【3/18〜】Amazon、VMwareが語る『クラウドの未来』 スラッシュドット    はてなブックマーク  Yahoo!ブックマークに登録  印刷

民間企業狙う標的型攻撃も、ラックが2008年の脅威を総括

USBマルウェアを生んだのはボット感染PC

2008/12/18

 ラックは12月18日、2008年の情報セキュリティ動向を振り返る説明会を開催した。同社サイバーリスク総合研究所 先端技術開発部の新井悠氏は、2008年の脅威の特徴として「USBマルウェア」「偽ウイルス対策ソフトの押し売り行為」「民間企業を狙った標的型攻撃」の3つを挙げ、手の込んだそれぞれの手口について解説した。

 まず2008年のインターネットの脅威を振り返ると、Webや電子メールを介したウイルス/ワームに比べ、USBメモリなどのリムーバブルメディアを介して感染を広める「USBマルウェア」の増加が著しく目立ったという。トレンドマイクロの調べによると、1月にはほとんど報告がなかったが7〜8月になって急増し、以降、時期によって増減はあるものの確実に増加している。

lac01.jpg ラック サイバーリスク総合研究所 先端技術開発部 新井悠氏

 とはいえ、ネットワークを介して大量に電子メールをばらまくワームなどと比べて、USBメモリという媒介だけでこれだけの感染に至ることは考えにくい。そこで、そうしたUSBマルウェアの1つを分析したところ、「PCに感染したボットがUSBマルウェアを生み出している」ことが明らかになったという。

 新井氏がUSBマルウェアの1つ「TROJ AGENT.AEGH」の挙動を解析したところ、ボットの挙動と非常によく似ていることが明らかになった。また、別のUSBマルウェアのコードを解析したところ、感染したPCのUSBドライブを常に監視し、何かメディアが接続されたことを検出するとマルウェアを感染させる機能が実装されていることが明らかになった。

 同氏はこの結果を踏まえ、USBマルウェアは既存のボットの発展系の1つではないかと指摘する。「Webなどを通じてボットに感染したPCからUSBマルウェアが生み出され、そこからさらに別のPCに感染しているというのが実態ではないか」。

対策強化が原因? 偽ウイルス対策ソフトの増加

 2つめの偽ウイルス対策ソフトの押し売り行為は、数年前から警告されていたものだが、2008年はその数が増加した。また手口もますます巧妙になっており、壁紙を変更したり、クラッシュ画面のスクリーンセーバーに差し替えてユーザーを不安に落としいれるものも発見されているという。

 偽ウイルス対策ソフトという「ビジネスモデル」が注目される背景として、Windows Vistaに搭載されたUACをはじめとするセキュリティ対策が高度化した結果、これまでの伝統的な「マルウェア」ではPCへの侵入が困難になってきたことも考えられるという。「偽ウイルス対策ソフトは、通常のソフトウェアとして動作することで、UACを打ち破る可能性がある。正当なソフトウェアになりすますことで、最新のセキュリティ対策をかいくぐろうとしているのではないかと推測できる」(新井氏)。

 もう1つのトピックは、官公庁ではなく、民間企業を対象とした標的型攻撃が報告されたことだ。従来、海外や官公庁だけが対象と思われていたが、とうとう民間企業もそのターゲットになった。

 政府機関の名前をかたった民間企業向けの標的型攻撃メールが初めて報告されたのは9月10日。以降、散発的に間を置きながら、いまも継続しているという。特徴的なのは「役所の人にありがちな文面に加え、実際に存在している部署、人名を使っていること」(新井氏)。タイトルや内容の選び方も秀逸で、多くの人が関心を持ちがちな「人事情報」、総理就任にタイミングを合わせた「国連総会演説」などを組み合わせ、普段から官公庁と取引のある企業に対し高度な“釣り”を行っている。

 これらの標的型攻撃で注意すべき点の1つは、感染した事実を発覚しにくくするためか、情報収集のみに特化していることだ。感染PCから広範な情報を収集する機能を備えているものの、感染を広める機能は備えていないことが、ボットとの違いだという。

2009年も「Webからの脅威」は継続

 新井氏は、2009年もWebからの脅威は継続するだろうと予測している。「いろいろなサービスがブラウザという単一のインターフェイスに依存している。そのインターフェイスを使わない手はない」(同氏)。

 同時に、セキュリティ対策の高機能化にともない、偽ウイルス対策ソフトのように人をだましたり、操作ミスにつけ込む、技術だけでは防御が困難な脅威も引き続きまん延する可能性がある。標的型攻撃と合わせて、これらをどのように防いでいくのかが課題だとした。

 一連の分析からは、「金銭を稼ぐこと」を目的に、これまでも存在していた脅威がより高度化し、連携していることも見て取れる。例えば、USBマルウェアの感染を広げるボットをばらまくサイトへの誘導にも、偽セキュリティ対策ソフトを売りつける悪意あるサイトへの誘導にも、SQLインジェクション攻撃によるWebサイトの改ざんという陰が見え隠れしている。

 「愛好家や自己顕示欲に基づく攻撃から、金銭目的ということが明確になり、マルウェアそのものだけでなく、作成ツールまでもが売買されている。サービスとしてボットネットを利用できるようにし、抜き取った情報を提供するものまで登場しており、一部では『Cybercrime as a Service:CaaS』などと呼ばれている」(新井氏)。

 同氏は、マルウェアを悪用する側の障壁がどんどん低くなっており、技術の整備が進んでいると警告する。ただ救いは、標的型攻撃の対象となった人物が「何かおかしい」と感じて被害を免れたように、水際で「人のセキュリティ」が働く可能性があることだ。基本的なセキュリティ対策をしっかり取るとともに、こうした「怪しさ」に気付くことができるような啓発が改めて重要になるだろう。

関連リンク

関連記事

(@IT 高橋睦美)

情報をお寄せください:

Security&Trust フォーラム 新着記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

RSSフィード

@IT 新着記事

アイティメディアの提供サービス

ホワイトペーパー(TechTargetジャパン/閲覧には会員登録が必要です)

スキルアップ/キャリアアップ(JOB@IT)

- PR -
@IT Special -PR-
「いつかは壊れるサーバ」そんな故障に
迅速で安価に手軽に対応する方法とは?
New!
「特権ユーザー」の事件を防げ!
万能権限を持つユーザーの管理方法とは?
New!
仮想環境の構築とデータ保護の特効薬?!
実績と信頼性の高いパッケージで安心運用
仮想環境のバックアップもこれまでどおり
「まるごと取ってまるごと戻す」簡単運用
おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介
その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?
美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?
進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

→@IT Special ヘ

- PR -

お勧め求人情報

キャリアアップ 〜JOB@IT
@IT Special -PR-
  TomcatやJBossなどAPサーバ環境に関する
情報を集約! “業務”用APサーバ大百科
New!
  一気に解説! 最新のクラスタストレージ
「RAIDを超えたストレージ基準」……など
New!
  クラウド的ユーザー体験の変化は脅威か?
仮想化技術を使いこなす運用管理術を紹介
New!

  上司や部下、部署内メンバーとの情報共有
を“ガラッ”と変えるコラボツールとは?
New!
  おばかアプリ選手権、第4弾開催中!!
ムダにカッコよくてくだらない作品求ム!
  社内ファイルサーバを“クラウド”に統合
VPN直結「クラウド型ストレージ」を紹介

  Twitterのアカウントはなぜ突破された?
メールによる新手の攻撃手法とその対策
  もう仮想化のお試しフェイズは終わりだ!
Hyper-V 2.0が基幹システムも仮想化
  美人!? まあまあ? 気になる いやし系!!
PV急増で「美人時計」がとった手段とは?

  クライアント企業から求められる人材
⇒IT技術と経営戦略を併せ持つ「戦略家」
  .NET編集長が実践する「技術情報検索術」
サンプル・コードを簡単に探す“技”は?
  業務効率と情報セキュリティ対策を両立!
手間なく確実に機密情報を守る方法とは?

  進化を続ける富士通ストレージETERNUS DX
製品開発者の自信を裏付けるものとは何か
  運用管理の課題を“2つの観点”から分析
ユーザー満足度の高い「仮想環境」とは?

  【CTC事例】約30の基幹システムを統合!
膨大なバッジジョブを制御した方法は?
  仮想化すればコストは削減できるか?
仮想化に必要な「3つの視点」を解説する
  その数、なんと400台以上! グループ内
サーバの「統合管理」によるメリットは?

→@IT Special ヘ