2011年10月24日

フリーウェアのインストール時におけるマルウェア感染にご注意を ~9月度のマルウェア活動状況について~

G Data Software株式会社   http://www.gdata.co.jp/
G Data Software株式会社(本社:東京都千代田区、日本支社長:Jag 山本)は、セキュリティラボにおいて収集された2011年9月度のコンピュータ・マルウェア動向情報の分析を行いました。その結果、上位には、アドウェアが数多くみられたこと、また、USBメモリ感染型、Java脆弱性を狙った攻撃も多く、これらのタイプのマルウェアについては特に注意を向ける必要があることを報告します。
 
2011年9月度に、上位を占めたマルウェア(=拡散の度合いが高かったマルウェア種)の特徴は、三点にまとめられます。
 
第一に、アドウェアが、上位10件のうち4件を占めました。厳密に言うと、アドウェアはPUP(瀬在的に望まれていないプログラム)に分類され、ソーシャルエンジニアリング的な要素が強いのですが、「マルウェア」として説明します。フリーウェアには、インストール時に本来選択していないプログラムまで一緒にインストールさせるものが多数あり、そこで知らずに侵入されることがあります。英語表記のプログラムの場合、特に注意が必要です。メッセージやコメントを、しっかりと読む習慣をつけるとよいでしょう。
 
第二は、USBメモリを介して感染させるタイプのマルウェアが、上位に2種含まれていました。かつてほどの猛威をふるっているわけではありませんが、コンフィッカーと似たタイプなので、予断は許しません。USBメモリ使用の際には、圧縮ファイルの検知能力の高いものを選ぶとよいでしょう。
 
第三は、Java関連のマルウェアが、上位に2種含まれていました。これらは、Javaの脆弱性を解消することによって、脅威から身を守ることが可能なので、常にアップデートを行い最新の状態にすることをお勧めします。
 
国内では、アプリから感染するアンドロイドのマルウェアや、大企業や軍事・原発関連企業の機密情報を狙った標的型攻撃に注目が集まっていますが、個人や家庭などでのパソコンにおいては、上記のようなマルウェアの動向にも、十分ご注意ください。
 
 
2011年9月のマルウェア上位10種
順位 マルウェア名     比率   傾向
1 Generic.Adware.Adseo.7722145B 1.76%
2 Trojan.AutorunINF.Gen 0.97% やや下降 (8月4位)
3 Worm.Autorun.VHG 0.95% 同 (8月3位)
4 Trojan.Wimad.Gen.1 0.92% やや上昇  (8月5位)
5 Exploit.CplLnk.Gen 0.83% やや上昇 (8月6位)
6 Generic.Adware.Adseo.38E3FFEE   0.76% 新 
7 Java:Agent-US [Expl] 0.62%
8 Gen:Variant.Adware.Hotbar.1 0.58% 下降  (8月2位)
9 Adware.Hotbar.GG 0.42%
10 Java.Trojan.Downloader.OpenConnection.AI 0.42% やや下降 (8月9位) 
 
注:「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降
 
 
上位マルウェアの説明
 
1 Generic.Adware.Adseo.7722145B 
名称が示すとおり、ある特定のマルウェア・プログラムの検出ではなく、マルウェアの挙動やコードの分析から検出されたもので、通称「ジェネリック検知」と呼んでいます。複数のマルウェア・プログラムを含む場合があります。アドウェアは、PUP(潜在的に望まれていないプログラム)です。フリーウェアの様々なタイプをインストールする場合は、アドオンソフトウェアは、しばしば同様に、実際に必要なソフトウェアとしてインストールされます。「インストールしない」という選択肢をユーザーが見逃すのも、しばしばです。これは通常、ソフトウェアは、プロバイダー以外のところからダウンロードされるときに、発生します。
 
2 Trojan.AutorunINF.Gen 
トロイの木馬型で、ウィンドウズOSの自動実行機能(autorun.inf)を使い、USBメモリや小型ハードディスクドライブ、CDやDVDなどを介して侵入します。
 
3 Worm.Autorun.VHG 
ワーム型で、ウィンドウズOSの自動実行機能(autorun.inf)を使って拡散します。USBメモリや小型ハードディスクドライブなどを介して感染します。「CVE-2008-4250」という脆弱性を悪用しています。
 
4 Trojan.Wimad.Gen.1 
トロイの木馬型マルウェアです。普通の音声ファイル(.wma形式)に見せかけ、特殊なコーデックがなければ聞くことができないとそそのかして、ウィンドウズのシステムにインストールさせます。実行してしまうと、攻撃者は数々のマルウェアを送り込みます。ファイル共有などのP2Pネットワークに数多く潜んでいます。
 
5 Exploit.CplLnk.Gen 
この攻撃は、ウィンドウズシェルのショートカットのプロセスでの.Inkや.pifのチェッキングにおけるエラーを使用します。2010年半ば以降、CVE-2010-2568として知られている、スタクスネットも取り入れた脆弱性を悪用します。ショートカットリンクを正しく処理しないことで任意のコードの実行を許し、偽装ショートカットファイル(.lnk)をウィンドウズのエクスプローラーで表示することによりコード実行が行われます。
 
6 Generic.Adware.Adseo.38E3FFEE 
名称が示すとおり、ある特定のマルウェア・プログラムの検出ではなく、マルウェアの挙動やコードの分析から検出されたもので、通称「ジェネリック検知」と呼んでいます。複数のマルウェア・プログラムを含む場合があります。アドウェアは、PUP(潜在的に望まれていないプログラム)です。フリーウェアの様々なタイプをインストールする場合は、アドオンソフトウェアは、同様に、実際に必要なソフトウェアとしてインストールされます。「インストールしない」という選択肢をユーザーが見逃すのも、しばしばです。これは通常、ソフトウェアは、プロバイダー以外のところからダウンロードされるときに、発生します。
 
7 Java:Agent-US [Expl]
このJavaベースのマルウェア・プログラムは、サンドボックスによる保護メカニズムの裏をかき、また、コンピューター上にさらに新たなマルウェアをダウンロードするために、セキュリティの脆弱性(CVE-2010-0840)を使用しようとするダウンロード・アプレットです。一旦アプレットがサンドボックスをだましたならば、それは.dllファイルをダウンロードし、アクティブエックスのコンポーネントとしてそれを登録します。
 
8 Gen:Variant.Adware.Hotbar.1
このアドウェアは、VLCやXviDなどを含む、フリーソフトウェアパッケージの一部として、本来の提供者ではないサイトからダウンロードされるものです。アドウェアは、PUP(潜在的に望まれていないプログラム)です。現在のスポンサーは「クリックポテト」(Clickpotato)と「ホットバー」(Hotbar)です。すべてのパッケージには、デジタルで「ピンボール株式会社」と署名されており、アドウェアは、自動的にシステムトレイのアイコンに組み込まれ、Windowsが起動されるたびに作動します。
 
9 Adware.Hotbar.GG
「Smartshopper」や「買物レポート」といったツールバーあるいはその類といった、ブラウザー・ヘルパー・オブジェクト(BHO)として侵入するアドウェアです。アドウェアは、PUP(潜在的に望まれていないプログラム)です。ファイルは、「Pinball株式会社」、あるいはある場合には「Smartshopperテクノロジーズ」によってデジタルで署名されます。以前に引用されたブラウザ・アドインは、製品上の価格比較を提供し、ピンボール(Pinball)会社のパートナーによって提供される特殊業務を提示します。
 
10 Java.Trojan.Downloader.OpenConnection.AI
ウェブサイトに仕掛けられたトロイの木馬型のマルウェアであり、その性質から「ダウンローダー」と呼ばれています。Javaアプレットがブラウザにダウンロードされる際に、アプレットのパラメーターからURLを生成し、このURLを使って不正実行ファイルをユーザーのコンピューターにアップロードし、プログラムを走らせます。「CVE-2010-0840」という脆弱性が利用され、Javaのサンドボックスから抜け出し、パソコンを乗っ取ります。
 
 
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。2011年にはアンドロイド端末向けのセキュリティアプリも発売しました。
 
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
 
【本リリースに関する問合せ先】 
G Data Software株式会社 
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人 
E-mail: gdata_japan_info@gdatasoftware.com 
TEL: 03-3526-6605 
URL: http://www.gdata.co.jp/