Joint Workshop on Security 2008, Tokyoで専門家が指摘

未知のマルウェアはWebからやってくる

2008/03/25

 インターネット上の脅威のトレンドは、2007年以降、大きな変化を迎えたようだ。

 3月25日、26日にわたって開催されている「Joint Workshop on Security 2008, Tokyo」では、「標的型攻撃は、インターネット上のサーバではなくイントラネット内のPCをターゲットに、パッシブな攻撃を仕掛けることが増えてきている」(情報処理推進機構:IPAの鵜飼裕司氏)、「ワームの大規模感染は減ったが、代わりにWebを使ったマルウェアが増加している」(ラック サイバーリスク総合研究所の松木隆宏氏)という具合に、複数のセキュリティ専門家が、従来とは異なるいくつかの特徴を指摘した。

 鵜飼氏は、IPAが3月18日に公表した「近年の標的型攻撃に関する調査研究」の結果を踏まえ、複雑化するマルウェアの動向について解説した。この調査は、「Mdropper」やそれが悪用する脆弱性について分析。単に一度感染して終わるのではなく、攻撃者が用意したサーバから次々にプログラムをダウンロードする多段型のマルウェア「シーケンシャルマルウェア」が多く発見されていることなどを指摘している。

 鵜飼氏によると、標的型攻撃は全般に、直接の攻撃が困難なインターネット上のサーバに代わり、比較的容易に受動的攻撃を仕掛けることができるPCをターゲットにしているという。例えば、URLが記されたスパムをばらまいてアクセスさせ、Webサイトから脆弱性を悪用して攻撃することで、簡単に標的に到達できる。

jfirst01.jpg 情報処理推進機構の鵜飼裕司氏

 注意が必要なのは、OSよりも、Officeやアーカイブソフトといったアプリケーションの脆弱性を狙う攻撃が増えていることだ。実行形式のファイルに比べ、一般に「開いても安全」とされてきたMicrosoft Word、Excelなどのデータファイルを実行すると、攻撃を受け、マルウェアがダウンロードされる可能性がある。また、その国で広く使われている有名なアプリケーションが狙われる傾向もあるという。

 いったんこうしたマルウェアに感染すると、環境によっては、ボット向けに送られる指令コマンドだけでなく、「コードの固まり」までが落ちてくる。つまり、攻撃者の意図に応じて、自由に書き換えられる恐れがあるということだ。

 このような攻撃への対策としては、自動解析によって、マルウェアを受信する前の防御を固めるとともに、プロキシサーバを立てるなどして、最低限必要なプロトコル以外ではデータをダウンロードさせないよう設定することが挙げられる。同時に、この手のマルウェアが圧縮やアンチデバッグなどの仕組みを取り入れていることから、鵜飼氏は「解析が意外と大変になっている。解析を効率化するための基盤や人材育成が必要だ」と述べた。

Webからやってくる未知のマルウェア

 日本では2006年12月から、総務省と経済産業省が共同で設置したサイバークリーンセンターが中心となってボット対策を進めてきた。インターネット上にハニーポットを設置してボットの検体や攻撃を収集し、対策製品に反映させるとともに、ISPを介して感染者自身に電子メールを送り、駆除ツールの実行を促すというスキームだ。この約2年の間に収集できたボットの検体数は約16万種、650万体を超え、延べ4万8000人を超える一般ユーザーに、対策を促す通知メールを送ってきたという。

 テレコム・アイザック・ジャパンの企画調整部部長、有村浩一氏によると、一連の取り組みの効果もあってか、国内ISPで観測されるボットの数はゆるやかな減少傾向にあるが、「別の種類のボットが増えているという感覚がある」という。まだ厳密な見当を加えたわけではないので議論の余地はあるが、「脆弱性を狙うボットが減り、Webベースのボットが増えているように思える」(有村氏)。

 これを受けてラックの松木氏は、実際にハニーポットを設置し調査した結果、Webを使って感染するマルウェアが増加していることが分かったと説明した。

 この調査では、サーバ側ではなくクライアント側にハニーポットを設置し、ブラックリストに含まれているWebサイトのうち10万URLを巡回した。すると、ユーザーが特に何も操作を行わないのに、勝手に何かをダウンロードさせようとするURLが約8500あったという。

jfirst02.jpg ラック サイバーリスク総合研究所の松木隆宏氏

 PCにダウンロードされたマルウェアのうち約50%はトロイの木馬、約10%はスパイウェア、そして30%は「未知のマルウェア」で占められていた。ハッシュに基づいて分類すると、実に7割は未知のマルウェアという結果になった。松木氏はこの結果を踏まえ、「最近のウイルス対策ソフトが実装するようになったジェネリック検出では検出できないものがWebから入ってきているのでは」と述べた。

 この手の悪意あるサイトの関係は非常に複雑だ。最初のサイトで外部のJavaScriptを読み込み、次のサイトでHTTP metaタグを読み込み、その先でiframeタグを読み込み、さらにhttp locationヘッダを読み込み……という具合に、6つか7つのサイトをジャンプしてたどってようやく(?)、マルウェア本体をダウンロードさせようとするサイトにたどり着く。

 最初のきっかけとして、一般的なサイトが改ざんされて使われることも多い。「怪しいサイトに近付くなということが浸透したうえ、検索エンジンでの対策やフィルタリングの普及が進んだことから、それらに引っかからない一般のサイトを使って攻撃しようとしているのではないか」(同氏)

 こうした攻撃が増えている背景として、IcePackやMpackといった、Webを用いたマルウェアを作成するためのツールキットがアンダーグラウンドで売買されている可能性が高いという。つい先日も、SQLインジェクションを用いた大規模なWebサイトへの攻撃が発生したばかりだが、おそらくこれも、ツールを用いて組織的に仕掛けた攻撃と見られるという。

 「対策は、もう一度Webサーバとクライアント、両方のセキュリティを見直すことだ。クライアントについては、OSやWebブラウザだけでなく、ブラウザから自動的に起動されるOfficeやアーカイバなどのアプリケーションも最新にしておかないと、Webからの攻撃に対する防御は不十分だ」(松木氏)

 なおJoint Workshop on Security 2008, Tokyoは、社内・組織内でセキュリティインシデントの対応に当たるCSIRT(Computer Security Incident Response Team)同士の情報交換を通じて、よりよい対応体制を整備することを狙った会議だ。CSIRTの国際的なフォーラムであるFIRST(Forum of Incident Response and Security Teams)に加盟する10チームが構成するJFIRST 2008運営委員会が、テレコムアイザック推進会議(Telecom-ISAC)、IPA、JPCERTコーディネーションセンター(JPCERT/CC)とともに開催した。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間