Microsoftの遠隔測定で得られたマルウェアの実態とは？：年末緊急特番！ボットネット対策のすすめ

Microsoftでは、Malicious Software Removal Tool（MSRT）やWindows Defenderなどを通じてマルウェアの状況を遠隔測定。地域によって大きく分布が異なるという。

[高橋睦美，ITmedia]

本記事の関連コンテンツは「年末緊急特番！ボットネット対策のすすめ」でご覧になれます。

　Microsoftが提供するMalicious Software Removal Tool（MSRT）やWindows Defenderなどを通じてマルウェアの状況を遠隔測定したところ、ボットの検出数が突出して多いことが明らかになった。

　11月29日、30日にわたって東京都内で開催されたセキュリティカンファレンス「PacSec.jp」のセッションに、米Microsoftでセキュリティレスポンスのタスクに当たっているAntimalwareチームのアダム・オーバートン氏とセキュリティ研究＆サポートセンターのジェフ・ウィリアムズ氏が登場し、同社が提供しているセキュリティツールを通じて収集したマルウェアの状況について語った。

米セキュリティ研究＆サポートセンターのジェフ・ウィリアムズ氏

　まず言えるのは「マルウェアの検出状況だが、国や言語によって、地域によって大きな差がある」（ウィリアムズ氏）ということだ。

　例えば、MSRTによるマルウェアの検出状況を種類ごとに見ると、日本ではP2Pファイル共有ソフト「Winny」を通じて情報を流出させる「Antinny」の件数がスパイクしているのに対し、韓国では「Parite」、中国では「Wukill」が多い。このWukillについては、クリエイティブメディアの携帯音楽プレーヤーに混入した事故が報告されている。

　また、特に中国を中心に、日本、韓国といった東アジア地域ではボットの検出件数が非常に多いことも明らかになった。同社が6月に公開したレポートでも、最も多く駆除されたのは「RBot」の440万件、次に「SDBot」の150万件が続いていることが指摘されていた。

MSRTによるマルウェアの駆除状況。左端のボットの件数が突出して多い。またAntinnyの駆除件数は日本が飛び抜けている

　セッションではさらに、Windows Defenderによる「望まれないソフトウェア」の検出状況も示された。今回示された数値は、2006年4月11日から10月10日にかけての検出数を基にしている。この間、悪意ある／望まれないソフトウェアの検出回数は4900万回。プログラム削除回数は3000万回に上っている。

　Windows Defenderでは、検出されたマルウェアについて警告を表示し、当該プログラムを削除するか、警告を無視してそのままにするかという判断をユーザーが下すことになる。この「削除率」「無視率」が、グレーゾーンの大きいスパイウェア／アドウェアをユーザーがどのようにとらえているかを把握する手助けになる。

　しかし興味深いことに、中には削除率と無視率とがともに高いプログラムも見られたという。特に無視率が高いプログラムについてウィリアムズ氏は「おそらく、この脅威がどういうものであり、どういった対策が必要なのかを理解していないため無視しているのではないか」と推測している。また、β段階では英語版のみが提供されていたが、その間、ブラジルなどの非英語圏でも無視率が高かったことに触れ、やはり警告が理解されないことが「無視」という動作につながっている可能性が高いとした。

　「システムで利用されている言語やその地理的位置、コンシューマーか企業ユーザーかといったユーザーの種類によって、迷惑ソフトの感染率は大きく異なる」（同氏）。こうした状況を踏まえ、コミュニティーや政府当局などと連携しながら対策を進めていきたいとした。

　ウィリアムズ氏はさらに、会場からの質問に答え「ボットネットへの対策を1つのツールだけで実現できると考えるのは傲慢なこと。しかし、手助けにはなるだろう」と述べた。rootkitのように検出・駆除を困難にするテクノロジーや、ターゲット型攻撃のように傾向分析が困難な攻撃についても、レスポンスチームなどと連携しながら改善を図っていく考えという。