G Data，2011年12月のレポートで「ANNO 2070」のクラッキングについて警告

　セキュリティソフトウェアを販売しているG Data Softwareは，2011年12月のマルウェアレポートで，PC用シミュレーションゲーム「ANNO 2070」のクラックファイルが，当月のマルウェア検出ラインキングのトップ10に入ったことを発表した。
　検出されたのはsolidcore32.dllというDLLファイルで，PUP（Potentially Unwanted Program）つまり「潜在的に望まれないプログラム」として扱われている。現状で直ちに害悪をもたらすことは確認されていないが，将来的にシステム破壊や個人情報流出などといった機能が追加される可能性もあるプログラムに属するものだと思っておけばいいだろう。
　このファイルは，どうやらシミュレーションゲーム「ANNO 2070」のスピードクラック（ゲーム進行を加速するチートツール）に含まれるもののようだが，多くのウイルス検出ソフトでマルウェアとして検出されるということらしい。
　まあ，ANNO 2070は世界的に見てもそれほどメジャーなゲームではないと思うのだが，ドイツを中心に根強いファンを持つシリーズであり，ドイツ発祥のG Dataの調査ではとくに多くレポートされているのかもしれない。
　海外フォーラムでは，無害としているところもあるが，それなりに怪しい挙動をしていることは間違いない。こういった非公式なパッチやチートツールには潜在的な危険がつきものなので十分に気をつけよう。

資源枯渇の近未来シミュレーションゲーム「ANNO 2070」のクラッキングについて
〜2011年12月G Dataマルウェアレポートより〜

　G Data Software株式会社（本社：東京都千代田区、代表取締役社長：フランク・ハイスラー他）は、セキュリティラボにおいて収集された2011年12月度のコンピュータ・マルウェア動向情報の分析を行いました。その結果、資源枯渇した近未来をシミュレーションした新作ゲームソフト「ANNO 2070」をクラッキングするdllファイルが、早くも10位にランクインしたことを報告します。

　G Dataセキュリティラボの集計データによれば、2011年12月度に、上位を占めたマルウェア（＝拡散の度合いが高かったマルウェア種）は以下のとおりでした。

≪2011年12月度マルウェア活動上位10種≫
1 Exploit.CplLnk.Gen 1.69%　やや上昇　（11月2位）
2 Trojan.Wimad.Gen.1 0.96%　上昇　（11月6位）
3 Java.Exploit.CVE-2010-0840.E 0.95%　やや下降　（11月1位）
4 Win32:DNSChanger-VJ [Trj] 0.86%　同　（11月4位）
5 Worm.Autorun.VHG 0.83%　やや上昇　（11月3位）
6 Trojan.AutorunINF.Gen 0.68%　やや下降　（11月5位）
7 Trojan.IFrame.YX 0.66 % 新
8 Application.Keygen.BG 0.46%　同　（11月8位）
9 Java.Trojan.Downloader.OpenConnection.AI 0.39%　やや下降　（11月7位）
10 Gen:Variant.Kazy.45847 0.34%　新

注：「新」は先月の上位10になかったもの。「やや上昇」は先月より1-2位上昇、「同」は先月と同位、「やや下降」は先月より1-2位下降、「下降」は先月より3位以上の下降

　12月のマルウェア動向は、基本的には11月と同様に、脆弱性を狙った攻撃、USBメモリからの侵入、ファイル共有ネットワーク関連の攻撃が主で、大きな変動は見られませんでした。

　しかし、このうち、12月度に10位に新たにランクインされた「Gen:Variant.Kazy.45847」は、solidcore32.dllという名の.dllファイルで、コンピューターゲーム「ANNO 2070」をクラックするのに使用されます。個人情報を盗み出すなどの機能をもったマルウェアではありませんが、潜在的に望まれていないプログラムである「PUP」に属することから、G Dataならびに主要ウイルス対策ソフトはこれを「悪意あるファイル」として検知します。

　「ANNO 2070」は、日本でも「創世記」というタイトルで人気を博してきた都市建設シミュレーションのシリーズ最新作で、Windows XP以上で動作するコンピュータゲームソフトです。本作では資源枯渇した近未来を舞台としており、はやくも上位マルウェアにランクインするほど、欧米を中心に人気が高まっているようです。なお、1月27日には、日本語版マニュアル付英語版も発売されます（発売元：ズー、販売元：イーフロンティア）。くれぐれも商用ソフトの購入や利用は、正規の方法をとるよう、お勧めします。


≪上位10種のマルウェアについて≫

1 Exploit.CplLnk.Gen
　このエクスプロイトは、ウィンドウズのショートカットのプロセスにおいて.lnkや.pifファイルが不完全であることが確認された場合に使用され、2010年半ば以降、CVE-2010-2568（Stuxnetも利用した脆弱性）して知られています。ショートカットリンクを正しく処理しないことで任意のコードの実行を許し、偽装ショートカットファイル(.lnk)をウィンドウズのエクスプローラーでアイコン表示することにより、攻撃者のコードが実行されます。このコードは、ローカルのファイルシステム(たとえば、リムーバブル記憶装置から)から、あるいは、インターネット上のWebDAVシェアによってロードされます。

2 Trojan.Wimad.Gen.1
　トロイの木馬型マルウェアです。普通の音声ファイル（.wma形式）に見せかけ、特殊なコーデックがなければ聞くことができないとそそのかして、ウィンドウズのシステムにインストールさせます。実行してしまうと、攻撃者は数々のマルウェアを送り込みます。ファイル共有などのP2Pネットワークに数多く潜んでいます。

3 Java.Exploit.CVE-2010-0840.E
　このJavaベースのマルウェア・プログラムは、CVE-2010-0840脆弱性を利用しようとするダウンロード・アプレットであり、サンドボックスの保護機構の裏をかき、かつコンピューター上に新たにマルウェアを追加ダウンロードします。そして、アプレットが一度サンドボックスをだましてしまえば、dllファイルのダウンロードが可能になります。このファイルは直ちには実行されませんが、Microsoft Register Server (regsvr32)のヘルプを伴うサービスとして登録され、後にシステムが立ち上がる際に自動的に開始されます。

4 Win32:DNSChanger-VJ [Trj]
　ルートキットの一部で、他のマルウェアのコンポーネントを保護しようとします。たとえば、ソフトウェア更新や定義ファイルのアップデートのためのサイトへのアクセスを遮断してしまいます。DNS（ドメインネームサービス）のレゾリューションが操作されてしまうので、「DNSチェンジャー」と呼ばれています。

5 Worm.Autorun.VHG
　ワーム型で、ウィンドウズOSの自動実行機能（autorun.inf）を使って拡散します。USBメモリや外付ハードディスクドライブなどを介して感染します。「CVE-2008-4250」という脆弱性を悪用しています。

6 Trojan.AutorunINF.Gen
　トロイの木馬型で、ウィンドウズOSの自動実行機能（autorun.inf）を使い、USBメモリや外付ハードディスクドライブ、CDやDVDなどを介して侵入します。これはジェネリック検知で、既知のものと未知のもの両方の自動実行機能ファイルにかかわります。

7 Trojan.IFrame.YX
　マルウェアの疑いの高いアドウェアの拡散と関係しており、主に、無料レンタルサーバーを使ったサイトで多く発見されます。自由な集合ウェブサイトで主として見つけられました。アクセスしてから30分以内のサイト訪問者をチェックし、それ以上の時間アクセスしている場合、IFrameは広告の配信を開始し、マルウェア感染する事態に陥る可能性が高まります。

8 Application.Keygen.BG
　有料ソフトウェアのインストールに必要なシリアルナンバーを勝手に生成するキージェネレータのふりをするマルウェアです。P2Pネットワークやワレズサイトに非常に頻繁に現れています。このアプリケーションの実行は、法的な問題だけではなく、同様に、無数のセキュリティ上のリスクを持っており、ボットに組み込まれたりデータを盗み出されたりするおそれがあります。

9 Java.Trojan.Downloader.OpenConnection.AI
　ウェブサイトに仕掛けられたトロイの木馬型のマルウェアであり、その性質から「ダウンローダー」と呼ばれています。Javaアプレットがブラウザにダウンロードされる際に、アプレットのパラメーターからURLを生成し、このURLを使って不正実行ファイルをユーザーのコンピューターにアップロードし、プログラムを走らせます。「CVE-2010-0840」という脆弱性が利用され、Javaのサンドボックスから抜け出し、パソコンを乗っ取ります。

10 Gen:Variant.Kazy.45847
　潜在的に望まれていないプログラム(PUP)に属します。solidcore32.dllという名の.dllファイルで、コンピューターゲーム「Anno 2070」をクラックするのに使用されます。ゲーム・ファイルを修正すると、悪意あるファイルとみなされ検知されます。

ジーデータソフトウェアとは
　G Data Softwareは、1985年に創業し、1987年に世界最初の個人向けウイルス対策ソフトを発売した、ドイツのセキュリティソフトウェア会社です。 EUを中心に、個人向け・法人向け製品を展開しています。日本法人は2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。その結果G Dataのセキュリティ製品群は、マルウェアやフィッシング詐欺サイトを常に高検出することに定評があり、過去5年間以上にわたって、第三者機関・雑誌における受賞獲得数は他社の追随を許しません。2011年にはアンドロイド端末向けのセキュリティアプリも発売しました。

＊本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。