2013 年後半に悪意のあるソフトウェアに感染した Microsoft Windows コンピューターが 3 倍に増加しましたが、これはセキュリティ企業によってしばらくの間無害と分類されていたアプリケーションが原因でした。
この調査結果は、水曜日に発表されたマイクロソフト社の最新の半年ごとのセキュリティインテリジェンスレポート(SIR)の一部であり、同社のセキュリティツールを使用している8億台以上のコンピューターが遭遇したセキュリティ問題を調査している。
マイクロソフトのTrustworthy Computing部門のディレクター、ティム・レインズ氏によると、2013年第3四半期には、Windowsコンピュータ1,000台あたり平均5.8台がマルウェアに感染していたという。レインズ氏は、同社の広く利用されている製品を対象としたセキュリティ動向を追跡している。この数字は、第4四半期には1,000台あたり約17台にまで急増した。
レインズ氏は、この増加の原因は「Rotbrow」と呼ばれるマルウェアにあると述べた。レインズ氏は水曜日の電話インタビューで、このプログラムは「ブラウザプロテクター」と呼ばれるブラウザアドオンを装い、セキュリティ製品を装っていると述べた。同社のセキュリティ製品を使用しているコンピュータ1,000台のうち約59台でRotbrowが検出されたという。
しばらくの間、コンピュータセキュリティ企業はRotbrowを悪意のあるソフトウェアとして分類していませんでした。Rotbrowは「ドロッパー」として知られており、コンピュータに他のソフトウェアをダウンロードする機能を備えています。レインズ氏によると、Rotbrowはインストールされた当初はコンピュータにマルウェアをダウンロードしていませんでした。
しかしその後、Rotbrow は悪意のあるブラウザ拡張機能のダウンロードを開始しました。Microsoft はこの変化に気づき、他のセキュリティ企業に警告を発し、Rotbrow をブロックし始めました。
この手法は過去にも偽ウイルス対策プログラムで使用されていたもので、Rotbrow はすでに膨大な数のコンピューターにインストールされていたことになる。
「これはゆっくりとした攻撃と言えるでしょう」とレインズ氏は述べた。「彼らは辛抱強く、悪意のあるコンテンツを拡散し始めるまで長い時間をかけました。時間をかけて多くの人々の信頼を獲得したのだと思います。」
Rotbrowは、悪意のあるボットネットコードの一種であるSefnitを頻繁に配布しています。Sefnitは、クリック詐欺に関与するプログラムなど、他の有害なプログラムをコンピュータにダウンロードする可能性があります。また、Sefnitは、ユーザーのファイルを暗号化して身代金を要求するマルウェアである「ランサムウェア」との関連性も指摘されています。
マイクロソフトは昨年 12 月、Rotbrow が疑われていることを受けて、悪意のあるソフトウェアの削除ツール (MSRT) に Rotbrow の検出機能を追加しました。
全体的に安全
マイクロソフトの最新レポートでは、ASLR(アドレス空間レイアウトのランダム化)やDEP(データ実行防止)といったWindowsのセキュリティ強化により、既知の脆弱性を悪用することがはるかに困難になったと結論付けています。また、リモートから悪用される可能性のあるマイクロソフト製品の脆弱性の数は、2010年から2013年の間に70%減少したと報告されています。
「私たちは搾取コストを引き上げようと真剣に取り組んでいます」とレインズ氏は述べた。「搾取は不可能ではない。ただ難しいだけだ。彼らは余分な時間とコストを投入しなければならないのです。」
その結果、攻撃者は、正規のプログラムや音楽にマルウェアをバンドルして人々を騙してダウンロードさせようとする傾向が強まっている、と彼は述べた。
最新の報告書には、マイクロソフトが月曜日に緊急パッチをリリースしたInternet Explorerのゼロデイ脆弱性に関するデータは含まれていません。この脆弱性はIE 6からIE 11に影響を及ぼすため、ユーザーがブラウザを使用して感染したウェブページを閲覧した場合、攻撃者が侵入先のコンピュータ上でリモートからコードを実行する可能性があります。
レインズ氏は、次回の報告書でこのバグによる感染の増加が明らかになるかどうかは「時が経てば分かる」と述べた。しかし、マイクロソフトは、パッチの迅速なリリースと、ユーザーを悪意のあるウェブサイトに誘導する必要があるという事実によって、リスクは軽減されると考えている。
レインズ氏は「迅速な対応と現状の脆弱性を考えると、(感染の)増加は見られないと思う」と述べた。
