PR

トロイの木馬が引き起こす新しいオンライン詐欺

2009年11月17日(火)
斉藤 亘

トロイの木馬を侵入させる高度な配布法

高度な配布法(1)【DNSキャッシュポイゾニング】

正しいサイトへのリンクをたどっているにもかかわらず、不正なサイトに誘導されてしまう場合もある。DNSキャッシュ・ポイゾニングは、図2に示す通り、インターネットのナビゲーションをつかさどるDNSサーバーに対して攻撃をしかけることで、不正なサイトへ誘導する手口である。正しいURLを指定しているのに、不正なサイトへ連れて行かれてしまうので、注意が必要である。

高度な配布法(2)【Webサイトの改ざん】

2008年ごろから、SQLインジェクションやクロス・サイト・スクリプティング(XSS)を使って他者のWebサイトを勝手に改ざんする攻撃が多発した。最近では、銀行をはじめとした金融機関などではWebサイトの管理水準が非常に高まっているが、積極的に改ざん対策を進めている一部のサイトを除けば、まだまだ対策が不十分なところが多い。

注意を要するのは、有名なタレントの公式サイトやSNSなど、多くの利用者がアクセスするサイトである。アクセス数が多く、脆弱(ぜいじゃく)性対策が徹底されていない恐れのあるサイトは、トロイの木馬を広めるには絶好の舞台だからである。特に、このケースで利用者側でできることは限られており、事業者側が徹底したセキュリティ対策を講じていくことが強く望まれる。

ソーシャル・エンジニアリングを利用した配布法(1)【標的型攻撃】

DNSや本物のWebサイトを攻撃することなく、技術的にありふれた方法でも、攻撃者にとってトロイの木馬を効率的に配布する方法がある。それが、ソーシャル・エンジニアリングの活用である。最近増大している、標的型あるいはスピア型と呼ばれる攻撃は、一見業務に関係しそうな、個人を名指しして送られてくるメールにトロイの木馬を添付する手法である。名指しされていると、つい無警戒に添付ファイルを開いてしまいやすい、という人間の特性を突くもので、注意が必要である。

ソーシャル・エンジニアリングを利用した配布法(2)【停戦トロイの木馬攻撃】

2008年末中東で軍事的な衝突が発生した際、後に「停戦トロイの木馬」と呼ばれることになる攻撃が確認された。この攻撃では、まず米国の大手メディア会社(CNNなど)の名をかたったメールが配布された。このメールに記述された生々しい戦場の映像へと誘うリンクをクリックすると、CNNそっくりのニュース・サイトに誘導される。

好奇心をそそるタイトルとともに一覧表示された動画へのリンクをクリックすると、「動画再生用のプラグインが古いので、バージョン・アップが必要」という旨の表示が出る。この表示に従うと、トロイの木馬がダウンロード、インストールされるのである。こうした手口は、米国の大統領選挙や有名人のスキャンダルの度に繰り返し使われており、疑心を上回る旺盛な好奇心の持ち主が被害に遭っている。

ソーシャル・エンジニアリングを利用した配布法(3)【偽セキュリティソフト攻撃】

さらに、もう1種、被害が急増しているのが、偽セキュリティソフトをインストールする手口である。メールなどでセキュリティ診断をもちかけたり、Webサイトで突然「ウイルスに感染した」などとポップアップ表示を出した上で、セキュリティ・ソフトの提供をもちかけるのだが、実際にはこのセキュリティ・ソフト自身がトロイの木馬を含んでいる、というものである。

トロイの木馬から身を守るためには

トロイの木馬を含むマルウエアの感染に用いられる手法は、必ずしも画期的なものとは限らない。例えば、2008年に大流行したワーム「Conficker」は、USBメモリ挿入時の自動実行機能を利用して、オフラインで広がっていった。まるで、フロッピー・ディスク時代の話である。USBメモリを接続できないようにするシステム対応が進むこととなったが、無警戒な個々のユーザーに起因する感染拡大がまだまだ多いことを示している。

トロイの木馬の場合、外部と通信することで、ほかのトロイの木馬を手引きしたり、自らを更新したりと、いっそうスマートなマルウエアに進化している。

単純な方法にひっかかった警戒心が低いユーザーは、二の矢、三の矢で狙い撃ちされる恐れが強い。パスワードなどの秘密情報を持ち出され、次には他者への攻撃に利用されるといった具合に、二重三重の被害に遭いかねない。

十分警戒心を持っていると思われるユーザーに対しても、多数のトロイの木馬がさまざまな脆弱(ぜいじゃく)性を突いてくる。その結果、たった1カ所でも脆弱性を突破されれば、セキュリティ・ソフトを停止されたり、ファイア・ウォールのポートが開かれたり、といったセキュリティ対策の無効化がなされる恐れがある。

高度化、多様化するオンライン脅威の前には、唯一万能のセキュリティ対策は無い。つまり、複数の対策を組み合わせた「多層防御」が必要ということになる。この多層防御の重要性がうたわれるようになって久しいが、Confickerの大流行を見るまでもなく、この考え方が一般のインターネット利用者に浸透するより先に、攻撃側が「多層攻撃」をしかけ始めている。

セキュリティ強化に対する個々人は、面倒くさがって敬遠することなく、自らの利用スタイルに合わせた適切なセキュリティ対策を講じることが重要である。もちろん、オンライン・サービスを利用するにあたっては、信頼に足るセキュリティ対策を講じている事業者を選ぶようにすることは言うまでもない。

次回は、組織化するオンライン犯罪とそれに対抗する手段について解説する。

RSAセキュリティ株式会社 コンサルティング本部 システムエンジニア
オンラインセキュリティ製品の導入・運用支援を行っている。最近の仕事は金融機関Webサイトへのリスクベース認証の導入コンサルティング。以前はPKIベースの電子認証システム製品の開発を行っていた。お気に入りの休日の過ごし方は自家製の燻製とワインでホームパーティーを開くこと。

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています