ニュース
ウイルス犯人のミスを糸口に、SNSプロフィール特定も!?
マルウェアの背後関係を洗い出す、Trend Microの“ミスター標的型攻撃”たち
(2012/12/27 11:00)
いわゆる“遠隔操作ウイルス”事件では、犯人が自作したとされるバックドアプログラム「iesys.exe」の特徴がクローズアップされ、それを手がかりにして犯人の特定につなげられるのではないかといった指摘もある。最近では警視庁などの合同捜査本部もそうした技術的な情報を広く公開し、一般からの情報提供を求めるようになった。しかし、見つかったマルウェアを解析することで攻撃の全容や犯人を解明しようという調査活動は遠隔操作ウイルスに限ったことではなく、日々検知されるサイバー攻撃を調査・分析しているセキュリティベンダーでも行われている。
10月中旬にそのメンバーが来日し、報道関係者向けに説明会を開催したTrend Microの「Forword Looking Threat Research(FTR)」という組織は、その名が示す通り、将来の脅威を見据えたリサーチ業務を担当している。例えばHTML5やAndroid、NFCなど最新技術についての“テクノロジーリサーチ”、SNSやゲームなどユーザーのインターネット利用動向についての“ソーシャルリサーチ”、不正プログラムなど犯罪者らの動向を見る“アンダーグラウンドリサーチ”という3つの領域でリサーチ活動を行い、Trend Microの2年後のセキュリティ製品がカバーすべき範囲を予測・提言するのがミッションだ。
それと同時に、FTRは“eCrime Unit(e犯罪部隊)”とも呼ばれており、各国の捜査当局に協力し、サイバー犯罪の摘発のための調査や情報提供なども行っている。2011年には、DNSの設定を書き換えることで不正サイトに誘導するウイルス「DNS Changer」を利用していた犯罪者グループの摘発で米連邦捜査局(FBI)らと協力。400万台以上という巨大なボットネットワークを操っていた100台以上の指令サーバーを閉鎖に追い込んだ。日本では京都府警とも連携しているという。
FTRシニア・ディレクターのマーティン・ルースラー氏によると、FTRは北米、南米、欧州、東アジアの14拠点に散らばった20人のメンバーで構成されている。これは、例えば北米・南米ではネット犯罪で狙われるのは銀行、欧州ではクレジット会社、中国ではゲームというように、ターゲットが地域によって異なるためだ。それぞれの地域の言語・サービスに精通したメンバーでなければ、脅威を把握・分析できないのだ。
来日時に行われた報道関係者向けの説明会には、ルースラー氏のほか、シニアスレットリサーチャーのナート・ベルヌーヴ氏、EMEA(欧州・中東・アフリカ)担当マネージャーのロバート・マカドル氏の3人が出席。ルースラー氏がFTRの概要を説明した後、ベルヌーヴ氏がAPT(持続的標的型)攻撃の「Luckycat」について、マカドル氏がオンラインバンキングを狙ったトロイの木馬「Tinba」について、それぞれ実際にどのようにして攻撃の全容を解明していったのか、実際にFTRが使っているツールのデモを交えながら、その調査手法の一端を紹介した。
バラバラに見える出来事が、実は一連のAPT攻撃キャンペーン
Luckycatは2011年6月ごろから確認されている攻撃で、航空・宇宙、エネルギー、運輸、軍事産業やチベット人活動家などがターゲットになった。少なくとも5種類のマルウェアが投入され、インフラとしては無料のウェブサーバーのアカウントを使用。通信には匿名化ネットワークを使用し、攻撃元を隠ぺいしていたという。
では、Trend Microではどのようにして、このLuckycatの攻撃の背後関係を洗い出していったのか?
標的型攻撃研究の第一人者で、“Mr Targeterd Attack”とも称されるベルヌーヴ氏は、ある1つの攻撃には、1)情報の収集、2)侵入、3)Command & Control(C&C)コミュニケーション、4)攻撃の拡大、5)資産/情報の特定、6)価値あるデータの窃取――という複数のフェーズがあり、「一見バラバラに見える出来事を、一連の攻撃キャンペーンとしてとらえることが可能だ」と説明する。
攻撃者はまず、1)において、LinkedInやFacebookなどの公開されている情報から、ターゲットにする人物を調査・特定し、それら個々のターゲット向けにカスタマイズしたソーシャルエンジニアリング攻撃を準備する。
次に、2)において、それらのターゲットが関心を持つようなメッセージを、なりすましメール/インスタントメッセンジャーなどで送信。添付ファイルを開かせたり、あるいはリンク先のサイトでドライブバイダウンロードなどの手法でマルウェアに感染させ、ターゲットの端末にバックドアを設置する。
続いて、3)のフェーズで、C&Cサーバーとの通信を開始。侵入を受けた端末は攻撃者のコントロール下に置かれ、以降のフェーズでさまざまな指令を受けて利用される。
こうして侵入に成功した端末を足がかりにして、4)において、その端末があるネットワーク上の他の端末へも感染を拡大。攻撃の可能性を広げるとともに、持続的にコントロール下に置いて目的達成の確実性を高めるという。
そして、5)のフェーズにおいて、さまざまなツールや技術を駆使し、価値のある情報が保管されているデータベースやファイルサーバー、サービスなどを特定。
最後に、6)のフェーズにおいて、それらの価値ある情報を収集し、圧縮や暗号化の処理を施した上で外部のサーバーに転送する――。
APT攻撃はこのように、侵入した個々のマルウェアではなく、1つのキャンペーンとしてとらえる必要があるという。また、人間が関与して攻撃の手口を変えてくる点も単なるボット攻撃と異なるとしており、攻撃の真のターゲットを判別するには、その複雑な構造を分析しなければならない。そのためにFTRでは、マルウェアのメカニズムや使われているエクスプロイト、デリバリー方法の調査に始まり、使用しているサーバーやドメインなどのインフラもマッピング。攻撃の動機や拠点の特定に至るというように追跡していくという。
Luckycatの場合は、ターゲットへの攻撃メール送信に使われたメールアドレスからスタート。一貫性のある複数のマルウェアが、とある1つの無料ホスティングサービスのサーバーに関連していることが浮かび上がった。そのサーバーは、さらに別の攻撃コードや悪意あるページなどとも関連があり、いくつかの段階を経て、攻撃元と思われるIPアドレスの情報まで割り出しが進む。そして、そのIPアドレスからは、2003年時点で調査していた別の攻撃キャンペーンとの相関関係まで見えてきたという。
もちろん、こうした追跡はマルウェアやサイバー攻撃に関する膨大なデータを保有しているからこそ可能だ。Trend Microでは、世界中で捕捉した脅威について、攻撃メールの送信元アドレスやメールクライアント、言語、攻撃に使われたドメイン、URLなどの情報を日々収集し、同社のセキュリティプロダクトに活用する「Smart Protection Network(SPN)」を構築・運用している。同社によれば、レピュテーションのソースとしてスキャンするメール/ウェブ/ファイルの容量は1日あたり5.68TBに達し、その中からスパムや危険なURL、マルウェアなどの情報を抽出している。
SPNのデータは、メール/ウェブ/ファイルのレピュテーション機能のように、Trend Micro製品/サービスのユーザーを保護するために活用されるわけだが、それと同時に、ある攻撃が、いつ、どこを狙って行われているものなのか、そのコンテクストを割り出す際にカギになる情報としても重要だと、ベルヌーヴ氏は説明した。
ベルヌーヴ氏によれば、攻撃者が使っているインフラのマッピング情報を元に点と線を結んでいくことで、攻撃者が次に何を企てているかが見えてくることもあるという。実際、攻撃者が今後、投入してくるとみられるテスト段階のAndroidマルウェアまでたどり着いたこともあったとした。
マルウェアの通信先ドメイン名・IPアドレスから、背後関係が芋づる式に
マカドル氏が解説したTinbaは「Tiny Banker」の略で、プログラム容量が20KBと非常に小さいことから命名された。オンラインバンキングのアカウント窃取などを行う代表的なトロイの木馬である「SpyEye」の50分の1程度の容量であり、それでいて同等のふるいまいが可能だという。マカドル氏は、FTRが調査に用いるツールをデモしながら、Tinbaのターゲットの分析や攻撃者の追跡を行った事例を紹介した。TinbaについてはTrend MicroとCSISが「W32.Tinba(Tinybanker) The Trukish Incident」と題した報告書も公開しており、以下、その内容もふまえながら調査の過程を追っていく。
Tinbaは今年5月に発見されたマルウェアで、被害者のPCに感染するのに「Blackhole」というエクスプロイトキットが用いられていた。それから4カ月間の観測データからは、感染数が20カ国以上の6万以上に上り、その90%以上がトルコに集中していることが分かった。そのため、当初はトルコの銀行を狙った攻撃であり、攻撃者は同国内か隣国にいるものとみられていたという。
しかし、Tinbaの検体のリバースエンジニアリングにより、TinbaのC&Cサーバーとなっていた複数のドメインが割り出されると、それに対応する1個のIPアドレスを振り出しにして、関連する脅威の情報が次々と浮かび上がってきた。攻撃者はロシアとリトアニアに拠点を持ち、別のマルウェアを使用して、他の国も狙っていた世界規模の攻撃キャンペーンの一部だったことが判明する。
マカドル氏は、情報視覚化ツール「Maltego」を使って、APT攻撃に関する情報レポジトリ「Raptor」を検索し、関連する脅威の情報を連鎖的にマッピングしていく様子をデモしてみせた。RaptorはTrend Microが構築・運用しているもので、マルウェアの検出名やファイル名、ハッシュ値、関連するドメインやIPアドレス、メール送信元アドレスや件名などの情報が蓄積されている。
マカドル氏はまず、判明したIPアドレスから、そのサーバーをリモート操作するのに使われていたことが分かっているSSHキー/パスワードの情報を検索。さらに、それと同一のSSHキー/パスワードを使用していた別の複数サーバーの情報を検索すると、5個のIPアドレスがマッピングされた。これらは同じ攻撃者が運用していたものと考えられ、2つのネットブロックに属していた。そしてこれらのネットブロックは、Tinbaのみならず、SpyEyeと同様にオンラインバンキングを狙うトロイの木馬の代表格である「Zeus」や、ドライブバイダウンロードサイト、偽セキュリティソフト、海賊版ブランド品サイト、ポルノサイトなども運用されていた攻撃者のインフラとして、すでにTrend Microが把握していたものだった。
一方で、TinbaのC&Cサーバーとなっていたドメイン名についてWhois情報などを当たっていくうちに、攻撃者のミスによって公開されていたと思われる、フェイクではない実際の連絡先らしき2種類のメールアドレスにたどり着いた。いずれのドメイン名もWhoisには「admin@ドメイン名」という形式の、いわば公開用のメールアドレスが登録されていたが、3つのドメイン名については、DNSのSOAレコードにロシアの無料メールサービスのアドレスが記載されていることが分かった。それらのドメイン名で使用していた無料DNSプロバイダーでは、ドメイン名管理者の連絡先を記述するRNAMEフィールドが利用者の本物のメールアドレスを参照する仕様だったことが原因と考えられ、それを攻撃者が見落としていたらしい。
そしてこのメールアドレスの使用者は4月15日から6日6日の間に83件ものドメイン名を取得しており、それらはTrend Microでもすでに危険なドメインとしてブロッキング対象にしていたものだったという。Blackholeをホスティングしたドメインも含まれており、同エクスプロイトキットを使っていたTimbaとも再びつながった。
また、メールアドレスをGoogle検索したところ、うち1件についてSNSの詳細なプロフィールページもヒットし、そのユーザーの写真も入手した。
なお、このSNSプロフィールが実は罪のない第三者のものであり、攻撃者によってアカウントをのっとられて悪用されていた可能性も少なからずあるという。しかし、そのメールアドレスは、以前にも攻撃に使用されたものとしてTrend Microのレピュテ―ションでも悪質なものとして評価されていたものだったとしており、どうやら攻撃者のメールアドレスである可能性が高いと判断されるとしている。
ここまで突き止めることができたとすると、攻撃者の摘発が期待されるところだが、企業であるTrend Microが自社の調査で行えるのはここまで。各国の捜査当局に情報を提供したとしても、実際に摘発に乗り出すかどうかは各捜査機関の判断になる。残念ながら、FTRが突き止めたSNSプロフィールの人物が本当に攻撃者本人だったのかどうかを含めて判明はしていないという。
マカドル氏によると、Trend Microがすでに情報を保有しているような脅威に関連してくる攻撃の場合、こうした脅威の背後関係をマッピングする作業はかなり早く進められるという。リバースエンジニアリングによってマルウェア検体のコード解析が完了後、半日以内で攻撃者の洗い出しが完了することもあるとしている。
さて、日本で話題となった遠隔操作ウイルスについてのFTRによる追跡調査結果も見てみたいところだが、トレンドマイクロ株式会社によると、実際にマッピングを試みたものの、攻撃が限定的であり、過去に捕捉されているマルウェアとの共通性もないため、脅威の背後関係をマッピングすることは難しいという。