セキュリティーベンダーのトレンドマイクロは2019年3月中旬、「Slack」を悪用するウイルス(マルウエア)を初めて確認したことを公表した。Slackとは、ビジネスチャットのWebサービスで、多くの企業で利用されている。今回確認されたウイルスは、攻撃者からの命令の受信や盗んだファイルの送信などに、SlackなどのWebサービスを使うという。正規のWebサービスを悪用することで、ウイルスと攻撃者のやりとりを遮断されることを防ぐとともに、監視の目をかいくぐろうとする。

遠隔操作型が主流

 近年出回っているウイルスの多くは、攻撃者が遠隔からインターネット経由で操作できる機能を備えている。遠隔操作が可能なウイルスは、遠隔操作型ウイルスやボット、RATなどと呼ばれる。また、ボットに感染した複数のパソコンで構成されるネットワークはボットネットと呼ぶ。

 攻撃者は、Webやメールなどを使って、攻撃対象の組織のパソコンにウイルスを送り込む(図1)。そして該当パソコンにウイルスを感染させて乗っ取る。

図1●遠隔操作型ウイルスの動き
現在出回っているウイルスの多くは、攻撃者が遠隔操作できる機能を備えている。攻撃対象の組織のパソコンに感染したウイルスは、C&Cサーバーにアクセスして攻撃者からの命令を取得。その命令に従って動作する。
[画像のクリックで拡大表示]

 その後ウイルスは、攻撃者の支配下にあるサーバーに定期的にアクセスして命令を取得。その命令に従って動作する。

 例えば、指定された拡張子のファイルを盗んで攻撃者に送ったり、指定されたIPアドレスのコンピューターにDoS攻撃を仕掛けたりする。別のウイルスをダウンロードして感染させる場合もある。

 攻撃者の命令を中継するコンピューターはC&Cサーバーなどと呼ばれる。

 攻撃者にとっての遠隔操作型ウイルスのメリットは、状況に応じた挙動が可能なことだ。

 感染したコンピューターの状況や、そのコンピューターが接続しているネットワークの環境に応じて、攻撃内容や攻撃対象を自在に変更できる。挙動をあらかじめプログラムしたウイルスにはできない業だ。

 一方で弱点もある。サーバーのホスティング事業者やISPなどにC&Cサーバーを使用不能にされると、せっかく感染させたウイルスを操れなくなる。

 そこで攻撃者が考えたのは、正規のWebサービスを使って命令を送り込むこと。自前でC&Cサーバーを用意する場合とは異なり、サーバーを停止される心配がない。

▼RAT
Remote Access ToolやRemote Administration Tool、Remote Access Trojanなどの略。
▼DoS攻撃
大量のデータを送信するなどして、攻撃対象のコンピューターが正常なサービスを提供できないようにする。DoSはDenial of Serviceの略。サービス妨害攻撃やサービス拒否攻撃などともいう。
▼C&Cサーバー
ウイルスに命令を送信するサーバーのこと。C&CはCommandand Controlの略。C2サーバーなどとも呼ばれる。
▼ISP
Internet Service Providerの略。インターネット接続事業者のこと。

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら