Webを介した脅威が増加、隠すテクニックが高度化
「消えるマルウェア」も登場した2007年
2007/12/19
「2007年は、どのようなウイルスに感染したかを隠す手段が非常に高度化した」――ラックの研究開発本部 先端技術開発部部長の新井悠氏は、12月19日に行った説明会において、2007年のネットワークセキュリティのトレンドを振り返ってこのように語った。
数年前までは、ネットワークに接続しただけで感染する、大量感染型のマルウェアが猛威を振るっていた。しかし、パーソナルファイアウォール機能を提供するWindows XP Service Pack 2の提供やウイルス対策ソフトのジェネリック検出技術の実装などにより、この種の脅威は減少。代わりに、Webを介した脅威が増加しているという。
Webを介した脅威とは、電子メールや検索結果などを通じて、マルウェアを仕込んだWebサイトにユーザーを誘導し、感染させる手口だ。それも、一見危害を加えるとは思えない企業や組織のWebサイトを改ざんし、スクリプトを実行させるタグを挿入するケースが数多く報告されている。この結果、ユーザーがそれと気付かないうちに、バックグラウンドでマルウェアに感染してしまう。
念の入ったことに、改ざんで挿入されるタグのリンク先は多重になっている。あるサイトから別のサイトへ、また別のサイトへ、さらに別のサイトへ……と幾度も誘導を重ねることで、「そのページに近付いたときに被害を受けるかどうかの見極めが難しくなっている。また、たとえ1つのサイトがブラックリストに載せられてシャットアウトされても、別のサイトや経路を使って攻撃の継続が可能だ」(新井氏)
Webを介した攻撃では、ダウンローダなどが埋め込まれ、最終的には、ボットに代表されるマルウェアが手元のPCに仕込まれる。このダウンローダ自体も多重化され、複数のサイトからマルウェアを落としてくるため、いったい何に感染したのかが不明瞭になっており、マルウェアの特定・解析を困難にしていると同氏は述べた。
中には、怪しい兆候に気付いてユーザーがネットワークケーブルを抜いた結果、特定サーバと一定時間接続できない状態になると、自分自身を自動的に削除するマルウェア(ボット)も発見されたという。いざセキュリティ担当者や専門家を呼んで調査をしようにも、証拠がなく、それ以上の分析ができない状態になってしまう。「マルウェアは消えるものだという前提で事案対処しないといけない時代になった」と新井氏は指摘している。
一連の脅威に対する特効薬となるものはないが、企業や組織では、エンドユーザーに被害を及ぼさないようWebサイトのセキュリティを強化し、検査や監視をしっかり行うといった、基本の徹底が欠かせない。
またユーザー側では、信頼できるサイト以外ではJavaScriptを無効にするなどの対策が考えられる。ただ、「検索結果にマルウェアが含まれる可能性が非常に大きいので、そこをどうするか。できることは我々も協力していきたい。また、ブログなども含め、怪しくないと思われるサイトにもマルウェアが忍び込んでいることを理解し、対策してほしい」と呼び掛けている。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。