検索
連載

プレイバックPart.II:シフトした脅威の中でセキュリティ対策の「ある視点」(13)(3/4 ページ)

2004年、ウイルスは新世紀へ。コンピュータウイルスの歴史をひもとく旅、後編は“攻撃者”の狙いが徐々に変化するさまを追います。

Share
Tweet
LINE
Hatena

目的のシフトによる変化――「見えない化」

 自己顕示欲などに代表される目的でコンピュータウイルスが発生していたころは、メッセージを表示させたり、改ざん、破壊を行ったりと、気付かれる必要があるため、比較的、感染による変化が見えやすく気付きやすかった。しかし、金銭目的へとシフトすることによって、継続して活動、情報を盗み出す必要があるため、以前に比べ変化がなく、見えにくいという傾向を見せ始め、世間では、さまざまな場面で「見える化」が叫ばれる中、コンピュータウイルスの世界では、「見えない化」が進む。そして新たな脅威・手法がひそかに登場するのだ。

ルートキットと標的型攻撃

 ルートキット(rootkit)という言葉を聞いたことがあるだろうか。筆者は、この「ルートキット」という言葉を一般的に有名にした事件は、ソニーBMGのXCP問題ではないかと思っている。この問題は、CDのコピーコントロールのために、自身のプロセスを隠ぺいするようなプログラムがユーザーへ明確な説明がされないままにインストールされるというものだった。

【関連記事】

ソニーが音楽CDに組み込んだ“Rootkit”とは何者か?

http://www.atmarkit.co.jp/fwin2k/insiderseye/20051109rootkit/rootkit_01.html


 さまざまなメディアでは、これをルートキットというように呼称していたが、厳密には、ルートキットではなく、ルートキットの“機能”であると筆者は考える。

 それでは、ルートキットとは何かということを解説しよう。

 ルートキットとは、システムへのログイン経路を確保した後に、侵入の隠ぺいや、さらなる情報窃取のために、設置されるツール群のことである。ルートキットの機能としては、

  • ログイン、プロセスの隠ぺい
  • ファイルやログの隠ぺい・削除
  • バックドアの作成
  • パケット、キー入力を窃取

などがある。

 また、ルートキットには大きく分けて、「カーネルモード」と「ユーザーモード」(アプリケーションモードと呼ばれることもある)の2種類が存在する。カーネルモードルートキットは、システムのカーネルコードそのものを改変したり、一部を改変されたコードに置き換えるといった深い部分での改ざんを行うため、外部から検出を試みた場合にも、検出行為の返答が偽装されたものになっている場合があり、検出は非常に困難を極める。OSそのものがうその応答を返すため、その上で動作しているウイルス対策ソフトからも発見できない可能性があるというとイメージしやすいだろうか。

 それに対して、ユーザーモードルートキットは、アプリケーションのレベルでの改ざんのみであるためカーネルモードルートキットに比べ、検出が容易であるといえる。

 次に、標的型攻撃について紹介しよう。

 標的型攻撃は、海外では、「ターゲッティッドアタック(Targeted Attack)」と呼ばれ、日本ではしばしば「スピア型攻撃」と呼ばれる場合がある。この攻撃方法は、メールによる拡散や脆弱性を利用したネットワーク経由の拡散のような無差別な攻撃ではなく、特定の組織、または、その組織の特定部署、果ては個人を狙い撃つ攻撃のことである。

 標的型攻撃を行われた場合、現象が自組織のみといった限定的なロケーションで発生するため、ほかの場所で同じ事象に遭遇しているところがないことが多く、情報が得られないという事態に陥ってしまう。

図8 標的型攻撃のイメージ
図8 標的型攻撃のイメージ

 図8の無差別攻撃の場合では、さまざまなロケーションで同一の事象が確認されるため、注意喚起の情報や具体的な対処法が比較的早く報じられる。しかし標的型の場合は攻撃対象が限られることから発見が遅れるため、対策が行えず被害が拡大する傾向にあるといえる。最悪の場合は、被害に遭っていることにすら気付かない場合もあるのではないだろうか。

 そして、この標的型攻撃は、標的を絞っているがゆえに、その標的に対してカスタマイズした方法を用いることができる。例えば以下のような手法である。

  • 特定のアプリケーションを狙う
  • 送信元を偽る
  • 件名で利用者の気を引く

 これを官公庁のとある組織を標的とした攻撃のカスタマイズ例を考えてみた。

  • 特定のアプリケーションを狙う

官公庁向け製品の脆弱性を利用(プレビューのみで自動実行されるような脆弱性)

  • 送信元を偽る

関係各所のようなアドレスに偽装(@××.go.jp)

  • 件名で利用者の気を引く

件名「不祥事について」

という内容の攻撃が仕掛けられた場合、あなたはそれに気付けるだろうか。そして自組織にもこのようにカスタマイズされたメールが届いたらどうかを想像してほしい。恐らく開いてしまうのではないだろうか。筆者も100%の自信を持って、開かないとはいい切れない。

 このようにカスタマイズされた標的型攻撃を行われた場合、前例がないため、攻撃、または不正なファイル、コンピュータウイルスを検知できない可能性がある。さらに局所的発生であるため、ほかの組織での発生などの情報を入手することができない。そして対策を行うべきコンピュータウイルスの検体の入手が困難であるため、ウイルス対策ソフトベンダのワクチン(ウイルス定義ファイル)の開発のアクションが起こされないことも想定される。つまり、対策が遅れ、被害が拡大の一途をたどることになるのである。

 コンピュータウイルスを道具として扱う側は、コンピュータウイルスそのものに向けた技術面だけでなく、コンピュータの前にいる人間を欺く手法においても進化し、巧妙化してきたのである。この進化はある種必然であると筆者は考えている。

 明確な目的というものは、人間をやる気にさせる。

 皆さんも動機付けなどという言葉を耳にしたことがあるかと思う。その目的が、お金という直接的なものであればなおさらではないだろうか。現在のコンピュータウイルスとそれを扱う者は、明確な目的のもと、練りに練った手段で突然、前触れもなくやってくるのである。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  5. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  6. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  7. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  8. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  9. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  10. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
ページトップに戻る