Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

マルウェアは「エコシステム」でビジネス化進む、Kasperskyが分析


 ラスベガスで開催中のネットワーク関連イベント「Interop Las Vegas 2008」で29日、Kaspersky Labのエバンジェリストを努めるトム・バウワーズ氏が「マルウェア攻撃の分析」というタイトルで講演した。


2分に5種類のマルウェアが発生

Kaspersky Labのエバンジェリストを務めるトム・バウワーズ氏
 バウワーズ氏は冒頭、マルウェアが増加傾向にあることを指摘。Kaspersky Labが収集したマルウェアの検体は、2006年が約55万件だったのに対して、2007年は前年比2倍以上の120万件超に達したという。

 「最低でも2分に5種類のマルウェアが発生している状況」。特に2007年上半期に配布されたマルウェアの9割はトロイの木馬で、主に情報漏洩を引き起こすものだったとしている。

 さらにバウワーズ氏は、脅威の傾向が従来の愉快犯型から金銭取得型に移行していると指摘。金銭取得を目的としたサイバー犯罪の具体例として、2005年3月に逮捕されたイスラエル人のYaron Bolondi容疑者の事例を紹介した。

 Bolondi容疑者は、トロイの木馬を使って顧客の口座情報を取得。これを悪用して、ロンドンの三井住友銀行から合計2億2,000万ポンド(4億2,000万ドル)を不正に引き出そうとした罪で逮捕されたという。


マルウェア検体収集件数の推移 Bolondi容疑者は、ロンドンの三井住友銀行から2,000万ドルを不正に引き出そうとした罪で逮捕された

マルウェアが「ビッグビジネス化」、低リスクがサイバー犯罪に拍車かける

Kaspersky Labが収集した「クライムウェア」(犯罪目的のマルウェア)件数の推移
 「2004年を境目にマルウェアが『ビッグビジネス』化した」。こう指摘するバウワーズ氏はその証拠として、Kaspersky Labが収集した「クライムウェア」(犯罪目的のマルウェア)件数の推移を紹介した。

 それによれば、2003年は毎月1,000件程度で横ばいだったが、2004年7月には約2,000件に倍増。以降、右肩上がりで増え、2007年8月には約7,000件に達したという。クライムウェア急増の要因については、「サイバー犯罪が極めてリスクの低いビジネスだから」と説明した。

 「サイバー犯罪者は、自分自身が比較的安全だと思っている。サイバー犯罪に国境はないため、世界各国に異なる法律で取り締まるのは難しい。被害者も感染に気づかず通報しないケースもある。」

 その一方で、FBIがニュージーランド当局と協力し、通称「Akill」で知られるニュージーランド人を逮捕した事例もある。バウワーズ氏によれば、Akillは世界で120万台のPCからなるボットネットを運用し、2,000万ドルの被害をもたらしたという。


マルウェアの「エコシステム」では分担作業が確立

マルウェアの「エコシステム」
 続いてバウワーズ氏は、マルウェアの「エコシステム」として、「投資家」がエンドユーザーから金銭を不正入手するまでの組織的犯行の流れを説明した。

 それによればエコシステムではまず、犯罪者集団やテロリストなどの「投資家」がマルウェア作者に依頼することから始まる。「投資家」には、政府が関与するケースもあるとしている。

 「投資家」の依頼を受けたマルウェア作者は、ボットネット運用者やスパム配信業者、ハッカーなどの「マルウェアコンサルタント」にオファー。マルウェアを配布する手はずを整える。

 さらに「マルウェアコンサルタント」は、スパムやSNS、Webサイト、インスタントメッセンジャーなどを通じて世界各国のエンドユーザーにマルウェアを感染。これにより、クレジットカード番号や銀行口座情報などを盗み取るという。

 これらの個人情報を入手した「投資家」は、エンドユーザーから金銭を盗み取ることで、再び「投資」を行なうとしている。


マルウェアビジネスのポータルサイトも存在

 マルウェアがビジネス化した例としては、ボットネットを借りたい「投資家」向けの「マルウェアビジネスポータルサイト」を紹介した。

 同サイトでは、ボットネットの使用料金のほか、ボットの感染率保証やボットネットのサービス内容合意書、テクニカルサポートなどを提供する。「借りるだけでなく、実際に使いたい」という人には、マルウェアの操作コンソールも公開されているとした。

 さらに、マルウェア感染を確認するためのツールとして、パケット取得とプロトコル解析を行なうことでネットワーク障害を分析する「Wireshark」、レジストリが書き換えられていないかどうかを確認する「Regmon」、Windowsのファイルへのアクセスを監視する「Filemon」などを紹介した。


マルウェアのビジネスポータルサイト 感染するとボットネットに組み込まれる「Storm Worm」の操作コンソール

パケット取得とプロトコル解析を行なうことでネットワーク障害を分析する「Wireshark」 レジストリが書き換えられていないかどうかを確認する「Regmon」

Windowsのファイルへのアクセスを監視する「Filemon」
関連情報

URL
  Interop Las Vegas 2008
  http://www.interop.com/

関連記事
ファイルを“人質”にして金銭を要求するウイルスを懸念、Kaspersky氏(2007/05/16)


( 増田 覚 )
2008/04/30 17:30

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.