logo

夏のマルウェア対策は、Java、USB、PUPを重点的に

~6月度のマルウェア活動状況の分析結果より~

相変わらずJava脆弱性が狙われています。また、USBオートラン機能による感染も続いています。さらに、ユーザーが意図せずに許諾してしまうフリーソフトによるPUPの活動も目立ちました。

G Data Software株式会社(本社:東京都千代田区、日本支社長:Jag 山本)は、2011年6月のコンピュータ・マルウェア動向を分析した結果、全体的にはJavaの脆弱性を狙った攻撃がもっとも多く、また、USBメモリのオートラン機能を悪用するものも根強く出現しており、さらに、フリーツールをインストールした際に立ちあがる広告PUP(=不審プログラム)の活動も目立ちました。パソコンユーザーの夏のマルウェア対策は、これら「Java」「USB」「PUP」からはじめることをお勧めします。
 
(1)旧バージョンのJavaの削除を
Java関連のマルウェアは、2011年6月にも活発に活動しており、驚くべきことに、上位10のマルウェアのうち、半数が2010年3月以降オラクルが提供しているアップデートで改善されている脆弱性を狙って侵入しようとするものでした。
 
Java感染への対策として、まず、Javaのバージョンを確認してください。
 
確認ページ: リンク
 
もし最新版が入っていないようであれば、新しいバージョンのものを導入してください。また、入れる前に、古いバージョンの削除をお勧めします。オラクルのウェブサイトでは「古いバージョン、または、サポートが終了しているJavaのバージョンを使い続けているとかなり危険なセキュリティリスクがあります」と指摘されています。
 
旧バージョンの削除についてはこちら:
リンク
 
 
(2)オートラン(USB)は手動起動に
「USBウイルス」といわれている「オートラン」は、依然としてよく使われる攻撃手法の一つです。「オートランの主な目的は、コンピュータ上で起動するハードウェア動作へのソフトウェア対応を提供することです」と、マイクロソフトは説明します。
 
たとえば、USBメモリをコンピュータに接続すると、オートラン機能が実行可能になっている状態であれば、自動的にマウントされてしまいます。
 
マルウェアがこの自動実行を利用するのを防ぐためには、このオートラン機能を手動で停止させねばなりません。
 
Windows7では初期状態では自動起動しないように改善されましたが、その他のOSでは自動起動されてしまいます。
  
Windows の自動実行機能を無効にする方法:
リンク
 
 
(3)身元不明のソフトやアドインを使わない
「PUP」とは、「潜在的に望ましくないプログラム」(Potentially Unwanted Programs)の略称です。一般的には「不審プログラム」「怪しいプログラム」と訳されています。
 
ユーザーは使用許諾を受け入れてプログラムをインストールしているため、「マルウェア」ではないのですが、ユーザーにとってはデメリットを伴う可能性が高いものです。
 
それほど新しい手法ではなく、むしろ古典的な手法に属します。
  
このPUPが、6月度のマルウェア上位に2種入っていました。いずれも「アドウェア」として分類されるものであり、英語表記のものでした。
 
攻撃者は、使用許諾を読まずに利用するということを見越しているので、対策としては。怪しい無料ソフトやアドインをむやみに使用しないことに尽きます。
 
 
 
*2011年6月のマルウェア上位10種
順位 マルウェア名 ―――――――――――――――――比率    傾向*
01 Trojan.Wimad.Gen.1 ―――――――――――――1.25% やや上昇
02 Worm.Autorun.VHG ――――――――――――――1.23% やや上昇
03 Gen:Variant.Adware.Hotbar.1 ―――――――――1.05% やや上昇
04 Trojan.AutorunINF.Gen ――――――――――――1.02% やや上昇
05 Java.Trojan.Exploit.Bytverify.Q ――――――――0.86% 新
06 Java.Trojan.Downloader.OpenConnection.AI――0.76% 同
07 Java.Trojan.Downloader.OpenConnection.AN――0.63% 同
08 Java.Trojan.Downloader.OpenConnection.AO――0.62% 下降
09 Java:Agent-DU [Expl] ―――――――――――――0.44% やや下降
10 Adware.Hotbar.GG―――――――――――――――0.38% 新
 
注:「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降
 
 
上位マルウェアの説明
 
Trojan.Wimad.Gen.1
トロイの木馬型マルウェアです。普通の音声ファイル(.wma形式)に見せかけ、特殊なコーデックがなければ聞くことができないとそそのかして、ウィンドウズのシステムにインストールさせます。実行してしまうと、攻撃者は数々のマルウェアを送り込みます。ファイル共有などのP2Pネットワークに数多く潜んでいます。
 
Worm.Autorun.VHG
ワーム型で、ウィンドウズOSの自動実行機能(autorun.inf)を使って拡散します。USBメモリや小型ハードディスクドライブなどを介して感染します。「CVE-2008-4250」という脆弱性を悪用しています。
 
Gen:Variant.Adware.Hotbar.1
このアドウェアは、VLCやXviDなどを含む、フリーソフトウェアパッケージの一部として、本来の提供者ではないサイトからダウンロードされるものです。現在のスポンサーは「クリックポテト」(Clickpotato)と「ホットバー」(Hotbar)です。すべてのパッケージには、デジタルで「ピンボール株式会社」と署名されており、アドウェアは、自動的にシステムトレイのアイコンに組み込まれ、Windowsが起動されるたびに作動します。
 
Trojan.AutorunINF.Gen
トロイの木馬型で、ウィンドウズOSの自動実行機能(autorun.inf)を使い、USBメモリや小型ハードディスクドライブ、CDやDVDなどを介して侵入します。
 
Java.Trojan.Exploit.Bytverify.Q
この攻撃は、CVE-2010-0094で説明されている、JAVA実行環境における脆弱性を利用しています。攻撃が成功すると、攻撃者は、Javaサンドボックスの制限を回避し、悪質なコードを実行できるようになります。たとえば、さらに悪質なコードを送り込むことが可能です。脆弱性を解消していないと、ウェッブページ上で動くJavaアプレットを通じて、感染します。
 
Java.Trojan.Downloader.OpenConnection.AI
Java.Trojan.Downloader.OpenConnection.AN
Java.Trojan.Downloader.OpenConnection.AO
これらは、いずれもウェブサイトに仕掛けられたトロイの木馬型のマルウェアであり、その性質から「ダウンローダー」と呼ばれています。Javaアプレットがブラウザにダウンロードされる際に、アプレットのパラメーターからURLを生成し、このURLを使って不正実行ファイルをユーザーのコンピュータにアップロードし、プログラムを走らせます。「CVE-2010-0840」という脆弱性が利用され、Javaのサンドボックスから抜け出し、パソコンを乗っ取ります。
 
Java:Agent-DU [Expl]
このJavaベースのマルウェアプログラムはダウンロードアプレットで、セキュリティーホール(CVE-2010-0840)を悪用し、その結果、サンドボックス保護メカニズムを回避させ、追加マルウェアをコンピュータにダウンロードします。このアプレットがいったんサンドボックスを騙してしまうと、以後は直接実行ファイルをダウンロードし実行することができるようになります。
 
Adware.Hotbar.GG
このアドウェアもPUPであり、ブラウザに機能を追加するアドオン(ブラウザ・ヘルパー・オブジェクト)として、「スマートショッパー」や「買い物レポート」といった(英文の)ツールバーを組み込みます。ファイルのデジタル署名は「ピンボール社」、または、「スマートショッパー・テクノロジーズ」となっています。以前に登場したブラウザアドインは、製品の価格比較を提供し、ピンボール社のパートナーによって提供された特別サービス情報などを提示しました。
 
 
 
ジーデータソフトウェアとは
G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。
 
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。


【本リリースに関する問合せ先】 
G Data Software株式会社 
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本往人 
E-mail: gdata_japan_info@gdatasoftware.com 
URL: リンク

このプレスリリースの付帯情報

(画像をクリックすると拡大画像をご覧いただけます。)

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。