ウイルス対策最前線
どうなる? 2005年のウイルス・スパム・フィッシング
岡田 大助2005/1/15
2004年は非常に多くのウイルスが猛威を振るった年だった。特に“ウイルス戦争”と形容されるマスメーラー型ウイルスの被害は顕著である。攻撃はより巧妙に、そして複雑になり、かつてより懸念されていたゼロデイアタックは現実のものとなった。
さらに、フィッシング詐欺と呼ばれる新たなサイバー犯罪が台頭してきたことも忘れてはいけない。フィッシング詐欺は2003年ごろから米国内で話題になっていたが、2004年後半には日本語によるフィッシングメールが流通し始め、実際に金銭的被害が発生した。
今回は2005年の新春企画として、いわゆるウイルス対策ベンダーご三家(シマンテック、トレンドマイクロ、マカフィー)で活躍する現場の専門家に2004年の総括と2005年の予測を語ってもらった。
ウイルス戦争勃発 〜2004年のトピック(1) |
トレンドマイクロが2005年1月13日に発表した「2004年度ウイルス感染被害年間レポート」によれば、2004年度のウイルス被害報告件数は6万5531件(2003年度は4万7607件)と激増している。また、マカフィーが2005年1月6日に発表した「2004年の感染ウイルスのトップ10と今後の傾向」でも、脆弱なシステムを利用した攻撃は380以上に達し、2003年に比べて約50%増という結果が出ている。IPA/ISECの報告でも2004年のウイルス届出件数は5万2151件と2003年に比べて約3倍である。
ウイルスの激増の背景には、いわゆる“ウイルス戦争”と形容されたNetsky、Bagle、Mydoomの亜種開発競争がある。これは、ドイツの青年Sven Jaschan(18歳・後に逮捕された)を中心とするグループ「Skynet」がBagleやMydoomといった先行するマスメーラー型ウイルスを攻撃するNetskyを発表し、ウイルス作者同士が挑発しあう形で亜種を次々に作成したもの。マスメーラー型ウイルスとは、ウイルス自身が自己のコピーを添付したウイルスメールを大量に送信するもので感染力が非常に強い。
トレンドマイクロ 岡本勝之氏 |
トレンドマイクロの岡本勝之氏(トレンドラボ・ジャパンアンチ・ウイルスセンターウイルスエキスパート)は、「これらのウイルスは技術的に目新しいものはない」という。世界的には大流行したこれらマスメーラー型ウイルスだが、「日本ではマスメーラー型ウイルスがあまり流行しない」(岡本氏)という。岡本氏の分析によれば、通常マスメーラー型ウイルスが送りつけてくるウイルスメールは英文であり、多くの日本人にとって“ゴミ”以外の何物でもない。通常はこれら英文メールに添付されるファイルはクリックされることなくゴミ箱に直行となる。
しかし日本国内でもNetskyの被害は多かった。その理由を岡本氏は「Netskyの亜種に、エラーメールをかたったものがあったから」と分析する。エラーメールであれば、英語のメールであっても見慣れたものであり、日本人でもうっかり添付ファイルをクリックしてしまうケースがあるだろう。このようにソーシャルエンジニアリングの手法に長けていた場合、英文のウイルスメールといえ注意が必要だ。
密かに忍び寄るbotと呼ばれるプログラム 〜2004年のトピック(2) |
マカフィー 加藤義宏氏(左)と本城信輔氏 |
bot(語源はロボット)と呼ばれる悪意のあるプログラムがまん延したのも2004年のトピックの1つだろう。マカフィーによればbotとは「別のソースからのコマンドに応答する自動プログラム」である。同社の本城信輔氏(技術本部 AVERTラボJAPAN ウィルス研究員)によればbotは、アンダーグラウンドでソースコードが公開されており非常に亜種が多いのが特徴だ。「毎日数件の新種が発見され、2004年8月の時点で4000以上、2004年年末には7000以上が存在しているのでは。今日(取材日は2004年12月28日)も何件か発見しました」と本城氏。
日本でのbotの活動が活発になってきたのは2004年秋以降だ。ちなみにbotに特徴的なのは、年間レポートでは上位10位に何種類かがランクインするものの月間ベースでは上位に顔を出さないという点も挙げられる。つまり年間を通じて、じわじわと増殖しているのだ。
botは主にファイル共有やPtoP、無線LAN、メールに記されたURLからのダウンロードなどさまざまな経路から侵入してくる。感染するとDoS攻撃や機密情報の収集・漏えい、キーロギング、さらに何らかのプログラムをダウンロードするなどさまざまな悪さをする。本城氏は「いったん感染すると、社内ネットワークに爆発的に繁殖する。企業では持ち込みPCなども感染源として怪しい。常に新しい亜種が出てくるため発見が難しく、社内で怪しいトラフィックが急激に増加しているような場合は感染している可能性が高い」と語る。
トレンドマイクロの岡本氏も「トラフィックの増加で発見される場合がほとんど。感染は情報を盗み取ることを目的にした内部犯行の可能性もある。botは悪意あるものが狙いを定めた企業向けにカスタマイズされていることが多く、ある企業でのみ発見される亜種もある」という。botはマスメーラー型ウイルスのようにインターネットからフラっとやってくるものではなく、企業内で感染している場合は何らかの方法で意図的に送り込まれてきている可能性が高い。
シマンテック 吉田一貫氏(左)と野々下幸治氏 |
シマンテックの吉田一貫氏(プロダクト・マーケティング部リージョナル・プロダクト・マーケティング・マネージャ)によれば、亜種を示すアルファベットが3けた(つまり26×26×αの亜種!)に達するものもあるという。吉田氏は「botは“目立たない”というのが非常に怖い」と述べる。
忍び寄るbotへの対処法だが、同じくシマンテックの野々下幸治氏(法人営業事業部エグゼクティブシステムエンジニア)は「定期的なフルスキャンが重要だ。新しい定義ファイルによって感染が発覚することがある」という。また、クライアントファイアウォールの導入も効果的だ。ゲートウェイに設置する既存のファイアウォールでも「中から外への通信についてもきちんとポリシーを見直すべき。不要であればIRCを止める、ログを調査して怪しいセッションを発見するといったいままでのやり方を徹底するだけでも効果は上がる」(野々下氏)と語る。
またマカフィーの加藤義宏氏(技術本部本部長)は、「botの感染は持ち込みPCや共有ファイルを通じて行われるため、もはやメールだけを監視していればいいというわけにはいかない。bot自身がIDとパスワードのリストを持って辞書攻撃をしてくるので、共有フォルダには複雑なIDとパスワードを使うべきだ」と助言する。
ウイルス作者がビジネスライクになってきた 〜2004年のトピック(3) |
今回の取材に当たり、3社の専門家がともに口をそろえて「ウイルス作者の動機が、愉快犯的なものから金銭目的になった」と語る。前述のマスメーラー型ウイルスにせよ、botにせよ、この傾向が見て取れる。
マカフィーの本城氏は、論文“Who Wrote Sobig”を引き、「この論文の推測が当たっているかは別として、動機について分析した部分については注目すべき。ウイルスがSMTPサーバを乗っ取ったり、ウイルス自身がSMTP機能を持ったりするようになった。これらはスパムメールを送信する踏み台として使われることが多い。あくまでも推測だが、スパム業者からウイルス作成を依頼されているのかもしれない」と推測する。
Netskyがほかの競合ウイルスを執拗(しつよう)に攻撃したのも、サル山のボス争いのように群れの中での序列付けと同様で、スパム業者などのスポンサーに対するアピールだったのかもしれない。より稼ぐために、より優秀な機能をアピールするといった“自由競争”なのだ。また、スパム業者自身がウイルスを作成している可能性もある。とにかく、動機が金銭的になったことがウイルスの増加につながっている。
1/3 |
Index | |
どうなる? 2005年のウイルス・スパム・フィッシング | |
Page1 ウイルス戦争勃発 密かに忍び寄るbotと呼ばれるプログラム ウイルス作者がビジネスライクになってきた |
|
Page2 現実のものとなったゼロデイアタック スパイウェアは新たな脅威? 日本独自のウイルスが悪質に |
|
Page3 どうする? 2005年のウイルス対策 日本語スパムも急増の気配 フィッシング詐欺は振り込め詐欺クラスに成長するか |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|