USBウイルスが常套化、「Gumblar」などWebからの脅威も続く

トレンドマイクロの飯田朝洋氏

　トレンドマイクロは7日、2009年の不正プログラムの傾向と今後の対策に関する説明会を開催した。トレンドマイクロThreat Monitoring Centerの飯田朝洋氏は、ウイルス「Gumblar」の相次ぐ被害などに触れ、企業には「システム」「運用」「ユーザー」の3つのセキュリティレベルをすべて高めていくことが求められていると語った。

　トレンドマイクロに感染被害報告のあった不正プログラムの2009年ランキングは、1位が「MAL_OTORUN」、2位が「WORM_DOWNAD」、3位が「BKDR_AGENT」、4位が「TSPY_KATES」、5位が「TSPY_ONLINEG」となった。2009年の総報告数は4万5310件で、2008年の5万6880件からは減少した。

　1位の「MAL_OTORUN」は、USBメモリーなどを狙う不正な設定ファイルの総称。USBメモリー内の「autorun.inf」ファイルを書き換え、USBメモリーの挿入時に自動的にウイルスなどを実行させることを目的としている。飯田氏は、「企業もゲートウェイでの対策は進んでいるが、USBメモリーは外部から持ち込まれて直接実行されるため、ウイルスに感染してしまうケースが後を絶たない」と指摘。2009年の報告被害の約8％を「MAL_OTORUN」が占めるなど、USBメモリーによる感染が常套化しており、今後もこの傾向が続くだろうとした。

　2位の「WORM_DOWNAD」は、「Conficker」などの名称でも知られるワームで、2008年11月に初めて確認されて以来、国内でも多数の感染被害が確認されている。また、感染被害報告の99％は企業ユーザーからの報告となっている点が特徴となっている。初期のWORM_DOWNADはWindowsの脆弱性を狙うもので、修正パッチを適用していれば感染しないものだったが、飯田氏は「企業では互換性の問題などからWindowsの修正パッチの適用をためらう傾向があり、それが感染につながったのではないか」と指摘。また、現在ではUSBメモリーや共有ネットワーク内のパスワードクラックなどの機能を追加された亜種も出現しており、複数の感染手法を用いる攻撃は2010年も流行するだろうとした。

2009年の不正プログラム感染被害報告数ランキング	「DOWNAD」は企業ユーザーからの報告が99％を占めた

　年末年始にかけては、ウイルス「Gumblar」による企業サイトなどの改ざん被害が多く報告された。Gumblar関連では、実際にユーザーのPCに侵入してFTPアカウントなどを盗み出す「TSPY_KATES」がランキングの4位に入っている。飯田氏によれば、Gumblarは2009年の春と秋の2回に渡って多数のサイト改ざん被害が起きたが、今回の年末年始にかけては特に活動が活発になっているといったことはなく、継続的に起きている被害が大企業のサイトで相次いで起こったことで注目を集めたのではないかという。

　説明会では、Gumblarの攻撃で使用されている「TROJ_DROPR.GB」を、仮想マシン上で実際に動作させるデモも披露された。TROJ_DROPR.GBが実行されても見た目上は何の変化も起きないが、実際にはひそかにPC内に「TSPY_KATES.SMOD」が作成され、このプログラムによって通信が監視されることになる。そして、FTPサーバーに接続した際の通信からユーザー名とパスワードが抜き取られ、その情報が外部のサーバーに送信されるという一連の挙動が示された。

　Gumblarの被害では「企業にとって重要なWebサーバーが、いまだにFTPで管理されている」という点もセキュリティ的に問題だとして、よりセキュアなプロトコルの使用や、アクセスできる端末の制限などを検討するべきだと指摘。対策としては、ウイルスは亜種が次々に出るためパターンファイルだけでは対策として不十分であり、振る舞い検知や接続先ドメインを評価して怪しい通信をブロックするレピュテーション技術など、複数の対策を組み合わせることが重要だとした。

　また、確認されている範囲では、Gumblarで使用されているウイルスは最新版のソフトでは修正済みの脆弱性を狙ったものであるため、OSやブラウザ、プラグインを最新の状態に保つことも重要だが、「OSの修正パッチですら適用が遅れている企業に対しては、プラグインに至るまで最新版を適用させることはなかなか難しい」という対策の困難さを語った。

Gumblarウイルスの概要。改ざんされたWebページを閲覧することで感染し、感染ユーザーからFTPのアカウント情報を盗み出してさらにWebページを改ざんする	Gumblarウイルスに感染したPCが外部に送信した情報。「S0:」の欄にFTPのアカウント情報が見られる（文字が逆順になっている）

　2010年の傾向について飯田氏は、2009年に引き続いて「Webからの脅威」「未知の不正プログラム」が懸念される点だとして、システム面ではレピュテーションや振る舞い検知など最新の対策技術の導入が有効だと説明。運用面でも、USBメモリの悪用など「基本的対策の盲点を狙った攻撃」が続くだろうとして、運用ポリシーなど基本的対策の見直しが必要だとした。

　また、オリンピックやワールドカップなどユーザーの興味を惹く手口や、偽セキュリティソフトなどユーザーの不安感を煽る手口も引き続き注意が必要だと指摘。こうした攻撃はユーザーが手口を知っていることで防げる場合も多いため、企業などではセキュリティセミナーを開くなど、ユーザーのセキュリティ意識を高めることが最も重要だと説明。システム、運用、ユーザーの3つの側面でセキュリティレベルを高めていくことが必要だと語った。