Enterprise Watch
最新ニュース

USBメモリ経由のマルウェアはなぜ急増したのか?-ラックが2008年を総括


サイバーリスク総合研究所 先端技術開発部の新井悠氏
 株式会社ラックは12月18日、2008年の情報セキュリティを総括する記者説明会を開催した。

 「今年もWebからの脅威が中心だった」と1年を振り返るサイバーリスク総合研究所 先端技術開発部の新井悠氏。マルウェア作成サイトや感染PCリストを50ドル/月で購入できるサービスが登場するなど、犯罪者にとってのツールも整い出しているという。そうした状況下で、新井氏が2008年のセキュリティトレンドとして挙げたのは、「USBメモリ経由のマルウェア」「偽ウイルス対策ソフトの押し売り行為」「標的型攻撃」だった。


USBメモリ内のマルウェアはどこからやってくるのか

USBメモリ経由のマルウェア感染件数推移
 可搬型媒体の脅威としては、紛失・盗難による情報漏えいなどさまざまあるが、中でも2008年は「USBメモリ経由のマルウェア感染」に騒然となった1年だった。トレンドマイクロの調査でも、1月の時点では0件だった同感染事例が2月以降増え始め、11月~12月にかけては260万超の感染が確認されている。

 同事例の問題点は容易に感染が広まってしまう点だ。例えば、Windows VistaにUSBメモリをつないだとしよう。初期設定では、USBメモリ内にAutorun.infファイルが入っていると、実行ファイル(マルウェア)が自動起動してしまう。また、USBメモリを挿しただけなら安全なWindows 2000/XPでも、USBメモリを認識したドライブをダブルクリックすればマルウェアが起動してしまう。

 例えば、メールに添付されたマルウェアに対しては、うかつに開かないというリテラシーもだいぶ広まったと思われる。しかし知人から借りたようなUSBメモリに対して、マルウェアが混入しているかもしれないという危険性に、どこまで思いが至るだろうか。自らファイルをコピーして使うUSBメモリは、ある意味、ファイルを開くことが前提となっている。そうした意味では「挿入した時点で自動起動しようとも、ドライブをダブルクリックしなければ起動しなくても、あまり相違はなく、気づいたら感染してしまうことも多いのだろう」(同氏)。

 では、USBメモリ内のマルウェアは一体どこからやってくるのか。まさか、マルウェアが混入されたUSBメモリが大量に出荷されているわけでもあるまい。ラックが採取した検体を解析したところ、「おおよそボットと同じ動きを見せた」という。また「最近のマルウェアの大半にUSBメモリに自己コピーする機能が搭載されていることが分かっている。感染経路としては、どうやら外部から組織内のPCにボットが感染し、そのPCに接続したUSBメモリに飛び火しているようだ」。

 そのため対策としては、「基本的なウイルス対策ソフトの導入が有効。また、Windowsで自動実行を無効に設定するのも効果的だ」(同氏)としている。


偽ソフトは強化されたOSセキュリティへの回避策?

 もう1つの脅威が、偽ウイルス対策ソフトの押し売り行為だ。例えば、Webサイト上でフリースキャンを実行すると、あたかもウイルスに感染しているような結果を表示し、推奨対策として、有償版の購入ページへとユーザーを誘う。

 「Antivirus XP 2008」という偽ソフトでは、なんと1575個のウイルスに感染しているという偽の結果が表示された例もある。不安に駆られたユーザーに有償の偽ソフトを購入させる手口だが、「問題なのは、偽ソフトを開発した犯罪者は、その販売を自ら行うことはなく、正当なWebサイトにアウトソースしている点。購入フォームにおとりの情報を入力して捜査しようとしても、まったく関係のない人たちを追い詰めることになってしまうのだ」(新井氏)。

 手口をさらに詳細に見てみると、偽ソフト自体がマルウェアであることは少ないらしい。犯罪者としては、ユーザーが購入すると同時にさらにマルウェアに感染させて、連鎖的被害を狙いたいのが心情であろう。その場合でも、偽ソフト自体に特別な仕掛けを講じることはなく、例えば、購入サイトに誘導する前段でひそかにダウンローダなどを感染させる手口を取るという。

 そのわけは「Windows Vistaに実装されたUAC(User Account Control)をはじめとして、OSのセキュリティ機能が強化され始めているためだ」(同氏)。犯罪者からすれば、UAC1つを取っても、怪しいプログラムをPC上で起動させにくくするハードルとなる。「そこで、あくまで正規品の体裁を取ることで、こうしたセキュリティを回避しようとしているのだろう」と新井氏は推測している。


偽ウイルス対策ソフトのWebサイト フリースキャンすると膨大なウイルスが検出されたと偽の結果を表示 推奨対策として、有償版の購入ページへ誘導する

標的型攻撃に凝らされた信ぴょう性を高める工夫

外務省のアドレスを詐称したメールの内容

麻生総理就任の翌日には、国連総会演説に関する偽メールも
 最後が、標的型攻撃である。以前から危険性が注意喚起されてきたが、特定の範囲を狙うという性質上、実際に表立って報告されることが少なかった。ところが9月10日、某民間企業に向けて行われた高度な標的型攻撃がラックによって検知された。

 発端は、外務省のアドレスを詐称して某民間企業に発信された1通のメール。そこには欧州の国際関連動向調査に関する内容が書かれ、ZIP圧縮されたexeファイルが添付されていた。むろん、このexeファイルがマルウェアなわけだが、驚くべきは、そこに施された信ぴょう性を高めるための数々の工夫だ。

 実際の発信元は中国のISPだったというが、外務省のアドレスを詐称した上、メールの署名に記載された部署・氏名は「電話で確認したら、実際に外務省に存在した。あて先も某民間企業に在籍する実在の人物だった」(新井氏)。さらに冒頭には、相手の名前のあとに「様」ではなく「拝」と書かれていて、「これは役所がよく使う表現。標的型攻撃を行うにあたり、その国の文化や関係者の特性をしっかりつかんでいたと見られる。中には、内閣広報室からのメールを装い、麻生総理の国連総会演説に関する内容が書かれていたものがあったが、これも麻生総理が就任した翌日に届くなど、信ぴょう性の高い内容になっていた」(同氏)。

 同事例で得られた検体を解析すると、「活動を隠ぺいするような工夫が見られた。Internet Explorer(IE)にDLLインジェクションを行い、あたかもIEが通信しているように見せかける仕組みや、PCが起動するたびに自身も自動起動して常駐化させる仕組みが備えられていた。そのほか、情報収集や特定のサーバーと通信する仕組み、命令受信・実行機能などがあった」(同氏)。

 収集されるようになっていた情報は、プロセスや起動中のウインドウ名の一覧、キーロガー、ハードウェアスペック一覧、スクリーンショットなど。起動中のウインドウ名とキーロガーの情報が一度に盗まれれば、ユーザーがどのアプリケーションでどんな情報を入力したかが漏れてしまうため、非常に危険性の高いマルウェアといえる。

 新井氏は最後に2009年の展望をこう述べた。「来年もWebからの脅威が継続するだろう。いまや多くのサービスでWebブラウザをインターフェイスとして利用している。脅威の入り口が収れんしたWebブラウザを、犯罪者が狙わない手はない。またOS自体にも高度なセキュリティが実装されたため、偽ソフトや偽プラグインをインストールさせる手口が増えるだろう。その分、一般ユーザーにとっては分かりやすい対策が求められるようになる、といえるのかもしれない。標的型攻撃においては、対策をどうするかが引き続いての課題といえる」。



URL
  株式会社ラック
  http://www.lac.co.jp/

関連記事
  ・ DDoSやめてほしくば金払え-多発する脅迫事件にラックが注意喚起(2008/05/15)
  ・ CookieにSQLインジェクションを埋め込む新手の手口、ラックが緊急注意喚起(2008/10/03)


( 川島 弘之 )
2008/12/18 16:41

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.