シマンテック、2011年のインターネットセキュリティ脅威の動向まとめ


 株式会社シマンテックは12月21日、2011年のインターネットセキュリティ脅威の動向を総括する説明会を開催した。

 解説にあたった株式会社シマンテック セキュリティレスポンス シニアマネージャの浜田穣治氏は、2011年のトピックスとして、(1)高度な技術が用いられたマルウェアW32.Duquの登場、(2)スマートフォンを狙った脅威の拡大、(3)日本でも官公庁や大手企業がターゲットとなり、たびたび報道された標的型攻撃の急増の3つを挙げた。2012年は、2011年の脅威が引き続き拡大すると予測している。

きわめて精巧かつ複雑なマルウェア「W32.Duqu」

株式会社シマンテック セキュリティレスポンス シニアマネージャ 浜田穣治氏

 W32.Duquは8カ国の6つの組織で感染が確認されており、ベルギーやインドのサーバーと通信していたことがわかっている。W32.Duquとよく似た特徴を持っており、Word脆弱性を悪用したゼロデイ攻撃を行い、盗んだ電子証明書で署名する。発見されたのは今年10月だが、2010年12月にはすでに攻撃が実行されていた可能性があるという。製造産業メーカーなどの組織をターゲットに、もっぱら情報収集に専念する。

 W32.Duquはトロイの木馬型マルウェアで、モジュラー構造を採用しており、盗んだ電子証明書の署名を用いていること、システムプロセスへのDLL注入、RPC通信機能を持ちポート80/443を使用したTLSベースの制御、仮想ファイルベースのモジュールへのアクセス機能や自動停止機能、セーフモード・デバッグモードでの起動機能やエラーハンドリングの使用する点はW.32.Stuxnetと全く同じ。また、Visual C++で作成され、プログラム圧縮ツール「UPX」で圧縮されている点も同一となる。

 W32.StuxnetとW32.Duquはそのほかにも、カーネル・ドライバーベースのルートキットである点、アンチウイルス製品に応じて侵入手法を変更する点、3つの暗号化された設定ファイルを持ち、モジュール化されたDLLの形態をとっていることや、特定文字列(マジック・キー)の使用など、同じか非常によく似たコンセプトで設計されている。

 浜田氏によれば、W32.StuxnetとW32.Duquは上述のように高度な技術力を持って開発されたきわめて精巧かつ複雑なマルウェアで、豊富な資金力をもって開発されたと考えられるという。情報収集に専念するマルウェアであることから、将来的にW32.Duquで収集した情報をもとにした攻撃が行われる可能性が懸念されている。


W32.Duquの特徴W32.StuxnetとW32.Duquに共通の特徴


スマートフォンを狙った脅威

 浜田氏は、2011年にはスマートフォンを狙う脅威が拡大したと述べ、脅威の種類としては、(1)情報を抜き出すボット型マルウェア、(2)SMSを使って有料サービス申し込みをするマルウェア、(3)スマートフォンを狙うワンクリック詐欺の3つのタイプを紹介した。

 このうち、ボット型のマルウェアについては海外・日本ともに共通の脅威で、日本のアプリに仕込まれているものが発見されている。浜田氏によれば、ボット型のマルウェアと言えば、Windowsでは基本的にPCを遠隔操作する機能を持つが、Android OSの場合は、Androidアプリの権限自体が少なく、普通のアプリはルート権限を持つことができないため、そこまでボットが強力な機能を持つことはない。

 現状のAndroid向けボット型マルウェアは、正規のゲームアプリにバックドア機能を持つトロイの木馬が仕込まれ、Androidマーケットや掲示板を通じて配信される。Android端末にアプリがインストールされると、外部からの指示により端末内の情報を外部に送信する。抜き出す情報は、端末のモデル番号、電話番号、ユーザー情報、メールアドレスや受信・送信したメールのデータなどだという。

 浜田氏は、マルウェアを仕込まれたアプリでは、正規アプリに比べてインストール時に個人情報や送受信したメッセージなど、アプリからアクセスすることを許可する項目が時には2画面にわたって表示されるほど多いことを画面の例を示して説明。インストール時に許可項目が多いアプリには注意が必要だと述べた。配布経路については、Android向けマルウェアは有料のアプリを無料で入手しようとするユーザーを標的にするものがあると説明。

 中国では、いわゆる“金盾システム”によりGoogleの運営するAndroidマーケットには基本的にアクセスできない。中国国内の企業がAndroidアプリのマーケットを運営しているが、やりたい放題という状態で、誰でもアプリをアップロードでき、チェックがあまりなされていない状態となっている。マルウェアが発見される率は、Googleが運営するAndroidマーケットとサードパーティ提供のマーケットではおよそ1:9の割合で、Google提供のAndroidマーケットのみ利用すればリスクは低減できるという。

 (2)のSMSを使って有料サービス申し込みをするマルウェアについては、欧米ではSMSで空メールを送ることで有料サービスを申し込めることを悪用する手法で、マルウェアが自動的にメールを送信することにより有料サービスの売上げという形で金銭を詐取する。ただし、日本では空メール送信により有料サービスを申し込むことはできないため、この手法は使われていない。

 逆に日本特有の脅威として、2011年夏頃から登場したのが(3)のスマートフォンを狙うワンクリック詐欺で、ワンクリック詐欺サイトがユーザーエージェントなどによりスマートフォンからのアクセスにはスマートフォン向けのページを表示するもの。手法としては従来のワンクリック詐欺と同じだという。

ボットが仕込まれたアプリは、右下の画面のようにいくつものアクセス許可を求めるAndroid向けボット型マルウェアの攻撃手法


添付ファイルをクリックさせる標的型攻撃

 浜田氏は、2011年に、日本では一番話題になった攻撃がこの標的型攻撃であると述べ、当初は官公庁や大企業をターゲットにしていたが、現在では中小企業も狙われていると説明した。

 標的型攻撃の特徴は、知的財産や技術などの情報をねらった、情報収集を目的とする点だという。具体的には、ターゲットにメールを送信して添付ファイルを開かせるという手法で、添付ファイルを開くと感染する。添付ファイルで感染させる方法は古典的だが、目的は情報収集であり、メールの内容や件名、あるいは盗んだ電子署名などで信用させたり、用心する気持ちを薄れさせることで添付ファイルを開かせるソーシャル・エンジニアリングを用いる。

 添付ファイルをクリックすることで感染する。感染すると、不正プログラムがPCの中味を調査し、PCの名前、ネットワーク、ディレクトリやファイルなどを調べて送信。さらに新しい不正プログラムをダウンロードさせる形で長期にわたって情報を集め、次々にネットワーク内のPCに移動して知的財産を盗んでいく。

 浜田氏によると、日本では標的型攻撃は2010年以後急増しており、以前は官公庁への攻撃が報道されていたが、2011年になって企業の被害が多くなっているという。1日あたり最大80件ほどの標的型攻撃のメールが配信されている。攻撃が増加するとともに多くの企業を狙う形になってきており、当初の特定の人物や関係者などを狙っていた形から、現在はこの会社の情報が手元にあるからここを狙ってみようという形になってきているという。

 浜田氏は、個人的推測だが、と断った上で、情報収集を行うマルウェアから得た情報が膨大な量になり、その情報をもとに現在では非常に多くのターゲットへむけた攻撃が仕掛けられているのではないかと懸念を述べた。

 実際、特定業種を狙っているというわけでもなく、同じマルウェアを添付した同じメールが、いろいろな国のいろいろな企業あてに送られていることがわかっているという。幅広く攻撃を行うにはリソースと時間が必要になってくるが、exeファイルを添付して送ること自体は、技術力がまったくいらないので、そういう形で大量生産しているというのが現在の情況だという。その結果、添付ファイルが日本語環境で動かない。添付ファイル自体が日本語環境で文字化けする(日本語環境で表示できないフォントを用いている)などの不備があるものが増えてきているという。

 また送信元についても、以前は特定組織から送ってきたように偽装するものが多かったが、カスタマイズが面倒なので、現在では無料メールを装うものが多いという。こうしたメールでは、以前の関係者を装うメールと違って、実在しない週刊誌の記者を名乗り、「あなたの写真を雑誌に掲載しますので確認をお願いします」といった本文で、相手がつい添付ファイルをクリックしてしまうように仕向けているものが増えている。

標的型攻撃の手法標的型攻撃の例。日本でもNitroに感染した例があるという


2012年は2011年の脅威が拡大する

 上記のほか、日本において目立った脅威としては、DDoSや不正アクセスによってサイトを改ざんされたりウイルスを仕込まれたりといった攻撃のほか、これまで海外に比べ比較的少なかったフィッシング詐欺が非常に増えてきており、最低でも3億円くらいの被害が出ているとの調査データも出ていると述べた。また、ワンクリック詐欺についても、1日あたり数件のサイトがシマンテックで確認されており、スマートフォン版フィッシングサイトも確認されるなど、相変わらず多く見られたという。

 2012年の予測としては、2011年の脅威が拡大すると述べ、W32.Duquなどの巧妙で複雑なウイルスが引き続き出現し、標的型攻撃も数が増加するだろうと述べた。また、スマートフォンを狙うマルウェアが巧妙化し、同時にマルウェア自体が検出されないようにする技術が出てくるのではないかとして、アンチウイルスソフトのベンダーとの闘いになると述べた。また、Androidスマートフォンでは決済機能が搭載されるようになったため、そうした決済機能を悪用して直接的に金銭を狙うような攻撃が増えてくるだろうと予測を述べた。

 浜田氏は、こうした脅威への対応策として、企業ではPCの修正プログラムをあてて最新の状態にする、ゲートウェイサーバー、フィルタリングソフト、クライアントPCのファイアウォール、セキュリティ対策ソフトなど多重防御を導入する、最新の脅威の傾向を社員にきょういくする、機密データやリムーバブルメディアの運用ルールを設けて管理する、パスワードポリシーの強化を徹底するなどを挙げた。

 また個人の場合は、PCを最新の状態にするほか、セキュリティソフトは最新の技術を用いたものを選ぶ、「無料」や「特別」といった甘言に騙されない、定期的にパスワードを変更する、クリックする前に不審なところがないか注意する、個人情報をむやみに公開しない、などの対策を挙げた。



関連情報


(工藤 ひろえ)

2011/12/22 06:00