黒木直樹/トレンドマイクロ 上級セキュリティエキスパート

 今回は,コンピュータ・ウイルスを作成する目的が,世間を騒がすことをもくろむ愉快犯的なものから,明らかに金銭目的に大きく変わった2004年以降の話をしよう。

写真1●ワンクリック詐欺の画面例
写真1●ワンクリック詐欺の画面例
[画像のクリックで拡大表示]
 ユーザーから金銭を詐取する手段として,最も直接的な手段は詐欺である(写真1)。インターネット・ユーザーでフィッシングという言葉を知らない人は,もはや少数派に属するだろう。ほかにも,hostsファイルを改変するファーミングやワンクリック詐欺が発展したワンクリックウエアキーロガーを使ってオンラインバンクのIDやパスワードを詐取する事件も発生した。

 ただ,ユーザーから直接金銭を奪わずとも,悪意の者が低いリスクでリターンを得る方法が現在はまん延してしまっている。ウイルスの見えない化や,日本における地域的な感染(ターゲット攻撃)や,連続攻撃(シーケンシャル攻撃)も現実のものとなった。いわゆる「Webからの脅威」が始まったのである。

ウイルスとは決め付けられないスパイウエアの登場

 インターネットが日常的に利用されるようになり,さらに便利に効率的に使おうと思ったとき,市販のアプリケーションのほかに,シェアウエアやフリーウエアを利用することになる。

写真2●アドウエアのインストール画面の例
写真2●アドウエアのインストール画面の例
[画像のクリックで拡大表示]
 このフリーウエアに便乗してダウンロードさせる,スパイウエアアドウエアが増加し始めてきた(写真2)。一般に,市販のソフトウエアや開発元が明白なシェアウエア/フリーウエアなどは,いわばホワイトウエア(白色)である。一方,悪意を持って作られたウイルスなどをブラックウエア(黒色)と分類できる。これに対して,スパイウエアの場合は,開発元が明示され,ある意味でユーザーの許諾を得てコンピュータにダウンロードされることが多く,活動内容だけでは必ずしもブラックと決め付けられないため,グレー(灰色)ウエアと呼ばれている。

 ウイルス対策製品がウイルスを発見した際,設定にもよるがほとんどの場合は,無条件に削除・駆除・隔離などの処理を行う。それはウイルスが誰にとっても必要のないプログラム,つまり“黒”であるからである。しかしスパイウエアの場合は,発見後の処置をユーザーに尋ねる場合がある。これは先に説明したように,スパイウエアが必ずしも“黒”と判断できないからである。

 例えば,特殊な形式の動画ファイルがWeb上に掲載されており,「この画像を見るには無料のプレーヤーを使用する必要がある」と書かれたサイトが存在するとする。無料ならばと気軽な気持ちでダウンロードしてインストールすると,実はこのプレーヤーがスパイウエアであったり,アドウエアが同時にインストールされたりする場合がある。ただし,もちろんユーザーが動画を再生することはできるようになる。

 このスパイウエア(プレーヤー)をウイルス対策ソフトが無条件に削除すると,今まで見ることができてていた動画が見られなくなる。ウイルス対策製品の問題だと判断したユーザーは,ウイルス対策ベンダーのサポートに電話する。実は,このような問い合わせは非常に多い。

 この手のスパイウエアは,ダウンロード画面で正規のソフトに見せかけるために使用許諾を表示し,ユーザーの“同意”を得ている場合が多い。しかも,ユーザーに対して非常に長ったらしい使用許諾を見せ,「インストールしてすぐにソフトウエアを使いたい」「使用許諾を熟読するのは面倒」というユーザーの心理をうまく利用する。使用許諾の最後の方には,「このプログラムを使用する際には,●●●の目的でお客様のコンピュータ内の情報を取得する必要があります」などと書いてあるが,多くのユーザーはそれを認識することなく「同意」ボタンを押してしまう。このため,「ユーザーの情報を利用するのはあくまでも同意の下」という解釈になる。

他人にパソコンが乗っ取られる,ボットの猛威

 自分のパソコンが,悪意を持った第三者に操作されてしまう,それがボットだ。

 ボット(BOT)とはロボットからとった言葉で,その名の通り,外部からコントロールされるウイルスの一種である。現在の原型となるボットは2002年に確認されていたが,2004年9月ごろからボットの被害が顕著になってきた。感染コンピュータはバックドアを仕掛けられ,ウイルス作者の意のままにコンピュータが操られてしまう。このボットの出現を期に,ウイルスを作る側と,それを利用して金銭,情報の詐取などを目的とする者との分業化ができてきたのである。

 ウイルスの作者は,複雑で高性能なウイルスを作成することで,それを高い金額で販売あるいはレンタル提供する。それを利用する者は,コンピュータの深い知識が無くても対価を支払うことで容易にウイルスを利用できるというわけだ。さらに,ボットは同じウイルス同士でネットワーク(ボットネット)を形成することができる。このボットネットが大きければ大きいほど,多くのコンピュータをコントロールできることを意味しており,裏の世界での商品価値も高い。現在起こっている特定サイトへのDDoS攻撃スパム・メール配信の多くは,このボットネットを利用して行われている。

 また,このボットが使用するネットワーク・トラフィックが,インターネット・サービス・プロバイダー(ISP)の通信帯域の多くを占め,大きな問題ともなった。

 もう一つの特徴として,このボットは広域にばらまかれることはない。それでは,ウイルス対策ベンダーなどに簡単に発見されてしまうからである。特定の企業や,団体のみでひっそり身を潜めていることが多かった。

 ウイルス対策ベンダーは,対応パターン・ファイルを作成するために,ウイルスそのもの(検体)を入手する必要がある。マスメーリングのようなタイプは,広域にばらまかれたウイルスが多かったため,情報入手も検体入手もさほど難しくはなかった。企業においても,パターン・ファイルの中に,新しいウイルスの情報が入っているのだから,それを使えば発見できた。しかしボットの場合は,限定された範囲での感染を狙うため,検体の入手が難しく,パターン・ファイルでの対応に漏れが出てくる。また,ユーザーもボット感染そのものに気付きにくいのだ。

連続攻撃・大量亜種の「Stration」と対策技術のインテリトラップ

 2006年には,シーケンシャル攻撃と短期間に数百種の亜種を生んだ「Stration」が発見された。

 Strationの感染方法としては,一昔前に流行ったメールに添付されるタイプのウイルスであったが,「あて先不明」など,システムからのエラーを装ったメールに添付される例が多く,国内でも間違って添付ファイルを開いたために感染した例が非常に多かった。ほかにも,Windowsの修正プログラムに見せ掛けたり,Skypeを通じて感染したりと様々な亜種が出現した。

 いったん感染すると,Webから次のウイルスを自動的にダウンロードして多重感染するとともに,新たなウイルス・メールを送信する。特に感染が広がった理由としては,ウイルスの作者があらかじめ最新のウイルス対策製品と最新パターン・ファイルで発見されないことを確認してからウイルスをばらまくケースもあったことが挙げられる。ウイルス対策ベンダーはその対応に苦慮した。

 トレンドマイクロでは,パターン・マッチング方式のウイルス発見技術のほかに,インテリトラップと呼ぶ技術を採用した。このインテリトラップでは,パターン・ファイルに登録されていないウイルスでも,この手のウイルスが多用する自己解凍方式の圧縮タイプ(パッカー)を判別し,大量作成された亜種を効果的に発見することができる。インテリトラップはStrationに対して効果を発揮した。

この先は会員の登録が必要です。有料会員(月額プラン)は登録月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら