ESETが毎月発表しているマルウェアランキングにおいて、Bflient.kが3ヵ月連続でトップ10入りを果たしました。本稿では、Bflient.kがPeerfragボットネット(※1)に取って代わった2つの事例を紹介します。
Bflientとは
Bflientは、ボットネットを構築、管理するために有償販売されているマルウェアキットです。このキットは、購入者を特定できるようそれぞれカスタマイズされて提供されます。購入者は、構築したボットネットに対し、DDoS攻撃(分散サービス妨害攻撃)の実行やほかのコンピュータへの感染活動を命令できます。さらに必要に応じて、ボットPCに新たな不正ソフトウェアをダウンロードし、インストールすることも可能です。
ボットネットのライフサイクル全体、つまり構築から日々の不正活動、そして(願わくば)解体に至るまでを監視するのは容易ではありません。ボットネットや関連するマルウェアファミリーは大量に存在しており、すべて追跡することはまず不可能です。しかし時には、ボットネットの構築や「吸収合併」の様子を目撃する幸運に恵まれることもあります。2010年の秋頃、わたし達は、2つのPeerfragボットネットがそれまでの管理キットを捨て、新しいバージョン、すなわちBflient.kに乗り換える過程を観察する機会に遭遇しました。ボットネット管理者の行動の一端を以下に紹介します。
ボットネットの解析
第1のPeerfragボットネットに命令を出す指令(C&C)サーバーのドメインは、米国に割り当てられた1つのIPアドレスに関連付けられていました。
2010年11月中旬、このボットネットの管理者はすべてのボットPCに対し、新しいマルウェア(ESET製品ではWin32/Bflient.Kという名称で検出されるワーム)をダウンロードしてインストールするよう命令しました。ボットPCにインストールされたBflient.Kは即座にC&Cサーバーに接続し、さらに次のマルウェアをインストールするよう命令を受けました。
- Win32/SpamTool.Tedroo.AN(スパムメールを大量送信するマルウェア)
- MSIL/Agent.M(プロセス挿入を駆使することでアンチウイルス製品による検出を免れようとするワーム)
- Win32/TrojanProxy.Ranky(ほかのマルウェアによる不正活動を隠ぺいできるプロキシをインストールするトロイの木馬)
さらに12月に入ると、検出数が極端に少ないIRC/SdBotのある亜種がインストールされました。Bflientと同様、このマルウェアもボットネットをコントロールするために使用されます。
第2のPeerfragボットネットは、ルクセンブルクに置かれたC&Cサーバーによって管理されていました。このC&CサーバーのDNSレコードは、わたし達がボットネットの監視を始めた直後に書き換えられ、ルクセンブルク、ドイツ、米国に割り当てられた9つのIPアドレスが追加されました。
11月後半、このボットネットの管理者がボットPCへのBflient.Kのインストールを開始します。第1のボットネットの場合と同様、インストールされたBflient.KはC&Cサーバーに接続し、追加のマルウェア(ここではWin32/SpamTool.Tedroo.AN)をダウンロードするよう命令を受けました。
ボットネット管理者はその後、また別のマルウェアをダウンロードするよう命令を出しました。さらにその直後にはIRC/SdBotの亜種、12月中旬には新たなスパムボット(Win32/Injector.DPS)がボットPCにインストールされました。
結論
この2つの事例で両ボットネットの管理者は、新しい管理キット(Bflient)を導入するために古い管理キット(Peerfrag)を完全に破棄しました。その確実な理由の1つとしては、作者の逮捕によりPeerfragのメンテナンスが停止したためと考えられます。
今回の調査では、Bflientボットネットの管理者がいかにして利益を上げているかが明らかとなりました。各種のマルウェアをボットPCにインストールし、スパムの送信(Tedroo)や、マルウェアをインストールすることで対価を得る「Pay-Per-Install」モデル(Agent.M、Injector.DPS)です。
いうまでもないことですが、このようにPCがボット化された根本的な原因は、アンチウイルスソフトウェアが感染PCに導入されていなかったからです。適切に対処していれば、このようにマルウェアが次々とインストールされる事態は避けられていたはずです。
今回解説した2つのボットネットはそれぞれ独立して活動しているように見えますが、両ボットネットのトラフィックを分析した結果、どうやら事情は異なるらしいということが明らかになりました。2つのボットネットのトラフィックには、いくつかのIPアドレスが共通して含まれていたのです。この点については、来月のレポートで解説します。
2010年は、論争と混乱が巻き起こる中で幕を閉じました。主な舞台となったのは、外交や政治、国際関係、法律の世界ですが、脇ではおそらく史上初めて、情報を自由に流通させる権利をさまざまな手段で守ろうとする世界規模のオンラインコミュニティが(積極的であるかどうかにかかわらず)関与していました。外交や政治などへの影響を抜きにして純粋にITセキュリティの観点から見てみると、この問題は、それぞれセキュリティ分析を行うに値する複数の側面を持つ現象と捉えることができます。本稿では、この問題のうち特に際立っている事象と、Wikileaksがパラダイムシフトを引き起こす可能性のあるいくつかの局面に着目しながら、問題を概説します。
第1の問題、いわば「原罪」はもちろん、Wikileaksによって暴露されたデータがどのように保護されていたかです。より具体的には、公開されれば大問題に発展する可能性のあるデータがいかにして収集、転送、保存されていたのか。そしてその過程において、データへのアクセス権限レベルが異なる複数の人物がどのようにデータを入手し、Wikileaksへ提供したのでしょうか。数年前から多くのITセキュリティアナリストが指摘しているように、多くのデータ漏えい事件には内部関係者が関与しています。Ponemonの2009年の調査によると、全回答者の59%は「レイオフを含む離職時には企業の機密データを持ち出す」と答えています。さらに、そのうち79%は「離職時に企業データの持ち出しは禁止されている」と答え、68%は「持ち出したメールアドレス情報や顧客リスト、社員情報などを転職先で利用するつもりでいる」と回答しているのです。
この調査結果が発表されてから2年近く経ちますが、いまだに社内のデータ保護ポリシーを改める動きが大々的に広まる様子はなく、またハードウェアやソフトウェアによるデータ保護ソリューションの導入が進んだという話も聞こえてきません。今日では、正式に機密扱いとされているものを含め、ほとんどの情報は紙の文書としてファイルキャビネットに収められるのではなく、デジタルデータとして管理されているため、情報へのアクセス権限を持つ者は容易にコピーして流通させることが可能です。このような状況下で、適切な対策が取られていなかったずさんな管理体制を考えると、遅かれ早かれ大規模なデータ漏えいは避けられなかったといえます。また、企業におけるデータ漏えい事件の影響は通常、その企業の経済的な余力の範囲内である程度は軽減できますが、政府の機密文書(主に米国の外交活動に関係するもの)が暴露された今回の騒動は、ただでさえ脆弱化している国際関係に多大な影響を及ぼしました。
次に、Wikileaks問題が引き起こした事後の影響について考えてみましょう。まず最も直接的な反応として、「あとの祭り」というべきあまり意味のない対策が実施されました。Wikileaksのサーバーを閉鎖に追い込もうとする試みが行われ、さらにWikileaksへの資金供給を断ち切り機密データの公開を停止させようと複数の大手オンライン企業が連携して圧力をかけたのです。しかし、Webホスティングに関する各国法の違いから、Wikileaksによるデータ公開を世界規模で阻止することはできず、またPayPalやAmazonといった独立(であるはずの)企業がアカウントを停止するなどWikileaksへの圧力に協力したことは、世界中のインターネットユーザーから大きな反発を買い、かつてなかった別の状況を引き起こしました。2010年12月、メディアなどで大きく報道されている「Operation Payback」(世界中のサイバー活動家が連携して行っているハッキング活動)が、情報公開の敵と見なされる企業などに対してその矛先を向けたのです。
Wikileaks包囲網に対し、これほどすばやく、そして多くのユーザーが連携して行動に出たことは大きな反響を呼びました。ちなみに、比較的単純なその手法や攻撃の成果はあまり大きく取り上げられませんでした。この攻撃については、Jan-Keno Janssen、Jurgen Kuri、Jurgen Schmidtの3氏が洞察力に富む記事をHeise(The H)に共同執筆しているほか、ESETのJeff Debrosseも、Operation Paybackが実施したDDoS攻撃(分散サービス妨害攻撃)の詳細をESETのブログ「Web Weaponization and WikiLeaks」で解説しています。また後者の記事で触れられているように、サイバー犯罪者もこのトピックにすばやく反応しており、Wikileaks問題についての詳細記事が読めるとする不正リンクが含まれるスパムを大量送信し、Wikileaksに関するキーワードでSEO(検索エンジン最適化)を行っています。
このような「倫理的ハッキング」に対する意見は賛否両論です。特に、攻撃対象となるサービスのユーザーがWikileaksに共感しているとは限らない場合、そのユーザーに迷惑(もしくはそれ以上の不利益)が及ぶ可能性のある手段を用いる意義や倫理性については、さまざまな見方があります。例えばこちらのブログ記事では、wikileaks.infoをブラックリストに登録したSpamhausが、「Wikileaksに圧力をかけた」として攻撃を受けた事例が紹介されていますが、 当のSpamhausは、「wikileaks.infoは、Wikileaks問題を不正行為に利用するための悪質なサイトである」と主張しています。この事例について、どちらが正しいのか確証を持って断言できませんが、サイバー犯罪者が今後もWikileaks問題を利用した不正行為を続けるのはほぼ間違いないでしょう。わたし達としては、「情報を流通させる権利」を擁護する人々が、マルウェア作者やボットネット管理者、フィッシング詐欺師らの行為を「言論の自由」と勘違いすることのないよう願うばかりです。
サービス妨害ではなく機密データの広範な流布を目的とした活動も、「Operation Leakspin」という名の下に始まっていますが、この動きはもはやITセキュリティとは無関係であるためここでは言及しません。Webに及んでいる全般的な影響やその副次的効果を見るかぎり、Wikileaks問題は、ドミノ効果ともバタフライ効果とも言い切れない形で波及しています。しかし、この問題の直接的、間接的な影響を受けて、データの取り扱いや公開に関する従来の慣習はほぼ確実に見直されるでしょう。ひょっとすると、まったく新しい方法が生まれてくるかもしれません。
窶妊aniel Delbert McCracken
アンチマルウェア研究者の中で、好んで将来を予測する人はほとんどいません。予測が犯罪者にヒントを与え、現実のものとなった場合に批判されたり、予測を外して1年後に嘲笑の対象になりたいとだれも思わないからです。しかし、その分野の専門家が考える今後の見通しを参考にしたいと願う方もいるでしょう。そこで今回は、世界各国にいるESETの研究者に、今後1年間の脅威トレンドを「茶葉占い」で予測するよう依頼しました。しかし、お茶の愛用者はごく少数派で、しかもそのうちのほとんどはティーバッグを使っていたため、 コーヒーでもワイン(※3)でも構わないと伝えたところ、皆こころよく引き受けてくれました。
その結果は、ESETラテンアメリカのリサーチチームがスペイン語のホワイトペーパーにまとめており、英語版は近日中にESET Webサイトのホワイトペーパーページで公開される予定です。その前に読者の皆さんには大筋をお伝えしましょう。
- すでに周知の存在となったボットネットですが、2011年もさらに勢力を拡大し続けると予想されます。Shadowserver Foundationのデータによるとボットネットの数は引き続き増加しており、ボットマルウェアもESETのThreatSense.Netのデータで右肩上がりのカーブを描いています。いずれも、マルウェア感染システム全体に占めるボット感染PC(ゾンビPC)の割合が今後さらに高くなると示唆しています。また、2010年はTwitter経由で命令を受けるボットネットが登場して話題を呼びましたが、ボット管理者は今年も、新たな手段でボットネットをコントロールしようと模索し続けることでしょう。前向きな話もあります。昨年大きな成果を挙げたボットネットを閉鎖する取り組みが今年も機能し、一層多くのボットネットを閉鎖に追い込めるでしょう。ESETのCTACチームも同じく、ボットネットは2011年も大きな脅威であり続けると予想すると同時に、「小規模で無名でも、有名な巨大ボットネットと同程度以上の警戒が必要」という事実を多くの人が理解する必要があると警鐘を鳴らします。なぜなら、セキュリティ研究者がその動向を子細に監視している巨大ボットネットは、それを嫌うボット管理者が自ら破棄することがありますが、小規模な場合には見込めないからです。
- 昨年は、Koobfaceとよく似た特徴を持ち、複数のオペレーティングシステムに感染する機能を備えるBoonanaが登場しました。2011年も同様に、Javaなどの仕組みを用いて複数のプラットフォームで動作するマルウェアがさらに登場してくると予想されます。例えば、Windowsと非Windowsの両方で動作するボットマルウェアなどが登場する可能性があります。
- インデックスポイズニングやインデックスハイジャッキング(※4)とも呼ぶブラックハットSEO(検索エンジン最適化)は、もはや目新しくありません。しかし2011年は、ソーシャルメディアの活用によってこの種のSEOがさらに洗練され、より多くのユーザーがリアルタイムの検索で不正サイトに誘導されるようになると予想されます(この問題については、2010年のVirus Bulletinカンファレンスでも大々的に取り上げられました)。
また「Trends 2011: Dynamic Malware and the Botnet」と題する近日公開予定のホワイトペーパーでは、2011年も継続すると考えられるその他のトレンド、例えばソフトウェアの脆弱性の利用(Win32/Stuxnetは多数の脆弱性を利用しました)、ソーシャルエンジニアリング、ソーシャルメディアにおけるプライバシー問題、特定地域だけで活動するマルウェアなどについても解説しています。
- 米国カリフォルニア州サンディエゴに拠点を置くCTACチームの予測では、現在FacebookやGoogleのユーザーがしばしば経験しているソーシャルエンジニアリング攻撃をソーシャルメディア全体が受けるようになり、LinkedInやOrkut、Twitterなどのソーシャルネットワーキングサービス(SNS)サイト、BingやYahooなどの検索エンジンに対する攻撃が増加する見込みです。この傾向は特に、FacebookやGoogleといったマーケットリーダーが自らへのソーシャルエンジニアリング攻撃対策の強化を図るにつれて一層顕著になると思われます。
またFacebookには固有の問題もあります。それは同社が根本原因を解消しようとせず、対症療法によってソーシャルメディアのプライバシー問題に対処し続ける可能性があるからです。Facebookは、「プライバシー問題はユーザーが望んだ結果だ。データの共有範囲を明示的に尋ねられる場面がなかったとしても、自分に不都合なデータが共有されないよう対策を講じる責任はユーザーにある」という立場を取っています。Beboなど一部のSNSサイトは、ユーザーのデータをできるだけ多く共有することがそのビジネスモデルにとって非常に重要です。しかし、彼らのデータ共有ポリシーは「すべて許可」から「一部許可」へと移行しています。一方、Facebookのポリシーは現在まで曖昧なままです。
では、「ソーシャルメディアでは情報を自由に流通させなければならない」と無分別に考える人々は、その世界観の中にセキュリティが果たす役割が欠落しているのでしょうか。SNSサイトの自動スクレイピングツールの普及やデータ漏えい事件の増加に伴って、スピアフィッシング攻撃を実施するためのハードルが下がり、大規模な攻撃が発生するようになると予想されます。無防備にソーシャルメディアを利用したり、公開されているデータを認証情報として安易に受け付けたり(※5)する行為は、リスクを増大させるだけです。
Facebookのようなサイトが、プライバシーに十分配慮して適切なデータだけが共有されるよう方針を変えれば、SNSサイトはさらに大きな発展を遂げるはずです。しかし現在のところ、Facebookを利用する5億人のユーザーは、デマや詐欺行為、マルウェア、偽のアンケート、不正なリンク(不正サイトや偽のセキュリティアプリケーションへのリンク、SEOなど)の存在に悩まされています。情報共有を「すべて許可」に初期設定しておきながら「ではお気を付けて」などと漠然とした警告を行うだけでは、先史時代の注意喚起と何も変わらず、満足なセキュリティやプライバシーは得られません。また「不審なリンクは一切クリックしないように」というような決まり文句にしても、「不審である」とは具体的に何を指すのかわからなければ意味はないのです。
- CTACチームは、マルウェアが利用されるかどうかは別にして、ソーシャルエンジニアリングは引き続き大きな脅威になるだろうと考えています。多くのマルウェアは今後も、従来の感染経路(電子メールやフォーラム、ニュースグループなど)を通じてユーザーに不正なリンクをクリックさせ、システムに感染しようと試みるでしょう。しかしそれだけでなく、.LNKの脆弱性のように、その存在が一般には知られないまま攻撃者に悪用される脆弱性もいくつか出現すると考えられます。SCADAシステムのデータを盗み出す攻撃も引き続き発生すると予想されますが、その際には、Win32/Stuxnetのような自己複製型のマルウェアではなく、スピアフィッシングやソーシャルエンジニアリングマルウェア、ゼロデイの脆弱性、トロイの木馬が利用される可能性が高いと考えられます。ただしそのStuxnetの最大の目的は、データの不正取得ではなく一部の産業システムに対する妨害工作だったようです。一部でささやかれている「Stuxnetのコードは少し手を加えるだけであらゆるシステムの攻撃に利用可能になる」という憶測はいささか誇張されており正確なものではありません。Stuxnetを巡っては、2011年もさまざまな仮説が飛び交い、入念な分析調査が行われることでしょう。
- パケットのキャプチャ、操作を自動化するツールもさらに増加すると見込まれます。昨年、多くのハイジャックツールが登場する先駆けとなったのはおそらくFiresheepです。Firesheepの登場は、ID窃盗を行ううえでのハードルを確実に低くしました。そのため、パケットキャプチャを悪用したありとあらゆる行為が広がるものと予想されます(例えば、若者たちや有名人が互いのアカウントをのぞき見るというような振る舞いが頻発するでしょう)。ただし、ロンドニングなどの詐欺目的でアカウントをハイジャックする行為は、これらのパケットキャプチャツールが登場する以前から広く行われています。
- 一見信頼の置ける、広告出稿目的の「偽企業」を設立する動きの増加に伴い、不正広告が規模、範囲ともに拡大すると予想されます。また、「世帯年収が20万ドル以上の主婦」や「年収7万ドル以上で18~34歳の男性ゲームユーザー」など、特定のユーザー層を絞り込んで広告を表示する技術が洗練されるにつれ、不正広告を利用した標的型攻撃も増えてくると考えられます。特に、貯蓄額が比較的多く、ソーシャルエンジニアリング攻撃やその対策についての知識があまりないと思われるベビーブーム世代や定年退職近くの世代は、さまざまな攻撃のターゲットとして狙われることになるでしょう。
- 公共サービスなどのコンピュータ化が進むにつれて、「サービスの不調はマルウェアが原因」とユーザーをだます詐欺行為が増加すると考えられます。コールセンターからの電話を装うタイプの詐欺(ESETの名前が使われたこともあります)では、マルウェアの脅威を口実にセキュリティソフトウェアを購入させる手法から、より幅広いサポートサービスを購入させようとする手法への移行が進むでしょう。ただし、Windowsのイベントビューアなどのツールを利用して問題が起きているように見せかけ、製品やサービスを購入させようとする手口はまだすたれないと予想されます。
- ケーブルモデムやADSLモデム、家庭用ゲートウェイルーターなどPC以外のデバイスにマルウェアを感染させる手法の研究がさらに進む見込みです。その結果、パッチ未提供の脆弱性が残る非常に古いオペレーティングシステムを搭載したデバイスへの攻撃が、小規模ながら大きな成功を収めることになるでしょう。さらに、複合機のユーザーを狙う標的型攻撃についても同様に研究が進むと思われます。また近年ではランサムウェアを利用した攻撃が増加していますが、この種の攻撃では、ディスク全体を暗号化する機能を備えながらまだ暗号化されていないハードディスクドライブやソリッドステートドライブを探し出し、勝手に暗号化してそのパスフレーズを売りつけるマルウェアが増加する可能性があります。
- アンチマルウェアベンダーの間では、レピュテーション分析やリバースエンジニアリングによるマルウェア解析でのクラウド利用がますます進むと考えられます。2010年5月にフィンランドのヘルシンキで開催されたCAROワークショップでは、既知のマルウェアサンプルのユニーク数は4,000万を優に超えるとの見方で参加者の意見が一致しました。いずれ2011年中には、5,000万を大きく上回る事態になると思われます。かなり控えめに見積もった数字ですが、そもそも正確な数のカウント自体が容易な作業ではありません。マルウェアのカウント方法はベンダーによってさまざまで、重複の確認にも膨大な時間が必要となるためです。ただし、ESETのウイルスラボではこれに関連する調査を計画しているところですので、いずれ本レポートでご紹介できるかもしれません。
- アンチマルウェアのテスト手法を巡っては、2011年も議論が継続する見込みです。今日では、「実際のユーザーに影響を及ぼす現実の脅威動向を反映させるには、動的テストの方が有利である」という認識が徐々に広まりつつありますが、最も正確かつ効果的なテスト手法についての見解はまだ結論に至っていません。AMTSOに所属するテスターや研究者は、適切なテスト指針を確立するうえで引き続き中心的な役割を担うことになりますが、技術的には非常に難しい問題であり、その過程で巻き起こる論争は避けられないでしょう。
- 盗んだ証明書や偽装した証明書を利用するマルウェアや脆弱性攻撃が増加すると考えられます。2010年には、StuxnetやZeus、Adobeのゼロデイ脆弱性を狙う攻撃、SSL中間者攻撃などでこの種の手法が利用されました。
- モバイルデバイスもターゲットとして数多く狙われるようになると予想されます。ホワイトリストによる適切なアプリケーション制御を導入すれば、かなりの割合でマルウェア攻撃から保護できますが、詐欺行為を目的とするソーシャルエンジニアリング攻撃は今年も多く発生するでしょう。
ここでは、2010年に起きたマルウェア関連の重要な出来事を振り返ります。これらのインシデントは、「標的型攻撃」「ボットネット」という2つのカテゴリと、いずれにも当てはまらないその他のカテゴリに大別できます。以降では、それぞれの攻撃の特に重要な側面を詳しく解説します。
標的型攻撃
2010年には、標的型攻撃に関連する大きなインシデントが2件発生しました。1つは2010年初頭に、一方は終盤に起きたものです。
まず、年が明けてからわずか数日後に、複数の大手テクノロジー企業に対して行われていたサイバー攻撃が判明しました。「Operation Aurora」と呼ばれるこの攻撃は、その詳細を最初に公表したGoogleを含む大手企業数社からの知的財産データの不正取得を目的としていました(攻撃の発覚当初は、中国の人権活動家のGmailアカウントを盗み出すことが主な目的と考えられていました)。
攻撃の第一段階では、各企業の重要ポストにある人物に向けて不正な電子メールが送信されます。そしてInternet Explorerのゼロデイ脆弱性を突かれ、ドライブバイダウンロードによってマルウェアがダウンロードされ、インストールされます。これは標的型ではありましたが、発覚から数日のうちに、ほかにも多くの企業が攻撃を受けていた事実が明らかとなりました。その意味でこのインシデントは、2010年における最も悪質な大規模攻撃であるといえるでしょう。ESETの研究者は、1月だけでも同じ攻撃コードのバリエーションを650種類以上確認しています(ESET製品では、これらのコードはすべて「Trojan.JS/Exploit.CVE-2010-0249」として検出されます)。また220箇所以上見つかっているマルウェアの配布サイトは、そのほとんどがアジア地域に存在しています。すべての手がかりは、攻撃の発信源は中国にあると示唆しています。
もう1つは、「マルウェアオブザイヤー」というべきStuxnetによる攻撃です。Stuxnetの不正コードも標的型ですが、標的とされたのは特定の組織ではなくシステムです。このワームは、SCADAシステムのみ、特にSiemensの2つの製品を攻撃するように設計されています。Stuxnetは複数のゼロデイ脆弱性を利用して世界中に感染を広げましたが、その過程では多くのWindowsシステムが影響を受けました。ただし、これらのWindowsシステムはワームが感染を広げるための単なる経路として利用されたに過ぎません。中核となる不正ルーチンは、さまざまな重要システムの管理や産業プロセスの自動制御に使用される産業システムにのみダメージを与えるよう設計されています。その目的は、原子力発電所の特殊アプリケーションを制御するためであると見られています。ESET製品で「Win32/Stuxnet.A」として検出されるこのワームは、世界中の4万5,000の産業用制御システムに感染しました。ESETの研究者の調査によると、存在が確認された1週目は感染システムの52.2%がイランに存在したため、最大の標的は同国ではないかと推測されましたが、 その後の感染率は他の国と同レベルに落ち着いています。Stuxnetは感染手法が特殊で、SCADAシステムを熟知する高度なスキルが無ければ作成が不可能であるため、セキュリティ関係者の間で大きな関心を呼び、そのグループを巡ってはさまざまな意見が飛び交っています。
Stuxnetの詳細については、ESETのホワイトペーパー「Stuxnet under the microscope」をご覧ください。
ボットネット
ボットネットに関しても、その影響力の拡大ぶりを証明するようなインシデントが相次ぎました。例えば、世界中で使われているボットネット管理ツールであるZeusなどは、1年を通じて何度もメディアをにぎわせました。これらの脅威はさまざまな機能を備えていますが、中でも特徴的なのはオンライン銀行のログイン情報の不正取得です。Zeusと同じく、年間を通して活動が目立ったKoobfaceもこの機能を備えています。Koobfaceは、4月には動画やコーデックを装い、5月には4月のケースと似たFlash動画を、そして8月には「防犯カメラの映像にあなたが映っている」という偽のメッセージを送り付けて感染を広げました。さらに10月には、LinuxやMac OSに感染する新たなトロイの木馬、Boonanaが登場しています。
年末には、再びZeusが注目を集めました。作者が開発の終了(およびSpyEyeと統合する可能性)を表明したのに加え、その数週間後、米国とモルドバでZeusを利用していた8名が逮捕され、同ボットネットによるさまざまな活動が停止したのです。
2010年の初めには、MariposaとWaledacという2つの大型ボットネットが閉鎖に追い込まれました(ESETの研究者は、年間を通して情報の収集に協力しました)。7月以降には、オランダを拠点にし、2年間にわたる活動で3,000万以上のシステムに感染した大型ボットネットBredolabが解体されました。ただしこのトロイの木馬については、最近になって新たな亜種が登場し活動を再開しているという証拠が見つかっています。Koobfaceについては、マルウェア研究者がいくつかの指令センターへの侵入に成功し、完全な解体までは至っていないものの、活動状況や彼らの「成果」について貴重な情報を入手しています。
ボットネットの世界においても、スマートフォンに感染するボットマルウェアを作成し、8,000台のスマートフォンからなるボットネットを構築するといった新しい試みが進行中ですが、これはまだ実験目的に過ぎません。Twitterを介して管理されるボットネットの登場も大きな注目を浴びました。ESETのラボでは、ツイート経由でボットPCに命令を送るボットネットを去年1年間に2つ確認しています。
その他の脅威
2010年最大の脅威を挙げる本稿の締めくくりには、依然として活動を続け、世界中のPCに感染を広げているConfickerに触れないわけにはいきません。このワームは2008年に登場して以来、非常に高い感染率を保ちながら流通し続けています。同ワームが利用する脆弱性はとうの昔に修正パッチが提供されていることを考えると、これは驚異的です。
また、Windows以外のプラットフォームをターゲットととする脅威も登場しました。例えばMac OSは、トロイの木馬をはじめとするいくつかのマルウェアに脅かされましたし、 Linuxを標的とするマルウェアも登場しました。Linuxの場合はさらに、あるフリーソフトウェアの公式リポジトリにトロイの木馬が6ヵ月以上ホストされ続けるという事件も起きました。モバイルデバイスを狙うマルウェアも新たな亜種が登場、一部のオペレーティングシステムでは初となる脅威も出現しています。例えばAndroidでは、感染先の端末から割増料金の電話番号へテキストメッセージを送信し、その所有者に高額な通話料金を支払わせるトロイの木馬が登場しました。
結論
Windows以外のプラットフォームを狙う脅威が出現し、不正コードのさらなる高度化が進み、ボットネットの規模が拡大し、そして何年も前に登場した脅威が依然として活動を続けた2010年は、マルウェアに関して息つく暇もない年だったといえます。
特に最後の要因、つまり新旧の脅威が共存し続けた状況は、マルウェア急増の大きな原因となりました。
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
3. Win32/PSW.OnLineGames [全体の約3.59%]
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
ESET NOD32アンチウイルスは、感染先のPCからユーザー情報を盗み出す各種マルウェアをWin32/Agentと総称します。
ユーザー情報を盗み出すために、通常、このマルウェアは自身を一時フォルダにコピーし、このファイル(または、ほかのシステムフォルダにランダムに作成されたファイル)を指すレジストリキーを追加して、システムが起動するたびにこのプロセスを実行させます。
この名称は、幅広い感染経路を持ち、単一の手法では感染を防ぐことのできない多種多様な脅威に対して用いられます。この種の脅威への感染を防ぐためには、すぐれたアンチマルウェアソフトウェア(もちろん、ESETの製品はその1つです)を使用し、最新のパッチを適用し、Autorun機能を無効にし、そして安易にリンクをクリックしないことが重要となります。
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。
autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。
HTML/ScrInject.Bというのは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
不正なスクリプトやiframeは、マルウェアへの感染手段として最も多く用いられている手法の1つです。そのため可能な場合には、Webブラウザー、そしてPDFリーダーのスクリプト機能を初期設定で無効にするようにしてください。例えばFirefoxでは、NoScriptというオープンソースの拡張機能を使用することで、JavaScriptなど攻撃者に利用される可能性のある要素をサイトごとに有効/無効に設定することができます。
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
この脅威は、自分自身をWindowsの%system32%フォルダにコピーしたあと動作を開始します。Win32/Qhostは電子メールを介して拡散し、攻撃者が感染PCを乗っ取れるようにします。このトロイの木馬ファミリーは、hostsファイルを改ざんして特定ドメインへの通信をリダイレクトしようとします。
この脅威は、感染したPCのDNS設定を改ざんし、ドメイン名とIPアドレスの対応付けを変更するトロイの木馬の一種です。多くの場合、この改ざんは、感染したPCがセキュリティベンダーのサイトにアクセスして更新ファイルをダウンロードできないようにしたり、正規サイトへのアクセスを悪意のあるサイトにリダイレクトしたりするために行われます。Qhostは通常、金融機関サイトへのアクセスに対して中間者(Man in the Middle:MITM)攻撃を仕掛けるためにこの行為を行います。改ざんが行われた場合、アクセス先のサイトが本当に正しいサイトであるかどうかは、URLからは判断できなくなります。
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2010年度のランキングは、「Win32/Conficker」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち8.45%を占めています。
