Genoウイルスの感染メカニズム【後編】 | ScanNetSecurity
2024.05.03(金)

Genoウイルスの感染メカニズム【後編】

 ゴールデンウィークの前から通称Genoウイルス(zlkon.lv/gumblar.cn)が話題になっている。このウイルスの感染ロジックは、Webやメール経由と決して目新しいものではない。Genoウイルスで問題なのは、これらの既知の感染メカニズムのことではなく、悪意あるJavaScript

特集 特集
facebookLINE
 ゴールデンウィークの前から通称Genoウイルス(zlkon.lv/gumblar.cn)が話題になっている。このウイルスの感染ロジックは、Webやメール経由と決して目新しいものではない。Genoウイルスで問題なのは、これらの既知の感染メカニズムのことではなく、悪意あるJavaScriptがWebコンテンツに挿入されるまでの手口だ。

●間接的な攻撃によるセキュリティ対策回避

 今回注目したい点は、サーバ管理者の利用パソコンという監視対象から外れた端末からアカウント情報を奪っている点にある。一般にWebサイトの設置されているDMZは、IDSやIPS、Webアプリケーション・ファイアウォールなどで監視をしている。ところがサーバ管理者のパソコンまで監視をしている企業は僅かだ。実際、Genoウイルスに感染した報告の中には、”推測しやすいパスワードであったために侵入された”としているものもある。サーバからアカウント情報を盗んだわけではないため、サーバ上にはWebコンテンツ改ざん時のFTPログインの痕跡しか確認はできない。そのため、被害サーバの調査担当者もこう言うしかなかったのだろう。

 このように根本的原因を取り違えてしまったWebサイトは、Webコンテンツを何度修正しても数日後には再び改ざんされる事例も確認されている。今回は新しい攻撃手法であったため、このように考えることは仕方のないところである。その背景には、現在の攻撃手法のトレンドを無視した過剰な境界防御が誤った判断をさせたのではないかと考えられる。

●理想的防御とは

 Genoウイルスの感染メカニズムは、近年の攻撃トレンドを上手く取り入れられている。まず挙げられるのが、Adobe社の製品を狙った攻撃だ。ここ数年で見られる攻撃手法の変化といえば、サーバから個人パソコンへの攻撃標的の移行だ。従来悪用される脆弱性といえば、Microsoft Windowsなどのオペレーションシステムのものが主流であったが、2、3年前くらいから対象がソフトウェアへと変化している。特に狙われているのがPDFやFlashなどで知られるAdobe社だ。

 次に挙げられるトレンドが、悪意あるJavaScriptやActionScript(Flashで利用可能なScript)の利用だ。今回はJavaScriptが利用されており、そのパターンは複数ある。そのため、ウイルス対策ソフトウェアでの検出は困難を極める。

 そして最後に盛り込まれたのが個人パソコンへの攻撃とサーバへの攻撃の複合技だ。非常に単純だが、その効果は現状の通りだ。攻撃対象をずらすことにより、防御ポイントもずれる。多くの場合が一点集中型でセキュリティ対策を実施している。DMZもイントラネットにおいても境界における多段防御が常識とされ、境界配下にインシデントは発生しないことを前提とした設計が成されている。そのため、既に汚染されたパソコンがネットワーク内に存在した場合はお手上げ状態となる。今回の攻撃手法は、まさにこの点が悪用されたように思える。

 では、私たちはどのように防御をしたら良いのだろうか。理想的な環境としてポイントを3つを挙げる。

(1)組織に関連するパソコンは組織の監視下に置く

(2)ネットワーク監視のログとパソコンのログは相関関係を取れるようにしておく

(3)ダウンロードファイルの定期分析を実施する

 (1)はWebサイトの運用体制によるだろう。(2)は少々敷居が高いので、実施できる企業は限られてくる。しかし、実は(3)だけでもダメージを最小限に食い止めることができる。URLフィルタリングによる”予防策”を実施している企業が多いが、一般企業のWebサイトが一夜にして悪意あるサイトに変貌することもある。そのため、URLフィルタリングでのセキュリティ対策は、現在は殆ど役に立たないといって良いだろう。せいぜいアダルトサイトやWebメール閲覧の抑止程度の効果しかない。そこで、HTTPのトラフィックをキャプチャし、ダウンロードファイルを定期的に分析する。多くのボットやウイルスは、感染時に悪性プログラムをダウンロードする。Genoウイルスの場合は、悪意あるPDFもしくはFlashが、ダウンロードされ、その後にEXEファイルがダウンロードされる。この特性を考えると、ダウンロードファイルの定期分析は単純作業だが効果は絶大だ。これだけでなく、普段当たり前の操作をチェックすることを意識することが非常に重要なのだ。

 サイバー犯罪はもはやアカウントハックだけではなくなってきた…

【執筆:二根太】

【関連記事】
Genoウイルスの感染メカニズム【前編】
https://www.netsecurity.ne.jp/3_13331.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  4. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  5. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  6. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  7. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  8. 「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

    「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい

  9. SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

    SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感

  10. トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

    トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催

ランキングをもっと見る
ホーム 特集 特集 記事
TOP