 |
| 13 |
新規
|
not-a-virus:AdWare.Win32.RK.aw | 39608 |
| 14 |
-3
|
not-a-virus:AdWare.Win32.Boran.z | 39404 |
| 15 |
1
|
Worm.Win32.Mabezat.b | 38905 |
| 16 |
新規
|
Trojan.JS.Agent.bau | 34842 |
| 17 |
3
|
Packed.Win32.Black.a | 32439 |
| 18 |
1
|
Trojan-Dropper.Win32.Flystud.yo | 32268 |
| 19 | 
リエントリ
|
Worm.Win32.AutoRun.dui | 32077 |
| 20 |
新規
|
not-a-virus:AdWare.Win32.FunWeb.q | 30942 |
今月も上位 5 位のプログラムには変動がありませんでしたが、感染した PC の台数から判断すると Kido の大流行は次第に収まりつつあるようです。
Exploit.JS.Aurora.a はその名の通り、さまざまなソフトウェアの脆弱性を悪用するように設計されたものです。今月、サイバー犯罪者によって頻繁に使用された結果、7 位にランクインしています。
Exploit.JS.Aurora.aの他に今回新たにランクインしたのは、2 つのアドウェアです。
20 位にランクインしたFunWeb.q は典型的なアドウェアといえます。このプログラムは、よく使用されるブラウザ用のツールバーの形態をとり、特定の Web サイト (通常、マルチメディアが掲載されているサイト) へのクイックアクセス機能があります。また、ユーザが訪問した Web サイトのページを改ざんして広告を表示させます。
一方で、13 位のnot-a-virus:AdWare.Win32.RK.aw はより複雑なプログラムです。これはRelevantKnowledge というソフトウェアであり、他のソフトウェアと同梱された状態で配布とインストールが実行されます。RelevantKnowledge 開発元のプライバシーポリシーおよびサービス規約 (http://www.relevantknowledge.com/RKPrivacy.aspx) によると、このソフトウェアはユーザの全活動 (特にインターネット上の活動) の監視、ユーザの個人情報の自動的な収集と開発元のサーバへの保存を実行します。サービス規約には、収集されたデータはすべて「インターネットの未来の方向を決定する」目的で利用され、データの保全性は確保されていると記載されていますが、これが事実かどうかを判断するのはユーザ個人になります。
インターネット上のマルウェアランキング
2 つめのランキングは、ウェブアンチウイルスコンポーネントの統計結果であり、インターネットの状況を反映しています。ランクインしているのは、Web ページで検知されたマルウェアおよび Web ページからのダウンロードを試みたマルウェアです。
| 順位 | 順位変動 | マルウェア名 | ダウンロード試行回数 |
| 1 |
リエントリ
|
Trojan-Downloader.JS.Gumblar.x | 453985 |
| 2 |
-1
|
Trojan.JS.Redirector.l | 346637 |
| 3 |
新規
|
Trojan-Downloader.JS.Pegel.b | 198348 |
| 4 |
3
|
not-a-virus:AdWare.Win32.Boran.z | 80185 |
| 5 |
-2
|
Trojan-Downloader.JS.Zapchast.m | 80121 |
| 6 |
新規
|
Trojan-Clicker.JS.Iframe.ea | 77067 |
| 7 |
新規
|
Trojan.JS.Popupper.ap> | 77015 |
| 8 |
3
|
Trojan.JS.Popupper.t | 64506 |
| 9 |
新規
|
Exploit.JS.Aurora.a | 54102 |
| 10 |
新規
|
Trojan.JS.Agent.aui | 53415 |
| 11 |
新規
|
Trojan-Downloader.JS.Pegel.l | 51019 |
| 12 |
新規
|
Trojan-Downloader.Java.Agent.an | 47765 |
| 13 |
新規
|
Trojan-Clicker.JS.Agent.ma | 45525 |
| 14 |
新規
|
Trojan-Downloader.Java.Agent.ab | 42830 |
| 15 |
新規
|
Trojan-Downloader.JS.Pegel.f | 41526 |
| 16 |
リエントリ
|
Packed.Win32.Krap.ai | 38567 |
| 17 |
新規
|
Trojan-Downloader.Win32.Lipler.axkd | 38466 |
| 18 |
新規
|
Exploit.JS.Agent.awd | 35024 |
| 19 |
新規
|
Trojan-Downloader.JS.Pegel.k | 34665 |
| 20 |
新規
|
Packed.Win32.Krap.an | 33538 |
インターネット上のマルウェアの状況は、今月顕著な変化が見られました。
まず、1 月にランキングから姿を消した Gumblar.x が、再度ランキングの上位に戻ったことです。先月、Gumblar の 3 回目の大流行の可能性について示唆しましたが、すぐに実現する結果となりました。しかし今回は、前回とは異なり、サイバー犯罪者の手法は大きく変わっていません。Web サイトに大量感染させる前に、サイトへのアクセスに使用されるデータを新たに収集し続けているのです。Gumblar の今後の動向にはしばらく注意する必要があります。
図1 Gumblar.x に感染した Web サイトの数
次に注目すべきは Pegel の大発生です。今年の 1 月から増加し始め、今月は約 6 倍まで感染数が増加しています。新たにランクインした 6 つのマルウェアのうち 4 つがこのファミリーに属するもので、1 つは一気に 3 位にランクインしています。このダウンローダは、合法な Web サイトに感染するという点でGumblar と共通しています。感染した Web サイトを訪問したユーザは、悪意あるスクリプトにより、サイバー犯罪者のリソースにリダイレクトされます。ユーザが疑問を持たないように、悪意ある Web サイトの URL には有名な Web サイトの名前が使われています。例えば、以下のような URL です。
http://avast-com.deviantart.com.dangdang-com.**********.ru:8080/wsj.com/wsj.com/google.com/nokia.com/aweber.com.php
これらのリンク先の Web ページには、さまざまな方法でマルウェアをダウンロードするスクリプトが含まれています。ダウンロード方法の大半は従来通りで、Internet Explorer (CVE-2006-0003)、Adobe Reader (CVE-2007-5659、CVE-2009-0927) などの、よく使用されるソフトウェアの脆弱性を悪用するものや、特別な Java アプレットを介してダウンロードするものです。ダウンロードされるマルウェアは悪名高い Backdoor.Win32.Bredolab で、さまざまな悪意あるパッカーにより圧縮されたものです。悪意あるパッカーは、例えば Packed.Win32.Krap.ar や Packed.Win32.Krap.ao のようなマルウェア名で検出されます。このマルウェアについては過去すでにご紹介しましたが (http://www.viruslist.com/en/analysis?pubid=204792083)、ユーザの感染した PC をリモートで管理するという主な機能のほかに、別のマルウェアをダウンロードする機能も持っています。
さきに述べた Exploit.JS.Aurora.a に話を戻しましょう。ランキングで 9 位になっている Aurora.a は、脆弱性 CVE-2010-0249 を狙ったエクスプロイトで、1 月に Internet Explorer のいくつかのバージョンを狙った攻撃が行われた後で識別されました。
Google や Adobe といった大手企業をターゲットにしたこの攻撃は、IT 関連メディアを大いに騒がせました。使用されたマルウェアのパス名にちなんで、この攻撃は Aurora と名付けられました。この攻撃の目的は、個人情報やプロジェクトソースコードなどの企業知的財産へのアクセスです。この攻撃ではメール配信が使用されました。配信されたメールに添付されたリンクは、エクスプロイトが組み込まれた悪意ある Web サイトへのリンクです。Web サイトに組み込まれたエクスプロイトは、ユーザに気付かれることなくマシンにマルウェアをダウンロードしました。
図2 Exploit.JS.Aurora.a の亜種のコード
意外なことに、マイクロソフトの開発者が攻撃の数ヶ月前にこの脆弱性に気付いていたにもかかわらず、パッチが配布されたのは攻撃から数週間も後でした。パッチが配布された時点でエクスプロイトのソースコードは公開済みの状態だったので、サイバー犯罪者の大半は競ってそのソースコードを使用した攻撃を仕掛けていました。この脆弱性を悪用するマルウェアの亜種は、当社のアーカイブだけでも 100 種類以上にのぼります。
上記の事実から、結論は自ずと明らかです。よく使用されるソフトウェアの脆弱性が、ユーザとユーザの個人情報にとって一番の脅威である点は変わりません。サイバー犯罪者が、数年前に発見された脆弱性を依然として使用している事実は、それらの脆弱性がまだセキュリティ上の脅威であることを証明するものです。残念ながら、大手ベンダー製のソフトウェアを定期的に更新していても、セキュリティは完全には保証されません。ベンダーによるパッチのリリースが遅れることがあるからです。したがって、PC の使用時には注意が必要です。特にネットサーフィンをする際には細心の注意を払う必要があります。もちろん、アンチウイルス製品を最新の状態に保っておくことは言うまでもありません。
