写真1●ラック サイバーリスク総合研究所 先端技術開発部の新井悠部長
[画像のクリックで拡大表示]

 ラックは2008年12月18日,報道関係者向けにセミナーを開催。同社サイバーリスク総合研究所 先端技術開発部の新井悠部長(写真1)が,2008年の情報セキュリティを総括した。新井部長が今年の特徴として挙げた脅威は三つ。(1)USBマルウエアの増加,(2)偽ウイルス対策ソフトの増加,(3)標的型攻撃の拡大――である。

 (1)のUSBマルウエアはUSBフラッシュ・メモリーなどのリムーバブル・メディア経由で感染を広げるマルウエア(関連記事)。新井部長は「2008年に顕著に増加した脅威だった」と,トレンドマイクロのデータを参照しつつ説明した(参考データ)。当初,USBマルウエアは「感染源がよくわからない」といわれていた。しかし,ラックで詳細にUSBマルウエアの挙動を分析した結果,ボットによって感染が広まっていることが明らかになったという。

写真2●ボット感染パソコンに差し込まれたリムーバブル・メディアにマルウエアがコピーされて他のパソコンに広まる
[画像のクリックで拡大表示]

 「約3年前に発見された既知のボット『TROJ_POEBOT.AGU』と,USBマルウエア『TROJ_AGENT.AEGH』を解析してみると,両者の挙動がよく似ていることがわかった。USBマルウエアも,最終的にやることはボットと同じ」(同氏)だという。別の既知のボットを解析した結果,パソコンに感染したボットがユーザーの操作を監視しており,「USBメモリーなどのリムーバブル・メディアが差し込まれたら,自動的にマルウエアと『Autorun.inf』をメディアにコピーする」(同氏)ことも明らかになった。Autorun.infは,パソコンに差し込まれたリムーバブル・メディアでマルウエアを自動的に実行させるためのファイルだ。感染したUSBメモリーなどが別のユーザーのパソコンに差し込まれると,さらに感染が広まり,ボット感染パソコンが増えていく。つまり,USBマルウエアはそれ単体で忽然と登場したわけではなく,感染経路を広げるために既存のボットが進化したものだというわけだ(写真2)。新井部長によると,「対策はウイルス対策ソフトの導入など基本的な対策を実行すること」。その他,マイクロソフトがリムーバブル・メディアからのプログラムの自動実行を無効にする方法(マイクロソフトの参考ページ)を公開しているので,そちらを参照してほしいという。

セキュアになったからこそ偽ウイルス対策ソフトが増えた

写真3●偽ウイルス対策ソフトを実行したところ
実際には感染していないマルウエアを1583件も検出したように見せている。ここで「はい」を押すと,偽ソフトの購入画面に誘導される。購入用のWebサイトは正規のサービスを利用して構築されていることが多い。偽ソフトの開発元が,サイトの構築をアウトソースしているのではないかという。
[画像のクリックで拡大表示]

 (2)の偽ウイルス対策ソフト(写真3)の押し売りは,2006年ころから知られている脅威(ラックの関連ページ)だが,こちらも2008年になってから増加している。その理由は,「Windows Vistaの登場などクライアント・パソコンのセキュリティが強固になっている点が考えられる」(同氏)。Windows VistaのUser Access Control(UAC)のような機能が普及しつつある現在,あからさまに怪しいファイルが実行されたり,勝手にインストールされる確率は低くなってきた。しかし,偽ウイルス対策ソフトは正規製品とそっくり同じ手順を踏んでインストールされるため,UACの警告が出てもユーザーはさほど怪しまずにインストールしてしまうのではないか,というのだ。

 ユーザーが偽ウイルス対策ソフトを購入してしまう経路はWebである。2008年,大規模に流行したSQLインジェクション攻撃(関連記事)によって改ざんされた企業のWebサイトや迷惑メールのほか,検索エンジン連動広告から,偽ウイルス対策ソフトの購入ページにユーザーを誘導するケースも見られた。検索エンジン連動広告のように,「正規のサービスを間に挟みこんで,不正行為を働く脅威がしばしば見られた」(同氏)のも,2008年の特徴だという。

写真4●標的型攻撃に利用された最初のメールの文面
この後,「同じ週にさらに2通,次週に1通,次の次の週にも1通と,送信者を毎回変えて同様のメールが届いた。直近では12月初旬まで続いている」(新井部長)という。
[画像のクリックで拡大表示]

 (3)の標的型攻撃については,「3年ほど前から話題になっているが,実際の観測例は官公庁,あるいは海外の企業が多く,実態が分かりにくかった」(同氏)。ところがラックでは2008年9月に,国内である民間企業の標的型攻撃を解析する機会があったという。マルウエアはメールの添付ファイル(ZIP形式で圧縮されたEXEファイル)として送られてきた。メール・アドレスや本文(写真4)は外務省関係者を詐称していたが,メール・ヘッダーから発信元は中国のISPと判明した。この「ある民間企業」は業務上,「外務省からのメールをうっかり開いてしまってもおかしくない企業だった」(同氏)という。この企業はウイルス対策ソフト,スパム・フィルタなど基本的な対策は実施していたが,いずれも送られてきたマルウエアを検出することはできなかった。メールを受け取った社員の一人が不信感を抱き,ラックに解析を依頼したために詳細が明らかになったという。この企業に対しては,内閣広報室や経済産業省など,偽装する送信元を微妙に変えながら同様のマルウエア・メールがいまだに断続的に届いているという。

 新井部長によれば,標的型攻撃に利用されるマルウエアは,検出や解析が難しい。「パッキングや難読化が施されているだけでなく,通信をInternet Explorerのような正規のアプリケーションのプロセスに隠して実行することもある」(同氏)。機能はキーロギング,スクリーンショットの取得,パソコン上のファイル検索とその抜き出しなど「情報を盗み出すこと」に特化しているという。「普通,ボットには可読性のあるコードで命令が送られてくる。そのため,IDS/IPS(侵入検知/防御システム)で攻撃を検知できる可能性がある。ところが標的型攻撃を実行するボットにはバイナリ――つまり数字列で命令が送り込まれてくるので,ネットワーク上での検出が難しい。かなり洗練された手法を使っている」(同氏)。

Webからの攻撃は2009年も続く

 三つの話題から明らかになった2008年の傾向は,「ここ数年来の脅威が,より洗練されながら継続して存在している」ということだろう。クラッカによる攻撃はますます自動化,分業化され,システマティックに実行されるようになってきた一方で,マルウエアを感染させる“最後の一手”には,何らかのユーザー行動を必要とするソーシャル・エンジニアリング的な手法が相変わらず多用されていることがわかる。

 新井部長によると,「2009年以降もWebからの攻撃が継続する」見込みだ。「現在では,多くのサービスの窓口がWebブラウザという単一のアプリケーションに集約されている。攻撃者は当然,そこを狙ってくるだろう」(同氏)。今後は,「ソーシャル・エンジニアリング的な手法を防ぐためにユーザーに分かりやすい対策を用意すると同時に,法整備を強化すること」,「標的型攻撃への対策の開発」を課題に挙げて締めくくった。