TOP
>
設計・移行・活用
> 導入内容
1億円の企業ダメージを回避するウイルス対策ソリューション
第4回:最近のウイルスの特徴とその傾向
著者:
トレンドマイクロ 黒木 直樹
2005/10/26
前のページ
1
2
3
4
トロイの木馬
表1にあがっている1位の「TROJ_ROOTKIT」は、トロイの木馬型の不正プログラムである。日本での感染例が多いトロイの木馬型ウイルスであるが、実は海外ではほとんど被害を聞かかない。
そもそも「トロイの木馬」は、無害な正常プログラムであると偽ってコンピュータに侵入する不正プログラムのことであった。人が欲しがるゲームや画像などのプログラムに見せかけるなどして、ユーザが自らダウンロードするように欺くところがギリシア神話のトロイの木馬と似ているため、この名がつけられた。
多くの種類があるトロイの木馬型プログラムはユーザを欺いてファイルの実行を誘導する点は共通しているが、その後の活動は多岐に渡っている。実行されるとパソコンのファイルを破壊するもの、メールの添付ファイルとして自動的に自分自身のコピーを拡散させるワーム活動をするもの、Webブラウザの設定を変更してしまうもの、バックドアと呼ばれるハッカーの抜け道を勝手に作成してしまうものなど様々だ。
侵入の方法として頻繁に悪用されているのはWebサイトである。ネットサーフィンの最中に「〜をダウンロードします。よいですか?」といった意味の英語メッセージが表示された場合、ここで訳がわからずにとりあえず「Yes」をクリックしてしまうと、ダウンロードされたファイルが実はトロイの木馬であるということもある。また悪質なサイトでは年齢認証の表示とユーザを安心させてOKをクリックさせるが、実はそれがトロイの木馬のダウンロードを許可していたりすることさえある。
また、最近では他の不正プログラムと連携して流行を広げる事例も報告されている。例えば、あるWebサイトに埋め込まれた不正プログラム「A」が、ユーザがそのサイトを閲覧しただけで実行するタイプであり、これが別のトロイの木馬「B」を自動的にユーザのパソコンにダウンロードさせる用に仕組まれていた場合には、ユーザがこのWebサイトを見ただけでトロイの木馬に侵入されてしまう。
このような被害にあうのは特にアダルトサイトなどに多いが、そのようなWebサイトであってもInternet ExplorerなどのWebブラウザのセキュリティ設定を高くし、ウイルス対策ソフトのリアルタイム検索を有効にしておけばひとまずの対策にはなる。しかし、なにより危険なサイトには近づかないことが一番であるといえる。
項目
内容
感染方法
他の不正プログラム(アールボットやエスディーボット)によってインストールされることが確認されている。また、誤って手動でインストールしてしまうケースもある
ウイルス活動
Windowsのシステムファイルを改変し他の不正プログラムの活動を隠ぺいする。
その結果、パソコンがクラッシュすることもある
その他
この不正プログラムは、通常「WORM_RBOT」および「WORM_SDBOT 」の亜種のプロセスを隠蔽する。そのため、この不正プログラムに感染したコンピュータの大部分は、「WORM_RBOT」および「WORM_SDBOT 」の亜種に感染している可能性がある
表9:TROJ_ROOTKITの特徴
携帯電話のウイルス
レポートには掲載される程被害はでていないが、もう1つの9月度のトピックとして、スマートフォン(携帯電話)を対象としたウイルスで実感染が報告されたことがあげられる。以前から携帯電話を狙ったウイルスはあったが、実感染が報告されたのは非常に稀なケースである。今後、携帯端末が高機能化されてPCと変わらない機能を持つようになってくれば、PCと同様にウイルスに対する注意と対策が必要になってくる。
この「SYMBOS_CARDTRP.A」は2005年9月21日(米国時間)に発見された。携帯電話などに利用される「Symbian OS v6.0」上で活動するトロイの木馬型不正プログラムであり、感染すると複数の別ウイルスを作成する。不正プログラムは感染メモリカード内に自動実行ファイルを作成し、これにより感染メモリカードが別のモバイルデバイスやコンピュータに挿入された際、他の不正プログラムが自動実行される。
項目
内容
影響を受ける
ソフトウェア
SymbianOS
動作
以下の不正プログラムを作成
「BKDR_BERBEW.A」
「SYMBOS_CABIR.A」
「WORM_WUKILL.B」
ファイルの作成
侵入方法
ユーザにより携帯電話などのモバイルデバイスにインストールされることにより活動を開始する
感染確認方法
以下のファイルを作成
autorun.inf
buburuz.ICO
CARIBE.SIS
fsb.exe
SYSTEM.exe
レジストリの改変
なし
セキュリティ
ホールの利用
なし
表10:SYMBOS_CARDTRP.Aの特徴
セキュリティホールとウイルス
2005年8月14日に「WORM_ZOTOB.A」が発見され、続いて8月16日に「WORM_ZOTOB.D」と「WORM_RBOT.CBQ」の2つのウイルスが発見された。これらはともにマイクロソフトが発表した脆弱性「MS05-039:プラグ アンド プレイの脆弱性」により、リモートでコードが実行され、「特権の昇格が行なわれる脆弱性(899588)」を利用したウイルスである。
このMS05-039は2005年8月10日に公開された。上記のウイルスが発見されたのは同8月14日であるから、セキュリティパッチが公開されてからわずか4日間で、その脆弱性が利用されたウイルスが作成されてばらまかれたことになる。以前からいわれていることではあるが、ゼロディアタック(セキュリティパッチが公開される前に、ウイルスなどがその脆弱性を狙う攻撃を行うこと)が現実のものに近づいたといえるだろう。
図4:セキュリティパッチ公開とその脆弱性をついたウイルス作成
(画像をクリックすると別ウィンドウに拡大表示します)
ここ最近の傾向として、ウイルス被害が細分化(局所化)していることが見受けられる。以前は、ウイルスといえば不特定多数のコンピュータを無作為に攻撃するもので、世界的に大流行を狙う愉快犯的な動機を持つものであった。しかしいまやウイルスは標的を絞り、巧妙にコンピュータに侵入してくる。
また感染後もただの悪戯としての活動から、情報漏洩などユーザの実害につながる危険性が高い活動が多くなっている。これもウイルスを作成する人間が、愉快犯的な動機から金銭の搾取を動機とするようになったからである。
皆様もご存知のように、ウイルス対策ベンダー各社から毎月ウイルス情報やトピックなどが公開されている。皆様にはウイルス対策を行うとともに、既対策の見直しや有効活用のためにも、これら情報の収集にも気を配っていただきたい。
前のページ
1
2
3
4
著者プロフィール
トレンドマイクロ株式会社 黒木 直樹
トレンドマイクロ株式会社 上級セキュリティエキスパート
1996年トレンドマイクロ株式会社入社。
ウイルス対策ソフト「ServerProtect」をはじめとする法人向け製品のプロダクトマーケティングを経て、製品開発部の部長代行に就任(2000年)。個人・法人向け全製品の開発においてリーダーを務め、同社のビジネスを支える主力製品へと成長させる。アウトソーシングサービス事業の立ち上げた後(2001年)、2002年にコンサルティングSEグループ兼インテグレーショングループ部長に就任。営業支援のシステムエンジニア、テクニカルコンサルタントを率い、情報セキュリティ全般にわたりプロジェクトを推進する。
INDEX
第4回:最近のウイルスの特徴とその傾向
ウイルス被害レポートを読む
BOTとは
BOTの具体例
トロイの木馬
