TOP情報セキュリティ> 【セキュリティ最前線】新種ウイルスにも慌てない!> 第3回:シーケンシャル攻撃をどう防ぐ? (1/3)

【セキュリティ最前線】新種ウイルスにも慌てない!

【セキュリティ最前線】新種ウイルスにも慌てない!

第3回:シーケンシャル攻撃をどう防ぐ?

著者:トレンドマイクロ 黒木 直樹

公開日:2008/1/22(火)

1   2  3  次のページ

「Webからの脅威」の原因は「シーケンシャル攻撃」

第3回の今回はインターネット上の攻撃が「Webからの脅威」に変化した現在の特徴的な現象の1つである「亜種の大量化」について解説する。

亜種の現状を解説する前に、近年の新しい攻撃方法である「シーケンシャル攻撃」を紹介したい。この攻撃方法が一般化したために亜種の大量発生という困窮した事態が招かれているのである。

「シーケンシャル(sequential)」とは「連続的な」という意味を持つ。当社では特にWebを媒介とした連続的な攻撃のことを「シーケンシャル攻撃」と呼んでいる。「第2回:Webからの脅威に対応せよ!」で説明した「Webからの脅威」の深刻化と被害の急拡大は、このシーケンシャル攻撃が多発した結果である。

以前はメールやWeb経由で単体の不正プログラムを送り込む手法が一般的とされていた。では近年なぜ攻撃者がWebを使った「シーケンシャル攻撃」という手法を多用するようになったのか、まずその目的から考察したい。

攻撃者が一番避けたいことは、ユーザへ送り込んだ不正プログラムが早期に発見されてしまうことである。送り込んだ不正プログラムがユーザ側で早期に発見されてしまうと、攻撃者側が意図していることが達成できない。例えば、情報(個人情報、パスワードなど)の詐取、データの破壊ということを完了できないのである。また同時に、攻撃者は「足」がつくことも恐れている。つまり「完全犯罪」の達成のためには、感染したユーザ(被害者)に気付かれないように不正プログラムを忍び込ませ、可能な限り長くユーザのPC内に滞在させ、最終的に目的を果たし、かつ誰によってそれらの不正プログラムが送り込まれたかを特定されないことが必要なのである。

一方で、不正プログラムからユーザを防御する技術も日々進歩している。ボットのように大量のトラフィックの送受信を伴えばIDS(Intrusion Detection System)などですぐに発見することが可能だ。また闇雲にポートを狙えば、これもまたIDSやファイアウォールによって検知できる。その結果、常時開いてなくてはいけないHTTPポート(Web)が狙い目になるのである。

ただ、HTTPを経由した攻撃といえども、不正プログラムを配布・感染させるWebサイトを長期間インターネット上に開設していると、URLフィルタリングやフィッシング詐欺対策のURLデータベースに登録される。また、クライアントPCに侵入した不正プログラムも、パターンファイルの対応によって検出・削除されるだろう。

図1:シーケンシャル攻撃の例
図1:シーケンシャル攻撃の例
(画像をクリックすると別ウィンドウに拡大図を表示します)

連続的な攻撃の仕組み

これらの対策技術の網をかいくぐるために、攻撃者が悪用しているのが「シーケンシャル攻撃」だ。

手法としては、まず何らかの方法で感染のトリガー(引き金)となる不正プログラムをクライアントPCに忍び込ませる。侵入手法の例を1つ挙げると、あらかじめ不正プログラムを含んだWebサイトを立ち上げておき、スパムメールなどをユーザに送りつけてそのWebサイトに呼び込む。その後、何らかの有益なソフトに見せかけユーザ自身に不正プログラムをダウンロードさせたり、クライアントPCの脆弱性を悪用して、ユーザの意図しないうちに不正プログラムを送り込むのである。

一昔前は、この送り込まれた不正プログラムが情報の詐取やデータ破壊などの何らかの不正行動を行い、一連の感染活動としては終了していた。

しかし先に説明した通り、すぐにクライアントPCに導入されているウイルス対策製品に発見されるかもしれない。また即日発見されなくとも、データの流出に気づかれるかもしれない。

その不正プログラムが見つかれば、ウイルス対策製品によって配布元となっているWebサイトを特定し、アクセスできないようにすることも可能である。また同様に不正プログラムが発見されなくとも、情報の漏えいに気づけば同様に処置を講じられる。

そのような対抗措置を回避するために、攻撃者はトリガーとなる1番目の不正プログラムでは情報詐取などの直接的な活動を行わず、別の不正プログラムをダウンロードする機能だけを持たせるのだ。2番目の不正プログラムは最初と異なるWebサイトにアクセスする。このような不正プログラムのダウンロードが連続的に繰り広げられる。多種多様な不正プログラムを登場させることで、仮にトリガーの不正プログラムが検出・駆除されても、その他の複数種類の不正プログラムが潜んでいるために感染・不正活動を続けることができる。

とはいえ、このように多数の不正プログラムをダウンロードしている状態であれば、クライアントPCの動作が遅くなるなど、「ユーザに気付かれることがないのか?」という疑問もあるだろう。攻撃者はその点も見越して、不正プログラムのファイルサイズを小さくし、動作も可能な限り軽くしている。1つの不正プログラムに複数の機能を持たせず、単機能にすることが存在の隠蔽にもつながっているのである。

以上のように、連続的な攻撃を行うためには、非常に多くの種類の不正プログラムを用意することが必要になる。そこで、定番化してきたのが「亜種」の大量作成だ。 次のページ

タイトルへ戻る 1   2  3  次のページ


トレンドマイクロ株式会社 黒木 直樹
 著者プロフィール
トレンドマイクロ株式会社 黒木 直樹
上級セキュリティエキスパート
1996年トレンドマイクロ株式会社入社。ウイルス対策ソフト「ServerProtect」をはじめとする法人向け製品のプロダクトマーケティングを経て、製品開発部の部長代行に就任(2000年)。個人・法人向け全製品の開発においてリーダーを務め、同社のビジネスを支える主力製品へと成長させる。アウトソーシングサービス事業の立ち上げた後(2001年)、2002年にコンサルティングSEグループ兼インテグレーショングループ部長に就任。営業支援のシステムエンジニア、テクニカルコンサルタントを率い、情報セキュリティ全般にわたりプロジェクトを推進する。
INDEX
第3回:シーケンシャル攻撃をどう防ぐ?
「Webからの脅威」の原因は「シーケンシャル攻撃」
  不正プログラムの「亜種」とは?
  大量な亜種に対応する「Generic検出技術」