Tweet

ラックが2011年の脅威を総括

マルウェアは「巧妙にかいくぐるテクニック」を磨き続ける

2011/12/28

　ラックは12月16日、2011年の情報セキュリティをめぐる状況を総括する説明会を開催した。この中で取り上げた2つのマルウェアは、2012年以降の脅威を探る上でも、示唆に富んだ性質を持っている。

ラック コンピュータセキュリティ研究所 岩井博樹氏

　1つは同社が「Chimera Attack（キメラ・アタック）」というコードネームで呼んでいる攻撃手法だ。防衛産業や化学メーカーなど数社で攻撃が確認された、標的型攻撃の一種という。

　ターゲットに狙いを絞ってマルウェアに感染させ、情報を盗み取るという動きは標的型攻撃の常套手段。ただキメラ・アタックは、フィルタリングをかいくぐるために国内のサーバを悪用したり、情報を盗み取っていることを気取られないよう画像ファイルを偽装したりと、「より巧妙になっている」（同社 コンピュータセキュリティ研究所 岩井博樹氏）ことが特徴だ。

　これまでに報じられた標的型攻撃の多くは、電子メールの添付ファイルを介して感染していた。しかしこのキメラ・アタックは、電子メールフィルタリングソフトの対策を回避するためか、URLを介したスピア型フィッシングを利用している。

　また、感染したマシンが通信する先は、国内のクラウドサービス内で運用されている実在のサイトだ。海外の「悪意あるサイト」を利用した場合、URLフィルタリングによってある程度対策が可能な状態だ。これに対し国内のクラウドサービスを踏み台とすれば、正規のサイトと変わらないため、フィルタリングをかいくぐって感染したマシンと通信できることになる。

　感染後にPC上で動作するキーロガーも、感染したことをユーザーに気取られないよう、GUI式ではなくコマンドライン式。収集した情報は、ゲートウェイでの検出をすり抜けるため、画像ファイルを装って攻撃者の元に送られる。さらに、Pass the Hashなどのテクニックを使って「ネットワーク内部への侵入を広げ、ドメインコントローラへの到達を目指していると思われる」と岩井氏は説明した。

　こうした解析を踏まえると、キメラ・アタックは「2009年以降に流行した攻撃テクニックの『いいところどり』」（岩井氏）だという。

　岩井氏は、「これまで標的型攻撃に利用された攻撃で、ゼロデイを使ったものは観測していない。パッチマネジメントをきちんとしていれば、かなりの割合で防げるのではないか」と述べた。

　ただ一方で、「2012年には、P2Pの技術が加わってくるのではないかという予感がしている」と同氏。後述する「SpyEye」の活用も考えられるという。また、情報を盗み出す際には、被害PCから直接送信するのではなく、別の「持ち出し用PC」にいったん集約してまとめて送信するなど、よりセキュリティ管理者に気付かれにくい方法を取る可能性があるという。

　こうした動きを踏まえ岩井氏は、「データそのものへの対策」、つまり暗号化に注目が集まるのではないかと説明した。

OSに実装されたセキュリティ対策をも回避

　もう1つ着目したいマルウェアが「SpyEye」だという。

　これは、金銭目的の攻撃に利用されているマルウェアだ。同名のツールキット「SpyEye Builder」によって生成でき、感染したPCからユーザーのIDやパスワード、クレジットカード番号、暗証番号といった情報を盗み出す。

ラック サイバーセキュリティ研究所 新井悠氏

　このマルウェアは、2011年になって初めて登場したわけではない。2010年ごろから世界的に、金融機関を狙うフィッシング詐欺などに悪用されてきた。そして日本国内では、「2011年4月ごろから継続して検出されるようになっている」（同社 サイバーセキュリティ研究所 新井悠氏）。

　1つ注目したいのが、SpyEyeが感染したプラットフォームだ。感染の割合を見ると、Windows XPや2000といったレガシーなOSだけでなく、Windows Vistaや7など、マイクロソフトがセキュリティ対策に力を入れたはずのOSが半分近くに上った。おそらく、この数年をかけて攻撃者が編み出してきた「回避策」が、SpyEyeには実装されているのではないかという。

　またSpyEyeは感染すると、通信内容の一部を改ざんし、本物のサイトにアクセスしていても、偽のフォーム欄などを追加して表示する。フィッシングサイトをわざわざ用意することなく、重要なデータを盗み取ってしまう仕掛けだ。新井氏によると、「（サイトの真正性を保証する）EV-SSLを使っていても、偽のページを表示できてしまう」という。

　新井氏は、「海外ではいま、警察署からの偽の警告を装って、罰金を支払わせようとする詐欺が増えている」と指摘。この詐欺にもあっという間に各国語版が登場している事実に触れ、「遠からず日本語でも出てくるかもしれない。海外ではやっているものが日本にも上陸するという傾向は変わらないことから、来年はこうした手口に注意する必要がある」と述べた。