Webを介した脅威が増加、隠すテクニックが高度化

「消えるマルウェア」も登場した2007年

2007/12/19

 「2007年は、どのようなウイルスに感染したかを隠す手段が非常に高度化した」――ラックの研究開発本部 先端技術開発部部長の新井悠氏は、12月19日に行った説明会において、2007年のネットワークセキュリティのトレンドを振り返ってこのように語った。

 数年前までは、ネットワークに接続しただけで感染する、大量感染型のマルウェアが猛威を振るっていた。しかし、パーソナルファイアウォール機能を提供するWindows XP Service Pack 2の提供やウイルス対策ソフトのジェネリック検出技術の実装などにより、この種の脅威は減少。代わりに、Webを介した脅威が増加しているという。

lac01.jpg ラック 研究開発本部 先端技術開発部部長の新井悠氏

 Webを介した脅威とは、電子メールや検索結果などを通じて、マルウェアを仕込んだWebサイトにユーザーを誘導し、感染させる手口だ。それも、一見危害を加えるとは思えない企業や組織のWebサイトを改ざんし、スクリプトを実行させるタグを挿入するケースが数多く報告されている。この結果、ユーザーがそれと気付かないうちに、バックグラウンドでマルウェアに感染してしまう。

 念の入ったことに、改ざんで挿入されるタグのリンク先は多重になっている。あるサイトから別のサイトへ、また別のサイトへ、さらに別のサイトへ……と幾度も誘導を重ねることで、「そのページに近付いたときに被害を受けるかどうかの見極めが難しくなっている。また、たとえ1つのサイトがブラックリストに載せられてシャットアウトされても、別のサイトや経路を使って攻撃の継続が可能だ」(新井氏)

 Webを介した攻撃では、ダウンローダなどが埋め込まれ、最終的には、ボットに代表されるマルウェアが手元のPCに仕込まれる。このダウンローダ自体も多重化され、複数のサイトからマルウェアを落としてくるため、いったい何に感染したのかが不明瞭になっており、マルウェアの特定・解析を困難にしていると同氏は述べた。

 中には、怪しい兆候に気付いてユーザーがネットワークケーブルを抜いた結果、特定サーバと一定時間接続できない状態になると、自分自身を自動的に削除するマルウェア(ボット)も発見されたという。いざセキュリティ担当者や専門家を呼んで調査をしようにも、証拠がなく、それ以上の分析ができない状態になってしまう。「マルウェアは消えるものだという前提で事案対処しないといけない時代になった」と新井氏は指摘している。

 一連の脅威に対する特効薬となるものはないが、企業や組織では、エンドユーザーに被害を及ぼさないようWebサイトのセキュリティを強化し、検査や監視をしっかり行うといった、基本の徹底が欠かせない。

 またユーザー側では、信頼できるサイト以外ではJavaScriptを無効にするなどの対策が考えられる。ただ、「検索結果にマルウェアが含まれる可能性が非常に大きいので、そこをどうするか。できることは我々も協力していきたい。また、ブログなども含め、怪しくないと思われるサイトにもマルウェアが忍び込んでいることを理解し、対策してほしい」と呼び掛けている。

関連リンク

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間