記事登録
2008年12月18日(木) 22時01分

USBマルウェアを生んだのはボット感染PC@IT

 ラックは12月18日、2008年の情報セキュリティ動向を振り返る説明会を開催した。同社サイバーリスク総合研究所 先端技術開発部の新井悠氏は、2008年の脅威の特徴として「USBマルウェア」「偽ウイルス対策ソフトの押し売り行為」「民間企業を狙った標的型攻撃」の3つを挙げ、手の込んだそれぞれの手口について解説した。

 まず2008年のインターネットの脅威を振り返ると、Webや電子メールを介したウイルス/ワームに比べ、USBメモリなどのリムーバブルメディアを介して感染を広める「USBマルウェア」の増加が著しく目立ったという。トレンドマイクロの調べによると、1月にはほとんど報告がなかったが7〜8月になって急増し、以降、時期によって増減はあるものの確実に増加している。

 とはいえ、ネットワークを介して大量に電子メールをばらまくワームなどと比べて、USBメモリという媒介だけでこれだけの感染に至ることは考えにくい。そこで、そうしたUSBマルウェアの1つを分析したところ、「PCに感染したボットがUSBマルウェアを生み出している」ことが明らかになったという。

 新井氏がUSBマルウェアの1つ「TROJ AGENT.AEGH」の挙動を解析したところ、ボットの挙動と非常によく似ていることが明らかになった。また、別のUSBマルウェアのコードを解析したところ、感染したPCのUSBドライブを常に監視し、何かメディアが接続されたことを検出するとマルウェアを感染させる機能が実装されていることが明らかになった。

 同氏はこの結果を踏まえ、USBマルウェアは既存のボットの発展系の1つではないかと指摘する。「Webなどを通じてボットに感染したPCからUSBマルウェアが生み出され、そこからさらに別のPCに感染しているというのが実態ではないか」。

●対策強化が原因? 偽ウイルス対策ソフトの増加

 2つめの偽ウイルス対策ソフトの押し売り行為は、数年前から警告されていたものだが、2008年はその数が増加した。また手口もますます巧妙になっており、壁紙を変更したり、クラッシュ画面のスクリーンセーバーに差し替えてユーザーを不安に落としいれるものも発見されているという。

 偽ウイルス対策ソフトという「ビジネスモデル」が注目される背景として、Windows Vistaに搭載されたUACをはじめとするセキュリティ対策が高度化した結果、これまでの伝統的な「マルウェア」ではPCへの侵入が困難になってきたことも考えられるという。「偽ウイルス対策ソフトは、通常のソフトウェアとして動作することで、UACを打ち破る可能性がある。正当なソフトウェアになりすますことで、最新のセキュリティ対策をかいくぐろうとしているのではないかと推測できる」(新井氏)。

 もう1つのトピックは、官公庁ではなく、民間企業を対象とした標的型攻撃が報告されたことだ。従来、海外や官公庁だけが対象と思われていたが、とうとう民間企業もそのターゲットになった。

 政府機関の名前をかたった民間企業向けの標的型攻撃メールが初めて報告されたのは9月10日。以降、散発的に間を置きながら、いまも継続しているという。特徴的なのは「役所の人にありがちな文面に加え、実際に存在している部署、人名を使っていること」(新井氏)。タイトルや内容の選び方も秀逸で、多くの人が関心を持ちがちな「人事情報」、総理就任にタイミングを合わせた「国連総会演説」などを組み合わせ、普段から官公庁と取引のある企業に対し高度な“釣り”を行っている。

 これらの標的型攻撃で注意すべき点の1つは、感染した事実を発覚しにくくするためか、情報収集のみに特化していることだ。感染PCから広範な情報を収集する機能を備えているものの、感染を広める機能は備えていないことが、ボットとの違いだという。

●2009年も「Webからの脅威」は継続

 新井氏は、2009年もWebからの脅威は継続するだろうと予測している。「いろいろなサービスがブラウザという単一のインターフェイスに依存している。そのインターフェイスを使わない手はない」(同氏)。

 同時に、セキュリティ対策の高機能化にともない、偽ウイルス対策ソフトのように人をだましたり、操作ミスにつけ込む、技術だけでは防御が困難な脅威も引き続きまん延する可能性がある。標的型攻撃と合わせて、これらをどのように防いでいくのかが課題だとした。

 一連の分析からは、「金銭を稼ぐこと」を目的に、これまでも存在していた脅威がより高度化し、連携していることも見て取れる。例えば、USBマルウェアの感染を広げるボットをばらまくサイトへの誘導にも、偽セキュリティ対策ソフトを売りつける悪意あるサイトへの誘導にも、SQLインジェクション攻撃によるWebサイトの改ざんという陰が見え隠れしている。

 「愛好家や自己顕示欲に基づく攻撃から、金銭目的ということが明確になり、マルウェアそのものだけでなく、作成ツールまでもが売買されている。サービスとしてボットネットを利用できるようにし、抜き取った情報を提供するものまで登場しており、一部では『Cybercrime as a Service:CaaS』などと呼ばれている」(新井氏)。

 同氏は、マルウェアを悪用する側の障壁がどんどん低くなっており、技術の整備が進んでいると警告する。ただ救いは、標的型攻撃の対象となった人物が「何かおかしい」と感じて被害を免れたように、水際で「人のセキュリティ」が働く可能性があることだ。基本的なセキュリティ対策をしっかり取るとともに、こうした「怪しさ」に気付くことができるような啓発が改めて重要になるだろう。

【関連記事】
・SQLインジェクション攻撃の波が再来、通常の70〜100倍に(@ITNews)

・「消えるマルウェア」も登場した2007年(@ITNews)

・川口洋のセキュリティ・プライベート・アイズ(@IT Security&Trust)

http://headlines.yahoo.co.jp/hl?a=20081218-00000005-zdn_ait-sci