Genoウイルスの感染メカニズム【前編】

●はじめに

　侵入を許したサーバ管理者から、侵入の根本的原因に繋がる痕跡が、サーバ上から見つからないという事象をしばしば耳にするようになった。「そんな馬鹿な！」ということで、実際にサーバを見せてもらうと確かに見当たらない。（※調査方法はサーバを停止させる許可がおりなかったため、稼働中のシステムに対してコンピュータ・フォレンジック解析を実施している。）

　実はこの侵入原因は、被害サーバ自体にあるのではなく関係者のパソコンにあった。今、サイバー攻撃に対しては、サーバと設置されているネットワーク・セグメントだけでなく、サーバ管理者などの関係者の利用パソコンまで視野に入れたセキュリティが求められている。

　ゴールデンウィークの前から通称Genoウイルス（zlkon.lv/gumblar.cn）が話題になっている。Genoの命名由来は株式会社GENOのWebサイトが最初に被害を受けたことに由来する。このウイルス自体はバックドア機能やキーロガーの機能を持っている。このウイルスの感染ロジックは、Webやメール経由と決して目新しいものではない。Web経由での感染は、悪意あるJavaScriptが挿入されたWebサイトを閲覧するとAdobe ReaderやFlash Playerの脆弱性が悪用されウイルス本体がインストールされる。メール経由も同様で、メール本文に悪意あるWebサイトへ誘導するためのURLが記載されている。Genoウイルスで問題なのは、これらの既知の感染メカニズムのことではなく、悪意あるJavaScriptがWebコンテンツに挿入されるまでの手口だ。

●Genoウイルスの改ざん手口

　Genoウイルスによる改ざんWebサイトを調査をした結果、改ざん手口はFTPによるアップロードと非常に単純なものだった。しかし、このウイルスには興味深い点が幾つかある。

(1)狙われたサーバのOSやサーバアプリケーションの種類は様々

(2)改ざんされたWebサイトのFTPアカウントの入手方法が不明

(3)ウイルスの検体が頻繁に変化

　従来のWebサイト改ざん事件の殆どは、サーバへ直接侵入を行うため、痕跡が残っているケースが多い。これはボットやワームにおいても同様であり、侵入時の痕跡は大抵の場合は残っている。これらの既知のものと比較すると、どうやらGenoウイルスとはボットやワームのように完全に自動で動作しているわけではなく、半自動化されたもののように思える。また、改ざんされたWebサイトのOSやサーバアプリケーションがまちまちであることも一つの理由である。そこで、上述のことを踏まえて、攻撃ステップを推測してみると、恐らく次のような手口ではないだろうかと考えられる。

STEP 1　サーバ管理者が悪意あるJavaScriptが挿入されたWebサイトを閲覧
STEP 2　管理するサーバのFTPのアカウント情報が奪取される
STEP 3　“攻撃者”は入手したFTPアカウントを利用し、標的のサーバに”なりすましログイン”し、悪意あるJavaScriptが挿入済みのWebコンテンツをアップロード

　何故、推測かというと、現在世界的にもサーバ管理者の利用パソコンから「これだ！」と確信の持てるウイルスの検体が発見されていないためだ。では、仮に推測通りに人が関与しているとした場合、どのようなことが考えられるだろうか。それは非常に厄介な攻撃シナリオと成らざるを得ない。人が関与するということは、完全自動化されたボットと比較し柔軟に攻撃コードの入れ替えやウイルスの検体に手を入れることが可能となるということだ。完全自動化されたボットほどの爆発的な感染力は無いが、息の長い攻撃になることは間違いなさそうだ。

●多忙なサーバ管理者とその実体

　「パスワードを奪われるとは、なんて間抜けな管理者だ！」と思われるかもしれない。しかし、考えてみて欲しい。多くの企業はサーバの構築、Webアプリケーションの開発やコンテンツ管理などを協力会社にアウトソースしている筈だ。協力会社もコストが見合わなければ、さらに下請けを探す。従って、実際に運用している業者は中小企業であり、ごく少数でサーバ運用をしているケースは珍しくない。

　つまり、彼らは万年人材不足であり、1人で複数台のサーバを管理しているのである。まさにブラック企業に近い状態であると言ってよいだろう。特に多忙であるのがホスティングサービスやレンタルサーバサービスの運用業務や、大型ECサイトの運用業務だろう。日々増え続けるサーバに対して限られた人数で対応するわけであるから、その多忙さは想像に難くない。

　実は、このことが今回のGenoウイルス騒ぎに一役買っている…

【執筆：二根太】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw