ソフォス セキュリティ脅威レポート

フィッシング詐欺を防ぐ三カ条、「買うな」「試すな」「返事をするな」

2007/05/11

凄腕ウイルスライターの現場復帰?

 悪質なコンピュータプログラムの蔓延はなかなか止まらない。英ソフォスの調査によると、2006年は4万1536件のマルウェア(悪質プログラム)を検知したという。この数字は年々増加傾向にあり、現時点では減少傾向に転じる気配は見られない。

ソフォス写真 ソフォスラボ アジアパシフィック&日本 マネージャ ショーン・マクドナルド氏

 マルウェアという大きなくくりの中には、さまざまなプログラムが含まれる。オペレーティングシステムの主流がDOSだった頃に世界中のコンピュータを汚染した寄生ウイルス(ファイルウイルス)もマルウェアの一種といえる。たいへん複雑な構造をしており、熟練のプログラマでもない限り作成は難しいとされ、最近ではすっかり影を潜めていたが、「感染手段としてにわかに再増加中」とソフォスラボ アジアパシフィック&日本 マネージャ ショーン・マクドナルド(Sean MacDonald)氏は話す。

 寄生ウイルスはターゲットとするファイルに感染するたびに実行ファイルをペイロードし、どんどん被害を拡大していく。これらを駆除するには感染方法を突き止め、ファイルをクリーンな状態に戻していく作業が必要になる。ウイルス対策ソフトウェアは、感染ファイルの「ウイルス部分」を削除しながら、システム全体を正常な状態に戻していくことになる。

 一昔前の寄生ウイルスの感染経路は、フロッピーディスクなどの外部メディアが主流だったが、現在ではUSBメモリなどの(フロッピーディスクに代わる)外部メモリのほか、電子メールがある。しかも、感染経路としての電子メールは、インフラ自体の高速化、複雑化が進み、悪意ある者にとってはたいへん魅力ある存在となっている。多くのスパムメールは「ディストリビューテッド・スパム・ゾンビ・ネットワーク」と呼ばれる、ウイルス感染によって乗っ取られたパソコン網を通じて送信されているといわれているが、寄生ウイルスの新たな流行は、こんな状況が背景にあるのかもしれない。マクドナルド氏は「かつての凄腕ウイルスライターが現場に戻ってきたのか、新世代のウイルスライターが現れたのか、理由は定かではないが……」とコメントする。

身代金を要求するマルウェアも

 マルウェアには流行がある。現時点ではそれほど悪意ある者たちの関心を集めてはいないが、今後流行するものとして「モバイルマルウェア」がある。モバイルプラットフォームに特化した悪意あるプログラムである。一部でその存在が報道されることがあるが、大規模な被害はいまのところ発生していない。

 その理由は、プラットフォームが統一されていないため、大規模感染を起こすマルウェアの作成が困難だという点が挙げられる。ただし、今後サービスとプラットフォームの統合が進めば、「マルウェア作成者にとって魅力的なデバイスとなることは明らかだろう」とマクドナルド氏は言う。

 被害規模は大きくないが、ユニークな挙動をするマルウェアがある。データを勝手に暗号化し、復号化するために金銭を要求するという「ランサム(身代金)ウェア」と呼ばれるマルウェアがそれだ。ターゲットファイルをパスワードロックのかかったzipファイルに圧縮し、元のファイルのコンテンツを「Erased by Zippo! GO OUT!!」に置換、AUTO_ZIP_REPORT.TXTファイルを作成し、「300ドルを支払えばデータをリカバリする手段を教える」などとして支払い方法をユーザーに提示するのである。

 「スケア(脅かし)ウェア」というのもある。ユーザーに対して、「スパイウェアが検知された」と通知したり、「あなたのコンピュータは感染しています!」などと警告を発し、もし駆除したい場合は指定されたURLで駆除ソフトを販売するとご親切に忠告してくれる。

スパムも急増、イメージスパムは18.5%から35.1%へ

 マルウェアの蔓延と同様、スパムメールの増加傾向もはなはだしい。スパムのうち、画像に広告を挟むイメージスパムが急増しているとマクドナルド氏は言う。ここ1年ほどで、18.5%から35.1%にまでスパムに占める比率を上げた。

 イメージスパムが多用されるのは、ファイルにランダム・ノイズを加えることで、チェックサムを変え、随時ユニークな数値を生成させることで、スパム・フィルターの網の目を逃れようとする目的がある。画像データのうちのたった1ビットだけを変えることで、チェックサムの変更を行う。とはいえ「普通のスパムフィルターではそんな小細工は見逃さない」(マクドナルド氏)ため、スパム作成者が意図したほどの効果があがっているとはいえない。

手口の複雑化

 そして、フィッシング詐欺である。マルウェアの多様な手法を組み合わせることで、被害者から金銭を引き出す手口は年々複雑化、巧妙化している。代表的な例では、ソーシャルエンジニアリングの手法を効果的に活用してコンテンツを作成、それをスパムメールとして全世界に発信し、いくつかの段階を踏みながら偽のWebサイトへ被害者を誘導、途中でスクリプトを組み込んだページを噛ませ、マルウェアをダウンロードさせる仕組みがある。ダウンロードされた最初のマルウェアはさらに第2、第3のマルウェアを連鎖的にダウンロードし、被害者のシステムのさらに深くまで浸透していくのである。

 マクドナルド氏は、スパムメールを経由してモノを買ってはいけない、リンク先に飛ぶなど試してもいけない、問いかけられてもけっして答えてはいけないなどとフィンシング詐欺に対するアドバイスを行った。

関連リンク

(@IT 谷古宇浩司)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)