G Dataセキュリティラボの集計データによれば、2011年12月度に、上位を占めたマルウェア(=拡散の度合いが高かったマルウェア種)は以下のとおりでした。
≪2011年12月度マルウェア活動上位10種≫
1 Exploit.CplLnk.Gen 1.69% やや上昇 (11月2位)
2 Trojan.Wimad.Gen.1 0.96% 上昇 (11月6位)
3 Java.Exploit.CVE-2010-0840.E 0.95% やや下降 (11月1位)
4 Win32:DNSChanger-VJ [Trj] 0.86% 同 (11月4位)
5 Worm.Autorun.VHG 0.83% やや上昇 (11月3位)
6 Trojan.AutorunINF.Gen 0.68% やや下降 (11月5位)
7 Trojan.IFrame.YX 0.66 % 新
8 Application.Keygen.BG 0.46% 同 (11月8位)
9 Java.Trojan.Downloader.OpenConnection.AI 0.39% やや下降 (11月7位)
10 Gen:Variant.Kazy.45847 0.34% 新
注:「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降
12月のマルウェア動向は、基本的には11月と同様に、脆弱性を狙った攻撃、USBメモリからの侵入、ファイル共有ネットワーク関連の攻撃が主で、大きな変動は見られませんでした。
しかし、このうち、12月度に10位に新たにランクインされた「Gen:Variant.Kazy.45847」は、solidcore32.dllという名の.dllファイルで、コンピューターゲーム「ANNO 2070」をクラックするのに使用されます。個人情報を盗み出すなどの機能をもったマルウェアではありませんが、潜在的に望まれていないプログラムである「PUP」に属することから、G Dataならびに主要ウイルス対策ソフトはこれを「悪意あるファイル」として検知します。
「ANNO 2070」は、日本でも「創世記」というタイトルで人気を博してきた都市建設シミュレーションのシリーズ最新作で、Windows XP以上で動作するコンピュータゲームソフトです。本作では資源枯渇した近未来を舞台としており、はやくも上位マルウェアにランクインするほど、欧米を中心に人気が高まっているようです。なお、1月27日には、日本語版マニュアル付英語版も発売されます(発売元:ズー、販売元:イーフロンティア: (リンク ») )ので、くれぐれも商用ソフトの購入や利用は、正規の方法をとるよう、お勧めします。
≪上位10種のマルウェアについて≫
1 Exploit.CplLnk.Gen
このエクスプロイトは、ウィンドウズのショートカットのプロセスにおいて.lnkや.pifファイルが不完全であることが確認された場合に使用され、2010年半ば以降、CVE-2010-2568(Stuxnetも利用した脆弱性)して知られています。ショートカットリンクを正しく処理しないことで任意のコードの実行を許し、偽装ショートカットファイル(.lnk)をウィンドウズのエクスプローラーでアイコン表示することにより、攻撃者のコードが実行されます。このコードは、ローカルのファイルシステム(たとえば、リムーバブル記憶装置から)から、あるいは、インターネット上のWebDAVシェアによってロードされます。
2 Trojan.Wimad.Gen.1
トロイの木馬型マルウェアです。普通の音声ファイル(.wma形式)に見せかけ、特殊なコーデックがなければ聞くことができないとそそのかして、ウィンドウズのシステムにインストールさせます。実行してしまうと、攻撃者は数々のマルウェアを送り込みます。ファイル共有などのP2Pネットワークに数多く潜んでいます。
3 Java.Exploit.CVE-2010-0840.E
このJavaベースのマルウェア・プログラムは、CVE-2010-0840脆弱性を利用しようとするダウンロード・アプレットであり、サンドボックスの保護機構の裏をかき、かつコンピューター上に新たにマルウェアを追加ダウンロードします。そして、アプレットが一度サンドボックスをだましてしまえば、dllファイルのダウンロードが可能になります。このファイルは直ちには実行されませんが、Microsoft Register Server (regsvr32)のヘルプを伴うサービスとして登録され、後にシステムが立ち上がる際に自動的に開始されます。
4 Win32:DNSChanger-VJ [Trj]
ルートキットの一部で、他のマルウェアのコンポーネントを保護しようとします。たとえば、ソフトウェア更新や定義ファイルのアップデートのためのサイトへのアクセスを遮断してしまいます。DNS(ドメインネームサービス)のレゾリューションが操作されてしまうので、「DNSチェンジャー」と呼ばれています。
5 Worm.Autorun.VHG
ワーム型で、ウィンドウズOSの自動実行機能(autorun.inf)を使って拡散します。USBメモリや外付ハードディスクドライブなどを介して感染します。「CVE-2008-4250」という脆弱性を悪用しています。
6 Trojan.AutorunINF.Gen
トロイの木馬型で、ウィンドウズOSの自動実行機能(autorun.inf)を使い、USBメモリや外付ハードディスクドライブ、CDやDVDなどを介して侵入します。これはジェネリック検知で、既知のものと未知のもの両方の自動実行機能ファイルにかかわります。
7 Trojan.IFrame.YX
マルウェアの疑いの高いアドウェアの拡散と関係しており、主に、無料レンタルサーバーを使ったサイトで多く発見されます。自由な集合ウェブサイトで主として見つけられました。アクセスしてから30分以内のサイト訪問者をチェックし、それ以上の時間アクセスしている場合、IFrameは広告の配信を開始し、マルウェア感染する事態に陥る可能性が高まります。
8 Application.Keygen.BG
有料ソフトウェアのインストールに必要なシリアルナンバーを勝手に生成するキージェネレータのふりをするマルウェアです。P2Pネットワークやワレズサイトに非常に頻繁に現れています。このアプリケーションの実行は、法的な問題だけではなく、同様に、無数のセキュリティ上のリスクを持っており、ボットに組み込まれたりデータを盗み出されたりするおそれがあります。
9 Java.Trojan.Downloader.OpenConnection.AI
ウェブサイトに仕掛けられたトロイの木馬型のマルウェアであり、その性質から「ダウンローダー」と呼ばれています。Javaアプレットがブラウザにダウンロードされる際に、アプレットのパラメーターからURLを生成し、このURLを使って不正実行ファイルをユーザーのコンピューターにアップロードし、プログラムを走らせます。「CVE-2010-0840」という脆弱性が利用され、Javaのサンドボックスから抜け出し、パソコンを乗っ取ります。
10 Gen:Variant.Kazy.45847
潜在的に望まれていないプログラム(PUP)に属します。solidcore32.dllという名の.dllファイルで、コンピューターゲーム「ANNO 2070」をクラックするのに使用されます。ゲーム・ファイルを修正すると、悪意あるファイルとみなされ検知されます。
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。2011年にはアンドロイド端末向けのセキュリティアプリも発売しました。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人
E-mail: gdata_japan_info@gdatasoftware.com
URL: (リンク »)
お問い合わせにつきましては発表元企業までお願いいたします。