スパイウェアの基礎知識
急速に広がるスパイウェアの脅威
仲秋 理佐子ウェブルート・ソフトウェア株式会社
テクニカルサポート
スーパーバイザー
2005/11/30
最新型スパイウェアの技術的特徴
ここまで見てきたようにスパイウェアは、1.特定のターゲットにひそかに侵入する 2.一度侵入すれば除去が難しい 3.ユーザーPCの奥底に隠れ、金銭的利益につながる重要な情報を第三者に送信するという特徴がある。金銭的利益を得るという目的を達成するため、スパイウェアの作成・配布に利用されるテクノロジーも驚くべき勢いで進化している。そのうちのいくつかを紹介しよう。
1.ドライバ・レベル技術
RUNキーの追加や INIファイルと実行ファイルの組み合わせといった旧来の方法は時代遅れになりつつある。最新のスパイウェアは「ドライバ・レベル・ルートキット」と呼ばれる技術を利用してユーザーPCでインストール、実行される。
ルートキットとは、システムのルート権限を不正取得するプログラムの総称である。従来ウイルスやクラッキングに利用されてきたこの技術がいまやスパイウェアでも一般的になりつつある。
このタイプのスパイウェアは、Windowsのカーネルやロウ・レベルAPIと呼ばれる通常のプログラムからは利用されないAPIを利用(フッキング)することで、リング0の特権レベル、つまりCPUやメモリ、ハードディスクなどすべてのリソースをOSからの制約なしに自由に制御する権限を取得する。
一度このようなスパイウェアの侵入を許せば、ユーザーになすすべはない。スパイウェアはユーザーとシステムがやりとりするデータを自由に改ざんすることができる。OS 上から見えるファイル情報、走っているプロセス名、サービスの内容、ドライバ、レジストリキーなどは、スパイウェアが好きなように改変できるのだ。このため、「最近PCの動作が怪しいな」と思っても、スパイウェアによって改ざんされた肝心の個所は、ユーザーには検知も訂正もできなくなってしまう。
2.ウォッチャー・プロセス
除去を阻止する高度な技術の1つが「ウォッチャー・プロセス」である。このタイプのスパイウェアは、いくつかのコンポーネントに分かれてインストールされる。それぞれのコンポーネントは互いに相手を常時監視し、削除を検知すると自動的に再インストールが行われる。
この代表例ともいえるのが、アドウェア「Look2Me」の亜種の1つである。実行ファイルやレジストリエントリなどすべてのトレースを削除してしばらくたつと、すべてのコンポーネントが復活していることに気付く。ドライバ・レベルでインストールされるコンポーネントが残っている限り、ほかのコンポーネントを削除しても Look2Me が復活してきてしまうのだ。
3.ドライブ・バイ・ダウンロード
高度化しているのは除去を阻む方法だけではない。ユーザーにスパイウェアのインストールを促す手法も、巧妙を極めている。
アドウェアベンダが従来利用してきた「分かりにくいEULA(End User License Agreement:使用許諾契約書。スパイウェアがインストールされることが最後の方に小さく書いてある)」によるフリーソフトやシェアウェアとのバンドルはいまも健在だ。だが、米国を中心に各国で進むスパイウェア対策法の制定や消費者のアドウェア嫌悪の広がりから全体として減少傾向にある。
しかし一方で、「ドライブ・バイ・ダウンロード」と呼ばれる技術を悪用するサイトは増加傾向にある。手法として、1.セキュリティパッチの当てられていないWebブラウザで閲覧した場合、自動的にコンポーネントがダウンロードされる、2.セキュリティレベルが低く設定されている場合、ActiveXコンポーネントが勝手にインストールされるなどが代表的なものだ。
4.「人質型」スパイウェア
厳密には新しい技術というより、ドライバ・レベルなど、より検出・除去を困難にするスパイウェアが広がってきたことにより生まれたものともいえる。これらのスパイウェアは、システムの最も基本的な部分で活動しているため、除去を試みるとそのままシステムがクラッシュしてしまう。「自分(=スパイウェア)の命を取るのなら、引き換えにお前(=システム)の命を取るぞ」と、まるで自分のPCを人質に取られた格好だ。
2/3
|
Index | |
急速に広がるスパイウェアの脅威 | |
Page1 スパイウェアとウイルスは何が違うのか |
|
Page2 最新型スパイウェアの技術的特徴 |
|
Page3 スパイウェア被害を防ぐにはどうしたらいいのか |
急速に広がるスパイウェアの脅威 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|