Enterprise Watch
最新ニュース

「被害を連鎖させるダウンローダの先でボットが待ち受けている」-ラック

2007年セキュリティトレンドを総括

研究開発本部 先端技術開発部長の新井悠氏
 株式会社ラックは12月19日、2007年のWebセキュリティを総括する説明会を開催。研究開発本部 先端技術開発部長の新井悠氏が、リモート監視センター「JSOC」にて検出したマルウェアの解析結果などを踏まえ、2007年のセキュリティの傾向などを説明した。

 新井氏はまず、マルウェアの大量感染・大規模事案は終焉(しゅうえん)を迎えつつあり、代わりにWebを利用した攻撃が増えていると指摘。その理由として、「デフォルトでパーソナルファイアウォールが有効になるWindows XP SP2の普及で、一般利用者においてもネットワークを通じてマルウェアに感染するケースが減少したため」とした。

 一方で、マッシュアップなどで複雑に絡み合ったWeb技術を利用する犯罪者が増え、事態を深刻にしている。検索事業者などが提供するブラックリストに登録されている10万URLに対してラックが行った、巡回型ハニーポットを使用した調査では、総数2万7755個、1921種のマルウェアが実際に検出されている。そのうち、およそ7割がアンチウイルス製品で検出できない「Unknown」のウイルスだったという。

 中でもダウンローダが急速に増えており、検体の上位10種のうち6種がダウンローダだったとのこと。ダウンローダとは、感染したPCに別のマルウェアをダウンロードすることに特化したマルウェアで、特定のWebサイトからダウンロードするもの、複数のWebサイトからダウンロードするものなど、性質はさまざまだ。

 「検体の中にも、リダイレクト操作を何度も重ねて、何台ものWebサーバーを経由したあとにマルウェアをダウンロードするよう仕組まれたものがあった」(同氏)。

 犯罪者がこうした回りくどい手口を利用するのにはいくつかの理由があると新井氏。「1つは、こうして何台ものWebサーバーを経由することで、感染したPCが“何”に感染しているのか、どういった被害が生じているのかを、判断しづらくすること。すなわち被害者から見えにくくするための工夫であり、リダイレクトを行う際にも小さなIFRAMEの中で実行するなど、徹底的にユーザーに気づかれないようにする懸命さがみてとれる」。

 また検体から分析した結果からは、リダイレクトされるWebサーバーはほとんどブラックリストに登録されていないものだったということも判明。「犯罪者にとってこの一見回りくどい手口は、マルウェアをホストするサーバーの1台がブラックリスト化されて使えなくなっても、すぐに別経路を利用できるようにする保険の意味合いもあるようだ」(同氏)という。

 犯罪者にとってこうしたメリットのあるダウンローダは、ボタン1つで簡単に生成できる専用のツールによって大量生産されている。MPackにも、DreamDownloaderというツールが付属して販売されており、手軽に作成できる環境が整備されたことも、現在のダウンローダ大量発生を引き起こす一因になっているとのことだ。


Webを介した感染を助長する攻撃ツール MPackに付属して販売されているダウンローダ自動生成ツール

ボットの進化-特定サーバーと接続できない状況では、自己削除することで、感染の証拠隠滅を図る

ラックが想像するアンダーグラウンドビジネスの構図
 では、こうしたダウンローダがリダイレクトを重ねて、ユーザーに状況を見えにくくした上で、最終的に目標とするのは一体何か。新井氏によれば、「最終的にはボットに感染させることが目的だ」という。

 「アンダーグラウンドビジネスの流れとして、犯罪グループがボットネットのシステム所有者に利用料を支払い、システム所有者はボットを作成するクラッカーなどに報酬を支払うという構図が明らかになってきた。犯罪者にとってボットはやはり最重要なツール。ボットネットを使ってマルウェア感染者を広げること、クレジットカードの情報やオンラインゲームのアカウント情報を窃取し、それをRMT事業者に売却することで収益を上げていると思われる」(同氏)。

 そのためボット自体も年々進化しており、標的のPCがファイアウォールの内側にあるかどうか、IPv6環境なのかどうかなどを下調べするようプログラミングされた新種も出てきている。さらに、ユーザーに発見されるのを防ぐため、特定のサーバーと接続できない場合に、自己削除するよう仕組まれたものも出現していると新井氏は語る。

 つまり、「感染したと思ってLANケーブルを引き抜くと同時に検体が消失してしまうので、見た目上、感染したかどうかさえ特定できない。特定するためには、フォレンジックなどの作業を行って、HDDを詳細に調べる必要があり、調査に時間がかかってしまう状況が生まれつつある」(同氏)というのだ。

 こうした傾向は、一般のインターネットユーザーにとっては、なかなか厳しい状況といえそうだ。なぜなら、Webを経由して感染するマルウェアの約7割が、アンチウイルス製品では検知できないという状況であるとともに、最近は企業や政府などの正規のWebサイトを改ざんしてマルウェアに感染させるケースが増えている。ユーザーにとっては、一昔前のように、みるからに怪しいWebサイトだけに注意すればよいわけではなくなっており、いつどこで、気づかぬうちにマルウェアに感染してもおかしくない状況なのである。

 対策としては、「一般ユーザーが、正規のWebサイトでもマルウェアに感染するという意識を持つことが、まずは必要。その上で、新しいセキュリティ製品を積極的に導入しようという姿勢が重要だ。また、今後は検索事業者に大きな期待がかかってくる。現状では、検索結果にリストされたURLや画像にマルウェアが潜んでいる可能性があり、実際にそこから感染した事例もある。これを防ぐため、検索エンジンの仕組みとして、結果からマルウェアを排除するような対策が重要になっていくだろう」としている。



URL
  株式会社ラック
  http://www.lac.co.jp/


( 川島 弘之 )
2007/12/19 15:49

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.