証拠隠滅型攻撃により分析・対策が困難に　− LAC、2007年のセキュリティ動向と今後の傾向を発表

12月19日、株式会社ラックは2007年のセキュリティ動向を総括する記者説明会を開催し、同社研究開発本部先端技術開発部長の新井悠氏が講演を行った。

●SP2の普及によってWebブラウザを介した攻撃に移行

講演によれば、Windows XP SP2の普及によって多くのPCがパーソナルファイアウォールを備えたことで、ネットワークの脆弱性を突く大規模拡散型の攻撃が沈静化する一方、WebアプリケーションやWebブラウザの脆弱性を悪用したマルウェアの感染や、PCのボット化が、見えにくい形で広く進行しているという。

●洗練された攻撃ツールMPack

ラックの研究チームの調査によれば、WebページにiFrameタグを埋め込むなどの手法により、Webアクセスを介して感染させる攻撃ツールとして知られる「MPack」は、一説ではロシアの地下経済と密接に結びついていると言われ、500米ドルから1,000米ドルで販売され、具体的にどのアンチウイルスベンダの検知をすりぬけるかまでが販売サイトに記載されており、MPack購入後は追加料金を支払えば、最新の脆弱性に対応した“アップデート”を受けることも可能だという。

同社研究チームの分析によれば、MPack v0.95は、PHPコードや画像、データなどの全部で27のファイルから構成され、9種類の脆弱性に対する攻撃コードを持ち、感染先のブラウザやOSのバージョン等をすぐに峻別し確実に感染させるという。また、商用データベースを参照することで感染先の国名を表示させるWebインターフェースを備えていたという。

同時に調査したIcePack Platinum Editionに関しては、悪用するのはActiveX Controlが多く、攻撃やインターフェースなどが洗練されていないMPackの廉価版ではないかと分析している。

●Web経由の感染ウイルスの7割が検知できない

講演では、ラック社がボット駆除プロジェクトCCCの委託を受けて実施した調査結果も紹介された。調査は、Web検索の業界団体からブラックリストとして提供された10万URLを2週間かけて実際にWeb閲覧することで実施され、感染の有無の確認や、ウイルス検体の収集と同定を行った。

ブラックリストとされた10万URLを巡回した結果、8.5％にあたるURLで何らかのウイルスに感染した。ウイルスの総数は27,775個で、種類数は1,921種だった。そして、収集に成功した1,921種のウイルスのうち、68.97％がアンチウイルスソフトが検知できなかった。

●多段ダウンローダを使用し目をくらます

収集したウイルス上位10種のうち、スパイウェアが2種、偽セキュリティソフトが2種、残る6種はマルウェアのダウンロードに特化した、ダウンローダだった。MPackにはダウンローダ生成ツールが付属して販売されており、簡単な操作でダウンローダを作成することができる。

こうしたダウンローダは単純にマルウェアを落とすだけでなく、複数のサイトから分けてマルウェアをダウンロードしたり、ダウンローダのダウンローダのダウンローダといった多段ダウンロードなどを行う。こうした手法によって、いったい何に感染したのかが不明瞭になるだけではなく、解析や捜査の所要時間を長くすることが狙いだと新井氏は指摘した。

ダウンローダの参照先となるマルウェアをホストするサイトは、検索エンジンによってWebアプリケーションのRFI（リモートファイルインクルード）などの脆弱性を持つサイトを探し出し、ボットのコードを参照するようなURIを送信することで感染する。

●ボットの巧妙化

ボットの脅威の質には大きな変化は無いが、コードが大型化され、機能は洗練されているという。代表的なボットの機能追加として、ファイアウォールの内側にいるのか外側にいるのかの判断や、IPV6環境下かどうかの判断、IEのパスワードを盗む機能の他、重要なものとして、収集した検体を仮想環境で分析しようとしたり、ネットワークケーブルをPCから抜くと、自己を消去すること
で、捜査や解析ができなくしてしまう技術が現れており、専門家による対策はいっそう困難になっていくと述べられた。

●対策方針

最後に新井氏は対策方針として、企業や組織側は被害を生むWebサイトを新たに生み出さないための要塞化やWebアプリケーションの検査改修などを行う一方で、ユーザー側ではJavaScriptを無効にするプラグインなどを活用すること、そして継続した調査研究の整備に社会全体で取り組んでいく必要があると結んだ。

【Scan編集部】