実はBlasterやNetsky並み?静かにはびこる“Gumblar”川口洋のセキュリティ・プライベート・アイズ(21)

» 2009年12月04日 10時00分 公開
[川口洋@IT]

 皆さんこんにちは、川口です。新型インフルエンザのニュースに慣れてきた今日このごろですが、いかがお過ごしでしょうか。

 インフルエンザにかからないのが一番ですが、それでも感染しまうのが人間の悲しいところ。最近では休校や感染者数のニュースもあまり聞かなくなりましたが、着実に感染は広がっているようです。幸いなことに、私はまだ感染していないと思ってはいます。怖いのは、感染したことに気付かずに生活していたり、高熱があったのに気付かずに生活していないかということです。いまのところ、まわりに感染者が出ていないので、対策の効果が出ていると思って生活をしています。

まん延するGumblar

 リアルなウイルスには悩まされていない代わりに、コンピュータウイルスには大変頭を悩まされています。私を悩ませているのはご存じ「Gumblar」と呼んでいるトロイの木馬です(国内では「Genoウイルス」とも呼ばれています)。JSOCのお客様でも多数の感染事故が発生しており、先日注意喚起を出しました

【関連記事】

Gumblarおよびその亜種に関する大量の感染事例について(LAC)
http://www.lac.co.jp/info/alert/alert20091119.html

川口洋のセキュリティ・プライベート・アイズ(16)
分かっちゃいるけど難しい、アカウント情報盗用ボット対策

http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/016.html


 JSOCでは、Gumblarをはじめとしたアカウント情報を盗用するボットを検知するオリジナルシグネチャ(JSIG)を追加して対応してきました。以下のグラフはお客様のシステム内からのインシデント発生件数の変化です。

図1 インシデント発生件数の変化 図1 インシデント発生件数の変化

 2009年10月から検知件数が伸びている原因は、シグネチャをConfickerとGumblarに対応するように改良したことが影響しています。特定のお客様で多数の感染事故が発生していることも重なり、この時点ではGumblarに感染しているお客様はJSOC全体のわずか1%でした。

図2 Gumblarに対応したシグネチャ配信後のインシデント発生件数の変化 図2 Gumblarに対応したシグネチャ配信後のインシデント発生件数の変化

 その後、Gumblarの検体を入手し、新たなシグネチャをお客様のIDS/IPSに適用開始したのが2009年11月16日です。その適用の直後から、大きく件数が増加しています。ここで増加したインシデントは、すべてGumblarが行う通信を検知したものです。つまり潜在的に感染していたGumblarを、新しいシグネチャを適用することで発見できるようになったのです。

 あまりの検知数の増加に、シグネチャを作った私たちも驚きました。シグネチャを作る以上、検知する自信があって作るわけですが、まさかこれほどまでにお客様のシステムがGumblarに感染しているとは想像しませんでした。

 11月16日以降は、JSOCで観測しているお客様の7%がGumblarに感染していることが分かりました。7%ものお客様が感染しているという状態は過去の歴史からみても異常な状態です。私のセキュリティアナリストの経験の中でもほとんど記憶にありません。これほどまでにたくさんのお客様のシステムでボットが感染していたことは2003年のBlaster、2004年のNetsky以来でしょう。

いま、起きている問題

 私たちがGumblarの行う通信を発見し、お客様にご連絡してもすぐに問題は解決しません。対象のPCでウイルススキャンをかけても発見されないことが多いのです。

 そもそもPCに入っている(はずの)ウイルス対策ソフトでスキャンをして発見されるくらいなら、初めからそのPCにはウイルスが感染せず、不審な通信をJSOCに発見されることもありません。つまり、不審な通信が発見された時点で、そのPCに入っているウイルス対策ソフトでスキャンをしても遅いのです。

 最近のボットは感染したと同時に、ファイアウォールやウイルス対策ソフトのアップデートを無効にします。攻撃者が念入りに作成したボットであれば、感染したPCでボットを発見することは至難の業です。感染したPCを見つけ出すためには、ボットが行う不正な通信を発見する必要があります。

 ボットに感染していることが判明したPCは、どのようなものが仕込まれているか分からないため、OSの再インストールをすることが必須です。しかし、業務で利用するPCであれば、OSを再インストールをすることは難しいでしょう。そのときにはウイルス対策ソフトの会社が提供しているオンラインスキャンがお勧めです。オンラインスキャンはブラウザさえあれば特別なアプリケーションをインストールする必要がなく、手軽に実施できます。オンラインスキャンを行う場合は以下の点に注意してください。

  • 自組織で利用しているウイルス対策ソフト以外の会社のサイトを選ぶ
  • できれば複数社のサイトでスキャンを行う
  • インターネットに接続する必要があるので、ほかのPCに迷惑をかけないようにする
  • 偽オンラインスキャンサイトに引っかからないようにする

 最初の3点はいうまでもありませんが、特に最後の偽オンラインスキャンサイトには注意してください。以下の2つの画像は検索エンジンで「online scan」といれて検索した結果ですが、偽オンラインスキャンサイトへ誘導する検索結果が上位に現れます。さも普通のオンラインスキャンができるサイトのように見せかけて偽のスキャンを行い、ボットを埋め込もうとしています。

図3 検索結果に表示される偽オンラインスキャンサイトの例 図3 検索結果に表示される偽オンラインスキャンサイトの例

 しかも、これらの悪性サイトから仕込まれるボットは、ウイルス対策ソフトが対応していない場合も多く、さらに被害を大きくしてしまいます。参考までにこのような悪性サイトから埋め込まれるボットを無料のファイル解析サービス、VirusTotalで検査したところ、以下のような結果になりました。

図4 VirusTotalでの調査結果 図4 VirusTotalでの調査結果

 41社のウイルス対策ソフトのうち、12社でしか発見することができませんでした。攻撃者も作成したボットをリリースする前にこのVirusTotalで検査し、どこの製品にも発見されないような状態であることを確認しているのでしょう。くれぐれも偽オンラインスキャンのサイトに引っかからないようにしてください。

Gumblarの対策は?

 あらためていうまでもありませんが、Gumblar対策は、PCの脆弱性管理と同義です。パソコンにインストールされているソフトウェアをアップデートしておけば被害に遭うことはありません。脆弱性がない状態を保ち続けることが難しいことだとは分かっていますが、これが最も有効な対策なのです。対策の詳細については第16回「分かっちゃいるけど難しい、アカウント情報盗用ボット対策」に記述していますので、それを参考にしてください。

【関連記事】

川口洋のセキュリティ・プライベート・アイズ(16)
分かっちゃいるけど難しい、アカウント情報盗用ボット対策

http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/016.html


 ちなみに今回の注意喚起では、Gumblarが通信するIPアドレスを記載しています。JSOCで観測したGumblarの90%はこのIPアドレスへの通信を行っています。このIPアドレスへの通信をファイアウォールで制限してもらうことで被害を軽減することができるでしょう。もちろん、このIPアドレスでのアクセス制御はボットの改造に伴い、有効に機能しなくなる可能性があることを理解して行ってください。

ボットが狙う情報

 Gumblarに関しては、いまのところFTPのアカウントしか興味がないようですが、ゲームやインスタントメッセンジャーのアカウントを盗むボットもいるため、そのようなアカウントを盗用するように改造される日もそう遠くはないでしょう。いま、私が最も恐れていることは、各種クラウドサービスのアカウントが盗まれることです(この際、クラウドサービスがなんであるかという定義は脇に置いておくとして)。

 現在の企業システムでは、アカウントによるアクセス制御に加えて、IPアドレスでのアクセス制御も行われてきました。この場合、例えアカウント情報を盗まれたとしてもインターネット側から悪用することはできません。今後は企業システムがクラウドサービス(例えばパブリッククラウドなど)を利用するようになり、アカウントのみでアクセス制御が行われるようになる場面も増えるでしょう。

 クラウドサービスのアカウントが盗まれてしまえば、攻撃者は企業システムにアクセスし放題となりますので、アカウントのみでアクセス制御しているシステムは特に注意してください。これからクラウドサービスが普及するにつれて、新たな脅威が生まれてくると思いますが、クラウドサービスに関する私の見解は別の機会に書こうと思います。


 コンピュータウイルスには悩まされていますが、幸いなことにJSOCはまだリアルウイルスの大きな被害にはあっていません。24時間365日動き続けるJSOCにとって、コンピュータウイルス以上に悩ましいのがリアルなウイルスです。

 リアルウイルスのインシデントに備えるためには、セキュリティアナリストの補強が欠かせません。私はセキュリティアナリストにふさわしい人材を発掘するため、今夜も飲みに行くのでした。

Profile

川口 洋(かわぐち ひろし)
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。