Tweet

Winnyなど「国ごとにポピュラーなアプリを狙う」とマカフィー

マルウェアのローカル化進む

2008/02/12

　「マルウェアはどんどんローカル化している」――マカフィーのセキュリティ研究機関、Avert Labsのセキュリティリサーチ＆コミュニケーションズ担当シニアマネージャ、デイブ・マーカス（Dave Marcus）氏が2月12日来日し、昨今のセキュリティ脅威の変化について説明した。

　マーカス氏によると、2006年以降マルウェアの数は激増しており、もはや「疫病」レベルに達している。例えば、同社がこれまでに確認したマルウェアは累積で33万9285種に上るが、そのうち約38％、13万5885種が2007年に登場したものだ。誰でも容易にマルウェアを作成できる「ツールキット」の流通もあり、今後も新種の増加は続くと同氏は予測する。

　ただ、それが「全世界的なアウトブレークに結びつくことはなくなった」という。「2年前までは、マルウェアはグローバルだった。しかし今、グローバルなものから、各国のユーザーに合わせたローカルなものへと変化している」（マーカス氏）

　この結果、脅威の姿は国によってまちまちに変化した。例えば、スポーツへの関心が高いドイツでは、サッカーなどをネタにしたマルウェアが登場した。一方オンラインゲームが盛んな中国では、ゲーム用IDやそこで使われる通貨を盗み取るためのトロイの木馬などが浸透している。また、オンラインバンキングが普及しているブラジルでは、そうした金融サービスを狙ったマルウェアが登場している。

　では日本はというと、「『Winny』のようなP2P型アプリケーションを利用し、ファイルを共有しているユーザーを標的にしたマルウェアがこれほど普及している国はほかにはない」とマーカス氏は指摘した。それも、OSを破壊するなど非常に破壊的であり、感染したユーザーをあざ笑うような内容であるうえ、情報を盗み取り、漏えいさせる仕組みもあるという意味で非常にユニークだという。また、こうして盗み取られた情報は売買の対象となり、スパムやフィッシング攻撃に再利用されるという。

　「文化は国によって異なる。ある国で広く利用されているアプリケーションが、別の国ではほとんど使われていなかったりする」（マーカス氏）。マルウェア作者らは、日本で広く利用されているアプリケーションを把握し、それを標的としたマルウェアを作成しているという。

　今後の脅威のターゲットとしてマーカス氏は、インスタントメッセンジャー（IM）やVoIPを挙げた。いずれも徐々に、企業ネットワークに普及し始めているテクノロジだ。同様に、仮想化技術もターゲットになり得るという。「多くの企業が、1台のマシンの上に複数の仮想マシンを集約することを検討しているが、それに合わせて仮想化技術に発見される脆弱性も増えている」と同氏は述べた。

　注意しなければならないのは、マルウェア作者らが仮想化技術を理解しているということだ。「われわれは仮想化されたパーティション上でマルウェアを分析しているが、中には、仮想化シェルを見つけると自らをシャットダウンしてしまうマルウェアが存在する。つまり、作者らは、仮想化されたマシンを特定できるマルウェアを作成しているということだ」（マーカス氏）

　同氏はさらに、ブログやSNSといったユーザー生成型コンテンツが「マルウェアをばらまくために悪用されている」と述べた上で、最新状態へのアップデートといった基本的な対策に加え、脅威に遭遇したときの対処法などを教育していくことが対策だとした。「こうした脅威をなくすことはできない。できるのは、うまく対処していくことだけ」（同氏）