プレイバックPart.II:シフトした脅威の中で:セキュリティ対策の「ある視点」(13)(3/4 ページ)
2004年、ウイルスは新世紀へ。コンピュータウイルスの歴史をひもとく旅、後編は“攻撃者”の狙いが徐々に変化するさまを追います。
目的のシフトによる変化――「見えない化」
自己顕示欲などに代表される目的でコンピュータウイルスが発生していたころは、メッセージを表示させたり、改ざん、破壊を行ったりと、気付かれる必要があるため、比較的、感染による変化が見えやすく気付きやすかった。しかし、金銭目的へとシフトすることによって、継続して活動、情報を盗み出す必要があるため、以前に比べ変化がなく、見えにくいという傾向を見せ始め、世間では、さまざまな場面で「見える化」が叫ばれる中、コンピュータウイルスの世界では、「見えない化」が進む。そして新たな脅威・手法がひそかに登場するのだ。
ルートキットと標的型攻撃
ルートキット(rootkit)という言葉を聞いたことがあるだろうか。筆者は、この「ルートキット」という言葉を一般的に有名にした事件は、ソニーBMGのXCP問題ではないかと思っている。この問題は、CDのコピーコントロールのために、自身のプロセスを隠ぺいするようなプログラムがユーザーへ明確な説明がされないままにインストールされるというものだった。
【関連記事】
ソニーが音楽CDに組み込んだ“Rootkit”とは何者か?
http://www.atmarkit.co.jp/fwin2k/insiderseye/20051109rootkit/rootkit_01.html
さまざまなメディアでは、これをルートキットというように呼称していたが、厳密には、ルートキットではなく、ルートキットの“機能”であると筆者は考える。
それでは、ルートキットとは何かということを解説しよう。
ルートキットとは、システムへのログイン経路を確保した後に、侵入の隠ぺいや、さらなる情報窃取のために、設置されるツール群のことである。ルートキットの機能としては、
- ログイン、プロセスの隠ぺい
- ファイルやログの隠ぺい・削除
- バックドアの作成
- パケット、キー入力を窃取
などがある。
また、ルートキットには大きく分けて、「カーネルモード」と「ユーザーモード」(アプリケーションモードと呼ばれることもある)の2種類が存在する。カーネルモードルートキットは、システムのカーネルコードそのものを改変したり、一部を改変されたコードに置き換えるといった深い部分での改ざんを行うため、外部から検出を試みた場合にも、検出行為の返答が偽装されたものになっている場合があり、検出は非常に困難を極める。OSそのものがうその応答を返すため、その上で動作しているウイルス対策ソフトからも発見できない可能性があるというとイメージしやすいだろうか。
それに対して、ユーザーモードルートキットは、アプリケーションのレベルでの改ざんのみであるためカーネルモードルートキットに比べ、検出が容易であるといえる。
次に、標的型攻撃について紹介しよう。
標的型攻撃は、海外では、「ターゲッティッドアタック(Targeted Attack)」と呼ばれ、日本ではしばしば「スピア型攻撃」と呼ばれる場合がある。この攻撃方法は、メールによる拡散や脆弱性を利用したネットワーク経由の拡散のような無差別な攻撃ではなく、特定の組織、または、その組織の特定部署、果ては個人を狙い撃つ攻撃のことである。
標的型攻撃を行われた場合、現象が自組織のみといった限定的なロケーションで発生するため、ほかの場所で同じ事象に遭遇しているところがないことが多く、情報が得られないという事態に陥ってしまう。
図8の無差別攻撃の場合では、さまざまなロケーションで同一の事象が確認されるため、注意喚起の情報や具体的な対処法が比較的早く報じられる。しかし標的型の場合は攻撃対象が限られることから発見が遅れるため、対策が行えず被害が拡大する傾向にあるといえる。最悪の場合は、被害に遭っていることにすら気付かない場合もあるのではないだろうか。
そして、この標的型攻撃は、標的を絞っているがゆえに、その標的に対してカスタマイズした方法を用いることができる。例えば以下のような手法である。
- 特定のアプリケーションを狙う
- 送信元を偽る
- 件名で利用者の気を引く
これを官公庁のとある組織を標的とした攻撃のカスタマイズ例を考えてみた。
- 特定のアプリケーションを狙う
官公庁向け製品の脆弱性を利用(プレビューのみで自動実行されるような脆弱性)
- 送信元を偽る
関係各所のようなアドレスに偽装(@××.go.jp)
- 件名で利用者の気を引く
件名「不祥事について」
という内容の攻撃が仕掛けられた場合、あなたはそれに気付けるだろうか。そして自組織にもこのようにカスタマイズされたメールが届いたらどうかを想像してほしい。恐らく開いてしまうのではないだろうか。筆者も100%の自信を持って、開かないとはいい切れない。
このようにカスタマイズされた標的型攻撃を行われた場合、前例がないため、攻撃、または不正なファイル、コンピュータウイルスを検知できない可能性がある。さらに局所的発生であるため、ほかの組織での発生などの情報を入手することができない。そして対策を行うべきコンピュータウイルスの検体の入手が困難であるため、ウイルス対策ソフトベンダのワクチン(ウイルス定義ファイル)の開発のアクションが起こされないことも想定される。つまり、対策が遅れ、被害が拡大の一途をたどることになるのである。
コンピュータウイルスを道具として扱う側は、コンピュータウイルスそのものに向けた技術面だけでなく、コンピュータの前にいる人間を欺く手法においても進化し、巧妙化してきたのである。この進化はある種必然であると筆者は考えている。
明確な目的というものは、人間をやる気にさせる。
皆さんも動機付けなどという言葉を耳にしたことがあるかと思う。その目的が、お金という直接的なものであればなおさらではないだろうか。現在のコンピュータウイルスとそれを扱う者は、明確な目的のもと、練りに練った手段で突然、前触れもなくやってくるのである。
Copyright © ITmedia, Inc. All Rights Reserved.