今回は、最近目立ったマルウエアや攻撃についてのブログを紹介する。

 トレンドマイクロは、今年7月にユーザー環境で検出されたマルウエア「PE_MUSTAN.A」が安全性の低いネットワーク周辺で広がりを見せているとして、ブログで注意を呼びかけた。MUSTANは、昨年まん延したマルウエア「WORM_MORTO.SM」をルーツに持つと見られ、弱いパスワードが設定されたシステムをターゲットにする。

 考えられるパスワードを総当たりで試すブルートフォース攻撃は新しい手口ではないが、MUSTANの存在は、セキュアだと考えられているネットワークにも著しい欠陥があることを明示している。

 MUSTANは単一システム上の複数のファイルに急速に広がる。すべての「.exe」ファイルへの感染を試みるが、「Common Files」「Internet Explorer」「Messenger」「Microsoft」「Movie Maker」「Outlook」「qq」「RECYCLER」「System Volume Information」「windows」「winnt」といった名前が付いたフォルダー内のファイルは避ける。米マイクロソフトのアプリケーションと、各種のインスタントメッセージング(IM)クライアントは感染対象から除外される。

 またMUSTANは、ネットワークを介して拡散しようとする。具体的にはRemote Desktop Protocol(RDP)を用いて他のシステムへのアクセスを試みる。特定のユーザー名とパスワードの組み合わせが使用されると、マルウエアは新しいシステムへのアクセス権を得て、ファイルへの感染を開始する。この行動はWORM_MORTOに類似している。

 システムに感染すると、ローカルドライブや外付けドライブ、ネットワーク共有ドライブなど、ほとんどすべてのドライブを標的にする。WORM_MORTOと同様に、RDPの管理共有ドライブもターゲットにする。

 このマルウエアで興味深い点は、マルウエア制御(C&C)サーバーとのやり取りにおけるDNSの使い方だ。DNSテキストレコードを使って、C&Cサーバーからの命令を受け取る。

 MUSTANは特にアジア太平洋地域で広がっているという。しかし、パスワードに関するアドバイスや過去の学習を生かしていれば、まん延するはずのないものだと、トレンドマイクロは指摘する。設定したパスワードを記憶するのが難しい場合もあるが、少しの工夫でシステムのセキュリティを維持することができる。例えば「This is my work computer password and it is safe」を「This !s my Work computer passWord and !t is Safe」に変え、さらにこれを「T!mWcpW&!sS」に短縮してパスワードに使用する。このようなパスワード設定の工夫をトレンドマイクロは提案している。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら