【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷

セキュリティアナリストコラム
川口洋のセキュリティ・プライベート・アイズ(21)

実はBlasterやNetsky並み?
静かにはびこる“Gumblar”


川口 洋
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
CISSP
2009/12/4

 皆さんこんにちは、川口です。新型インフルエンザのニュースに慣れてきた今日このごろですが、いかがお過ごしでしょうか。

 インフルエンザにかからないのが一番ですが、それでも感染しまうのが人間の悲しいところ。最近では休校や感染者数のニュースもあまり聞かなくなりましたが、着実に感染は広がっているようです。幸いなことに、私はまだ感染していないと思ってはいます。怖いのは、感染したことに気付かずに生活していたり、高熱があったのに気付かずに生活していないかということです。いまのところ、まわりに感染者が出ていないので、対策の効果が出ていると思って生活をしています。

■まん延するGumblar

 リアルなウイルスには悩まされていない代わりに、コンピュータウイルスには大変頭を悩まされています。私を悩ませているのはご存じ「Gumblar」と呼んでいるトロイの木馬です(国内では「Genoウイルス」とも呼ばれています)。JSOCのお客様でも多数の感染事故が発生しており、先日注意喚起を出しました

【関連記事】
Gumblarおよびその亜種に関する大量の感染事例について(LAC)
http://www.lac.co.jp/info/alert/alert20091119.html

川口洋のセキュリティ・プライベート・アイズ(16)
分かっちゃいるけど難しい、アカウント情報盗用ボット対策
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/016.html

 JSOCでは、Gumblarをはじめとしたアカウント情報を盗用するボットを検知するオリジナルシグネチャ(JSIG)を追加して対応してきました。以下のグラフはお客様のシステム内からのインシデント発生件数の変化です。
図1 インシデント発生件数の変化

 2009年10月から検知件数が伸びている原因は、シグネチャをConfickerとGumblarに対応するように改良したことが影響しています。特定のお客様で多数の感染事故が発生していることも重なり、この時点ではGumblarに感染しているお客様はJSOC全体のわずか1%でした。
図2 Gumblarに対応したシグネチャ配信後のインシデント発生件数の変化

 その後、Gumblarの検体を入手し、新たなシグネチャをお客様のIDS/IPSに適用開始したのが2009年11月16日です。その適用の直後から、大きく件数が増加しています。ここで増加したインシデントは、すべてGumblarが行う通信を検知したものです。つまり潜在的に感染していたGumblarを、新しいシグネチャを適用することで発見できるようになったのです。

 あまりの検知数の増加に、シグネチャを作った私たちも驚きました。シグネチャを作る以上、検知する自信があって作るわけですが、まさかこれほどまでにお客様のシステムがGumblarに感染しているとは想像しませんでした。

 11月16日以降は、JSOCで観測しているお客様の7%がGumblarに感染していることが分かりました。7%ものお客様が感染しているという状態は過去の歴史からみても異常な状態です。私のセキュリティアナリストの経験の中でもほとんど記憶にありません。これほどまでにたくさんのお客様のシステムでボットが感染していたことは2003年のBlaster、2004年のNetsky以来でしょう。

■いま、起きている問題

 私たちがGumblarの行う通信を発見し、お客様にご連絡してもすぐに問題は解決しません。対象のPCでウイルススキャンをかけても発見されないことが多いのです。

 そもそもPCに入っている(はずの)ウイルス対策ソフトでスキャンをして発見されるくらいなら、初めからそのPCにはウイルスが感染せず、不審な通信をJSOCに発見されることもありません。つまり、不審な通信が発見された時点で、そのPCに入っているウイルス対策ソフトでスキャンをしても遅いのです。

 最近のボットは感染したと同時に、ファイアウォールやウイルス対策ソフトのアップデートを無効にします。攻撃者が念入りに作成したボットであれば、感染したPCでボットを発見することは至難の業です。感染したPCを見つけ出すためには、ボットが行う不正な通信を発見する必要があります。

 ボットに感染していることが判明したPCは、どのようなものが仕込まれているか分からないため、OSの再インストールをすることが必須です。しかし、業務で利用するPCであれば、OSを再インストールをすることは難しいでしょう。そのときにはウイルス対策ソフトの会社が提供しているオンラインスキャンがお勧めです。オンラインスキャンはブラウザさえあれば特別なアプリケーションをインストールする必要がなく、手軽に実施できます。オンラインスキャンを行う場合は以下の点に注意してください。

  • 自組織で利用しているウイルス対策ソフト以外の会社のサイトを選ぶ
  • できれば複数社のサイトでスキャンを行う
  • インターネットに接続する必要があるので、ほかのPCに迷惑をかけないようにする
  • 偽オンラインスキャンサイトに引っかからないようにする

 最初の3点はいうまでもありませんが、特に最後の偽オンラインスキャンサイトには注意してください。以下の2つの画像は検索エンジンで「online scan」といれて検索した結果ですが、偽オンラインスキャンサイトへ誘導する検索結果が上位に現れます。さも普通のオンラインスキャンができるサイトのように見せかけて偽のスキャンを行い、ボットを埋め込もうとしています。
図3 検索結果に表示される偽オンラインスキャンサイトの例

 しかも、これらの悪性サイトから仕込まれるボットは、ウイルス対策ソフトが対応していない場合も多く、さらに被害を大きくしてしまいます。参考までにこのような悪性サイトから埋め込まれるボットを無料のファイル解析サービス、VirusTotalで検査したところ、以下のような結果になりました。
図4 VirusTotalでの調査結果

 41社のウイルス対策ソフトのうち、12社でしか発見することができませんでした。攻撃者も作成したボットをリリースする前にこのVirusTotalで検査し、どこの製品にも発見されないような状態であることを確認しているのでしょう。くれぐれも偽オンラインスキャンのサイトに引っかからないようにしてください。

■Gumblarの対策は?

 あらためていうまでもありませんが、Gumblar対策は、PCの脆弱性管理と同義です。パソコンにインストールされているソフトウェアをアップデートしておけば被害に遭うことはありません。脆弱性がない状態を保ち続けることが難しいことだとは分かっていますが、これが最も有効な対策なのです。対策の詳細については第16回「分かっちゃいるけど難しい、アカウント情報盗用ボット対策」に記述していますので、それを参考にしてください。

【関連記事】
川口洋のセキュリティ・プライベート・アイズ(16)
分かっちゃいるけど難しい、アカウント情報盗用ボット対策
http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/016.html

 ちなみに今回の注意喚起では、Gumblarが通信するIPアドレスを記載しています。JSOCで観測したGumblarの90%はこのIPアドレスへの通信を行っています。このIPアドレスへの通信をファイアウォールで制限してもらうことで被害を軽減することができるでしょう。もちろん、このIPアドレスでのアクセス制御はボットの改造に伴い、有効に機能しなくなる可能性があることを理解して行ってください。

■ボットが狙う情報

 Gumblarに関しては、いまのところFTPのアカウントしか興味がないようですが、ゲームやインスタントメッセンジャーのアカウントを盗むボットもいるため、そのようなアカウントを盗用するように改造される日もそう遠くはないでしょう。いま、私が最も恐れていることは、各種クラウドサービスのアカウントが盗まれることです(この際、クラウドサービスがなんであるかという定義は脇に置いておくとして)。

 現在の企業システムでは、アカウントによるアクセス制御に加えて、IPアドレスでのアクセス制御も行われてきました。この場合、例えアカウント情報を盗まれたとしてもインターネット側から悪用することはできません。今後は企業システムがクラウドサービス(例えばパブリッククラウドなど)を利用するようになり、アカウントのみでアクセス制御が行われるようになる場面も増えるでしょう。

 クラウドサービスのアカウントが盗まれてしまえば、攻撃者は企業システムにアクセスし放題となりますので、アカウントのみでアクセス制御しているシステムは特に注意してください。これからクラウドサービスが普及するにつれて、新たな脅威が生まれてくると思いますが、クラウドサービスに関する私の見解は別の機会に書こうと思います。

 コンピュータウイルスには悩まされていますが、幸いなことにJSOCはまだリアルウイルスの大きな被害にはあっていません。24時間365日動き続けるJSOCにとって、コンピュータウイルス以上に悩ましいのがリアルなウイルスです。

 リアルウイルスのインシデントに備えるためには、セキュリティアナリストの補強が欠かせません。私はセキュリティアナリストにふさわしい人材を発掘するため、今夜も飲みに行くのでした。

Profile
川口 洋(かわぐち ひろし)
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
CISSP

 ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

アナリストリーダとして、セキュリティイベントの分析とともに、IDS/IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。

現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。

川口洋のセキュリティ・プライベート・アイズ バックナンバー


川口洋のセキュリティ・プライベート・アイズ 連載インデックス

ホワイトペーパーTechTargetジャパン

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

スキルアップ/キャリアアップ(JOB@IT)

- PR -
- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ