今なお、パソコンのマルウェアは、大量拡散中~G Data

7月度のマルウェア活動状況について

G Data Software株式会社

2011-08-18 18:00

2011年7月のコンピュータ・マルウェア動向を分析した結果、上位には、特に新奇な攻撃はありませんでした。しかし、過去に活動が盛んだった種類のマルウェアが大量に拡散しており、引き続き注意が必要です。
G Data Software株式会社(本社:東京都千代田区、日本支社長:Jag 山本)は、セキュリティラボにおいて収集された2011年7月のコンピュータ・マルウェア動向情報の分析を行い、その結果、上位には、特に新奇な攻撃はなかったものの、過去に活動が盛んだった種類が大量に拡散中であることが判明しました。

2011年上半期のマルウェア状況は、アンドロイド形態におけるマルウェアの増加が、最大のトピックでした。ゲイニーミーやドリームドロイドなど、洗練されたコードをもつマルウェアが、中国や日本において登場しました。

しかし一方で、ウィンドウズOSにおけるマルウェアは、決して減少したわけではありません。2006年よりこの5年間、毎年激増を続けており、昨年はついに年間200万の新種マルウェアが確認され、今年もほぼ同数で推移しています(正確な数値については後日、「2011年上半期マルウェアレポート」にて発表します)。

また、攻撃の多かった上位のマルウェアについては、特に新たに注意を喚起すべきものは登場せず、むしろ、過去に活動が盛んだった種類で占められました。つまり、数的にも、攻撃内容についても、ほぼ出尽くした感があります。

なお、2011年7月に上位を占めたマルウェアの特徴は、三点にまとめられます。第一は、USBメモリを介して感染させるもの、第二は、ファイル感染型、第三は、Javaベースのダウンローダーでした。

まず、もっとも頻出したマルウェアは、「Exploit.CplLnk.Gen」で、USBメモリを介して感染させるものでした。これは、2010年7月に出現したもので、ウィンドウズのショートカットに関する脆弱性を狙い、ショートカットファイル(.lnk)のアイコンが表示されただけで不正なプログラムを実行してしまいます(現在この脆弱性は、すでにマイクロソフトが対応済みです)。

次に、ファイル感染型のマルウェアは、「Ramnit」と呼ばれ、2種が上位に入りました。実行ファイルを介して不正コードを拡散させるので、感染報告数が多くなっているということもありますが、バックドア機能によりボット化や情報漏出などのおそれがあるので、十分に注意が必要です。

最後に、今年の初頭より頻出しているJavaをベースにしたダウンローダーも、引き続き上位に入り、今なお、拡散し続けています。これも修正プログラムをアップデートすることで対処できますが、新種も登場する可能性があるので、注意を怠らないようにすべきでしょう。

ウィンドウズOSで活動するマルウェアの数は、この5年間に50倍ほどに急上昇してきました。その数は、現在、ほぼピークに近づいており、今後このような累乗的な増加はないと考えられますが、他方で、アンドロイド端末やiPhoneなどのマルウェアが増加してゆく可能性もあります。G Dataでは、今後は、ウィンドウズOSのマルウェアを中心としながらも、他のマルウェアの挙動についても注意深くフォローしてまいります。


*2011年7月のマルウェア上位10種
順位 マルウェア名              比率  傾向*
01 Exploit.CplLnk.Gen            1.20% 新
02 Trojan.Wimad.Gen.1            1.05% やや下降
03 Worm.Autorun.VHG              1.00% やや下降
04 Trojan.AutorunINF.Gen           0.94% 同
05 Gen:Variant.Adware.Hotbar.1        0.81% やや下降
06 Win32.Ramnit.N              0.61% 新
07 Java.Trojan.Exploit.Bytverify.Q      0.61% やや下降
08 Java.Trojan.Downloader.OpenConnection.AI 0.59% やや下降
09 Win32.Ramnit.C              0.56% 新
10 Java.Trojan.Downloader.OpenConnection.AN 0.48% 下降

注:「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降


上位マルウェアの説明

Exploit.CplLnk.Ge
この攻撃は、ウィンドウズシェルのショートカットのプロセスでの.Inkや.pifのチェッキングにおけるエラーを使用します。2010年半ば以降、CVE-2010-2568として知られている、スタクスネットも取り入れた脆弱性を悪用します。ショートカットリンクを正しく処理しないことで任意のコードの実行を許し、偽装ショートカットファイル(.lnk)をウィンドウズのエクスプローラーで表示することによりコード実行が行われます。

Trojan.Wimad.Gen.1
トロイの木馬型マルウェアです。普通の音声ファイル(.wma形式)に見せかけ、特殊なコーデックがなければ聞くことができないとそそのかして、ウィンドウズのシステムにインストールさせます。実行してしまうと、攻撃者は数々のマルウェアを送り込みます。ファイル共有などのP2Pネットワークに数多く潜んでいます。

Worm.Autorun.VHG
ワーム型で、ウィンドウズOSの自動実行機能(autorun.inf)を使って拡散します。USBメモリや小型ハードディスクドライブなどを介して感染します。「CVE-2008-4250」という脆弱性を悪用しています。

Trojan.AutorunINF.Gen
トロイの木馬型で、ウィンドウズOSの自動実行機能(autorun.inf)を使い、USBメモリや小型ハードディスクドライブ、CDやDVDなどを介して侵入します。

Gen:Variant.Adware.Hotbar.1
このアドウェアは、VLCやXviDなどを含む、フリーソフトウェアパッケージの一部として、本来の提供者ではないサイトからダウンロードされるものです。現在のスポンサーは「クリックポテト」(Clickpotato)と「ホットバー」(Hotbar)です。すべてのパッケージには、デジタルで「ピンボール株式会社」と署名されており、アドウェアは、自動的にシステムトレイのアイコンに組み込まれ、Windowsが起動されるたびに作動します。

Win32.Ramnit.N
Win32.Ramnit.C
ハードディスクに保存されている実行ファイル(.exe)、ダイナミックライブラリ(.dll)、およびHTMLファイルを感染させる古典的なファイルインフェクターです。感染した実行ファイルを実行し、感染したダイナミックライブラリをロードしたあと、これらのファイルを実行した後、別の実行ファイルをコンピュータにコピーします。また、オートスタート機能は、それぞれのリブートに関する感染ファイルを実行するために作成されます。インフェクターはhttpかhttpsを介していくつかのサーバーに接続します。定期的に、ハードディスクにあるあらゆるローカルフォルダーをスキャンし、いくつか、もしくはすべての実行ファイル、ダイナミックライブラリ、そして、HTMLファイルをドロッパーを使って感染させます。これは元々感染したファイルと同じファイルインフェクターをコピーします。感染したHTMLファイルは、ユーザーがIEブラウザを使ってウェブサイトを開くとき、インフェクターをコピーするVBスクリプトを含んでいます。しかしながら、バージョン6.0から、IEは、スクリプトが本当に実行されるべきであるかどうか尋ねるようになりました。

Java.Trojan.Exploit.Bytverify.Q
この攻撃は、CVE-2010-0094で説明されている、Java実行環境における脆弱性を利用しています。攻撃が成功すると、攻撃者は、Javaサンドボックスの制限を回避し、悪質なコードを実行できるようになります。たとえば、さらに悪質なコードを送り込むことが可能です。脆弱性を解消していないと、ウェッブページ上で動くJavaアプレットを通じて、感染します。

Java.Trojan.Downloader.OpenConnection.AI
Java.Trojan.Downloader.OpenConnection.AN
これらは、いずれもウェブサイトに仕掛けられたトロイの木馬型のマルウェアであり、その性質から「ダウンローダー」と呼ばれています。Javaアプレットがブラウザにダウンロードされる際に、アプレットのパラメーターからURLを生成し、このURLを使って不正実行ファイルをユーザーのコンピュータにアップロードし、プログラムを走らせます。「CVE-2010-0840」という脆弱性が利用され、Javaのサンドボックスから抜け出し、パソコンを乗っ取ります。

Java:Agent-DU [Expl]
このJavaベースのマルウェアプログラムはダウンロードアプレットで、セキュリティーホール(CVE-2010-0840)を悪用し、その結果、サンドボックス保護メカニズムを回避させ、追加マルウェアをコンピュータにダウンロードします。このアプレットがいったんサンドボックスを騙してしまうと、以後は直接実行ファイルをダウンロードし実行することができるようになります。

Adware.Hotbar.GG
このアドウェアもPUPであり、ブラウザに機能を追加するアドオン(ブラウザ・ヘルパー・オブジェクト)として、「スマートショッパー」や「買い物レポート」といった(英文の)ツールバーを組み込みます。ファイルのデジタル署名は「ピンボール社」、または、「スマートショッパー・テクノロジーズ」となっています。以前に登場したブラウザアドインは、製品の価格比較を提供し、ピンボール社のパートナーによって提供された特別サービス情報などを提示しました。



ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。

*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。

【本リリースに関する問合せ先】 
G Data Software株式会社 
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人 
E-mail: gdata_japan_info@gdatasoftware.com 
URL:  (リンク »)

このプレスリリースの付帯情報

*2011年7月のマルウェア上位10種

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

G Data Software株式会社の関連情報

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]