TOP情報セキュリティ> スピア型攻撃の顕著化
セキュリティインシデント2006
2006年のセキュリティインシデントと2007年の新たな動き

新たなキーワードはルートキット/Web 2.0/ソーシャルエンジニアリング

著者:トレンドマイクロ  黒木 直樹   2006/12/18
前のページ  1  2  3  次のページ
スピア型攻撃の顕著化

   今までのウイルス/ワームによる攻撃は、マスのコンピュータに向けて行われていた。この背景として、これまでのウイルスは「愉快犯」と呼ばれる作者の技量の高さを誇示することがその目的であったからである。しかし、2005年頃から広域に仕掛けるのではなく、特定の企業や団体に属する個人を対象とするウイルス/ワームが増加してきた。これを「スピア(spear:槍)型」と呼ぶ。

   このスピア型の傾向は、ウイルス/ワームだけではなくインターネット上の詐欺にもおよんでいる。

   例えばフィッシングの場合、特定のカード会社に似せたフィッシングサイトを構築しておき、そのWebサイトの情報(URL)を、その特定カード会社に加盟している顧客に送付する。自分が加盟していないカード会社からのメールであれば無視することが多いが、自分が加盟しているカード会社からのメールであれば読む確率も上がり、結果としてフィッシングに騙されるケースも増えるのである。またその顧客データは別の手段で入手していると思われる。

   後述するボットウイルスに関しても、特定の企業のみを狙うことで発見を遅らせることも可能である。一般的なウイルス検出技術はパターンマッチングと呼ばれ、ウイルス/ワーム本体(検体)とウイルス/ワームのデータベースをマッチング(比較)することで行われるため、検体が入手できないとパターンファイルを作成できないからだ。

   8月に発見されたジャストシステムの「一太郎」をターゲットとしたトロイの木馬型ウイルスも、それに類するものだといえる。以前は、ウイルス/ワームの攻撃対象となる世界的にメジャーなOSやソフトウェアを使わないことが高いセキュリティレベルにつながると考える傾向もあったが、利用される範囲が限定的なソフトウェアでも十分にターゲットとされる環境になってきたのである。


ボットの定番化

   ボットとはコンピュータウイルスの一種で、感染したコンピュータをインターネット経由で外部からコントロールできる悪意のあるプログラムのことである。ボットという名称も遠隔操作できる「ロボット」に由来している。

   ボットに感染すると、悪意のある攻撃者(ハーダーと呼ばれる)にコンピュータがリモートコントロールされ、利用者の意思とは無関係に「迷惑メールの大量配信」「特定サイトの攻撃」「個人情報漏洩」などに悪用される。

   このボットに関しては、流行の当初ほど大きな話題にはならなくなっているが、それは表面上でありボット系不正プログラムによる感染は継続している。ボットネットワークを利用する攻撃者により、ウイルス対策製品による検出を免れるようにカスタマイズされた亜種が作成され続けている。そして内容的にはスピア攻撃的に侵入ターゲットを絞ったケースが多くなっているのも特徴だ。

   またボットのほとんどはネットワークワームの活動を持っているが、通常マスメーリングのような大規模感染を狙った活動は行わない。ボットネットワークに対しては企業や個人における自衛手段だけではなく、ウイルス対策ベンダー、インターネットサービスプロバイダなど、業界横断的な対抗策が求められる。


イベント便乗型ウイルスの多発

   2006年は、2月に冬季オリンピック、6月にはFIFAワールドカップと世界的なスポーツイベントが開催されたことが記憶に新しい。コンピュータウイルスが一般に流行するようになって久しいが、いまだに世界的ビッグイベントが開催されると必ず便乗型のウイルスや迷惑メールが登場する傾向がある。

   ワールドカップ関連に限っても「WORM_RANCHNEG.A」「WORM_STAC.A」「XF_YAGNUUL.A」など、チケット当選の連絡や選手の写真などと偽って添付ファイルを開かせようとする手口で不正プログラムがばら撒かれた。

   これらのウイルスについては幸いにも、メールに使用されている言語が日本語ではなかったために日本での被害はほとんど無かったが、手口としては最も狙われやすいものである。世界的なビッグイベントが行われる際には、これまでと同様に十分に注意を払う必要があろう。


多重感染するマスメーリング型ワームの多発

   8月末に「WORM_STRATION(ストレーション)」がはじめて発見された後、急速に亜種の数が増えた。その結果、9月11日と20日に日本国内のローカルなウイルスイエローアラートも発令された。

   引き続き非常に多くの亜種が発生し続けており、11月末日現在で300種類以上に上る。また、9月末頃から北米、ヨーロッパ、アジア各地でも感染が報告され、海外においても感染が広まっている。

   「WORM_STRATION」は、マスメーリング型ワーム「WORM_STRATION」ファミリー(「WORM_STRAT」「WORM_STRATIO」「WORM_WAREZOV」を含む)の総称である。このワームは、主にシステムからのエラーメールを装った件名や本文が記載された電子メールの添付ファイルとしてコンピュータに侵入する。

   マスメーリング活動的には特に大きな特徴はなく、二重拡張子、アイコン偽装、送信者詐称、エラーメッセージを装った本文、Windowsアドレス帳やローカルファイルからのメールアドレス収集など、これまでのマスメーリングワームが使用した手法をそのまま取り入れている。このような活動はマスメール型ワームの典型的な手法であるが、このワームはより悪質な手法を使う。それはコンピュータに侵入した「WORM_STRATION」は新しい「WORM_STRATION」の亜種をダウンロードし、多重感染を狙うからである。

   従来のマスメール型ワームは亜種が頻発しても、新しい亜種はゼロから感染を広げるしかなかったが、このワームはすでに感染したコンピュータを次の亜種拡大の土台として利用してしまう。結果として、ネットワーク上から完全に撲滅することが難しく、たとえ感染コンピュータがわずかであっても次々と感染が連鎖する状況となっている。

   この自らの亜種をダウンロードする手法を転用した「WORM_SOHANAD(ソハナッド)」というワームも発見されており、今後も同様の活動を行うワームの登場が危惧されている。

前のページ  1  2  3  次のページ


トレンドマイクロ株式会社  黒木 直樹
著者プロフィール
トレンドマイクロ株式会社  黒木 直樹
上級セキュリティエキスパート
1996年トレンドマイクロ株式会社入社。ウイルス対策ソフト「ServerProtect」をはじめとする法人向け製品のプロダクトマーケティングを経て、製品開発部の部長代行に就任(2000年)。個人・法人向け全製品の開発においてリーダーを務め、同社のビジネスを支える主力製品へと成長させる。アウトソーシングサービス事業の立ち上げた後(2001年)、2002年にコンサルティングSEグループ兼インテグレーショングループ部長に就任。営業支援のシステムエンジニア、テクニカルコンサルタントを率い、情報セキュリティ全般にわたりプロジェクトを推進する。


INDEX
新たなキーワードはルートキット/Web 2.0/ソーシャルエンジニアリング
  2006年のセキュリティインシデントの状況
スピア型攻撃の顕著化
  2007年のセキュリティインシデントの予想と備え