本記事は、Microsoft Security Blog のブログ“Are Viruses Making a Comeback?” (2013 年 5 月 16 日公開) を翻訳した記事です。
Trustworthy Computing (信頼できるコンピューティング) 部門、ディレクター、Tim Rains (ティムレインズ)
マイクロソフトセキュリティインテリジェンスレポート (SIR) を公開してきた 6、7 年間の中で、時間と共に多くの傾向が出現するのを目にしてきました。攻撃者は、標的とするシステムを侵害できる方法を見つけ出そうと企むため、脅威の状況は絶えず変化しています。ここ数年間、攻撃者はシステム攻撃の脅威としてウイルス (ファイル感染) 以外のカテゴリを用いており、ウイルスは攻撃者のお気に入りではなくなったように思われていました。
ダウンロード型およびドロッパー型のトロイの木馬、トロイの木馬全般、パスワード盗難および監視ツールは、多くの攻撃者が持つ利潤動機を満たしますが、ウイルスはそうではありません。ウイルスは、ユビキタスインターネット接続によってワームの自己増殖が容易になった時代の前に考え出された脅威です。SQL Slammer や Blaster のようなワームは数分間で世界中に広まります。古いタイプのファイル感染の場合は、世界中に広まるには非常に長い時間がかかるため、大量のシステムに短時間で感染する能力は限定的です。さらに、ウイルスは通常、侵害するシステムの大量のファイル (.exe、.dll、.scr) に感染しようとする比較的「騒がしい」脅威です。この特性によって、ウイルスは他の複合的な脅威よりも検出されやすい脅威となっています。
その結果、世界中で脅威が検出されたシステムの中で、ウイルス脅威カテゴリが 5% を超えることはほとんどありません。例外として、韓国やロシア、ブラジルなどの地域では、相対的なウイルスの度合いが 10 ~ 15% に達しています。しかし、最近になって気付いたのは、ウイルスが復活してきているということです。図 1 からわかるように、ウイルスの相対的な蔓延度は上向いています。ウイルス脅威カテゴリの世界的な蔓延度は、2012 年の第 4 四半期 (4Q12) には 7.8% でした。
図 1: 検出が報告されたすべてのコンピューターの割合に占める、脅威カテゴリごとの 3Q11 (2011 年第 3 四半期) ~ 4Q12 (2012 年第 4 四半期) における検出率。注: コンピューターによっては、各期間に検出された脅威の種類が 1 つ以上の場合があるため、期間ごとの合計が 100% を超える場合があります。
ウイルスの検出率が高い地域としては、パキスタン (脅威が検出されたシステムの 44% でウイルスを発見)、インドネシア (40%)、エチオピア (40%)、バングラデシュ (38%)、ソマリア (37%)、エジプト (36%)、アフガニスタン (35%) などがあります。挙げた国の一覧を見てみると、これらの地域のほとんどは、インターネット接続/帯域幅のレベルが北米やヨーロッパのレベルと同じではないようです。分析 (マイクロソフトセキュリティインテリジェンスレポートのスペシャルエディション「サイバーセキュリティポリシーとパフォーマンスのリンク」で公開) に基づくと、ブロードバンドの普及率と地域的なマルウェア感染率の間に -0.6 の相関が見られました。2011 年のブロードバンド契約件数 (住民 100 人あたりのブロードバンド契約件数) を見てみると (International Telecommunication Unionのデータを使用)、ウイルス感染度が比較的高い地域では、ブロードバンド普及率が比較的低いことがわかります。具体的には、バングラデシュ (0.31)、エチオピア (0.01)、エジプト (2.21)、インドネシア (1.13%) が挙げられます。
前述のすべての地域に関する完全なデータはありませんが、その中の一部の地域では、最新のリアルタイムウイルス対策ソフトウェアがインストールされていないコンピューターの割合は、世界全体での平均が 24% であるのに対して、30 ~ 40% であることがわかります。この洞察は、他の地域に比べて、これらの地域でウイルスが比較的蔓延している理由を説明するのに役立つかも知れません。
マイクロソフトが全世界で検出したウイルスのうち、最も蔓延しているのはWin32/Salityです (図 2 を参照)。2012 年に、マイクロソフトは全世界の 8,204,434 台のコンピューターで Sality を検出しました。Sality は多様な形のファイル感染を起こすファミリーで、.scr または .exe の拡張子を持つ実行可能ファイルを標的にしており、損害を与える機能を発動して特定の拡張子を持つファイルを削除し、セキュリティ関連のプロセスおよびサービスを停止する可能性があります。MS10-046 がインストールされていないシステム上の脆弱性 CVE-2010-2568 を悪用する機能が、作成者によって Sality に加えられました。これは、Stuxnet ワームが使用した脆弱性の 1 つです。
Sality は Windows XP での検出率トップ 5 の 1 つです (図 3 を参照)。新しいバージョンの Windows はそれほど Sality の被害に遭っていません。
図 2 (左) 、図 3 (右): 4Q12 にマイクロソフトによって最も検出されたマルウェアおよび迷惑ソフトウェアである可能性のあるもののファミリー、さまざまなプラットフォームでの蔓延度の順位 (出典: マイクロソフトセキュリティインテリジェンスレポート第 14 版)
|
|
Sality の被害が少なくないという事実は、ファイル感染が依然として有効であることを証明しています。以前のウイルスとは異なり、最近の攻撃者は情報を盗もうとしており、時には、コンピューターのマイクやカメラをオンにして情報を盗むこともあります。
良い知らせは、ウイルスは比較的防御しやすいものであることです。
- 1. 敵を知る: Sality の詳細については、この脅威について書かれた Microsoft Malware Protection Center のブログをご確認ください。http://blogs.technet.com/b/mmpc/archive/2010/07/30/stuxnet-malicious-lnks-and-then-there-was-sality.aspx
- 2. 最新のセキュリティ更新プログラムでシステム上のすべてのソフトウェアを最新の状態に保つ。可能な限り新しいバージョンのソフトウェアを実行する。
- 3. 既知の信頼できるベンダーが提供している最新のリアルタイムウイルス対策を実行する。
- 4. 必要な場合を除き、USB ドライブのようなリムーバブルメディアを使ってデータを転送しないようにする。