─
今回からは、偽セキュリティソフトの感染経路と予防策について説明します。
●偽セキュリティソフトは感染機能をもたないトロイの木馬
マルウェアにはワームやファイル感染型ウイルスのように感染機能をもつものがありますが、実際には感染する機能をもっていないマルウェアの方が大勢を占めています。感染機能がないマルウェアはトロイの木馬と呼ばれています。偽セキュリティソフトは当然感染機能をもっていないので、トロイの木馬に分類されます。トロイの木馬は自分では感染することができないために、攻撃者側は一台でも感染マシンを増やすため様々な戦略を採用しています。ここではアンチウイルス製品の検知を逃れるための多様化戦略であるサーバサーバサイド・ポリモーフィズムと、攻撃者側による様々な感染の手口を紹介しましょう。
●Server Side Polymorphism (サーバサイド・ポリモーフィズム)
そもそもトロイの木馬はあえて感染機能をもっていないために、少数のマシンにこっそり感染させることに適しています。感染数が少なければユーザに気づかれる機会が減るため、結果としてアンチウイルス製品の検知用のシグネチャーの対応が遅くなる傾向があるからです。逆に感染マシン数が増え大規模感染に発展すると、検知シグネチャーがすぐに対応可能になります。これは攻撃者側の意図するところではないでしょう。
そのため偽セキュリティソフトのように、攻撃者側からすればなるべく多くのマシンに感染してほしい場合は、検知回避のためにサーバサイド・ポリモーフィズムという手法を採用している例が多く見られます。サーバサイド・ポリモーフィズムにおいては、不正なサーバ側で難読化、暗号化、圧縮(パック処理)といった変異処理を行い、同一のマルウェアファイルから多数の亜種を作成する、といったことが行われています。悪質な場合には、ユーザが誘導により不正サイトにアクセス毎に異なる亜種が作成されることがあります。
 |
アンチウイルスベンダーは、マルウェアの変異の傾向を解析して、変異した全ての検体を検知するシグネチャーを作成することが可能です。しかし、これらの難読化や暗号化といったアルゴリズムは定期的に変更されているため、検知の追従が困難になるときがあります。偽セキュリティソフトの中には、一日のに非常に多くの亜種が発見されるものも存在していますが、その背景にサーバサイド・ポリモーフィズムといった手法が利用されていることを思い起こして下さい。
●多様な感染の手口
さて、すでに述べたようにトロイの木馬は感染機能がないために、攻撃者は別の手段を講じて、ユーザのマシンに偽セキュリティソフトを感染させる必要があります。偽セキュリティソフトでは、多くの場合、ユーザを騙してマルウェアを実行させるソーシャルエンジニアリングのテクニックが利用されています。以下、その例をいくつか紹介しましょう。
●スクリプト等による偽アラート
不正なサイトには、JavaScriptをはじめとしたスクリプトを利用して偽の感染アラートを表示するものがあります。駆除のために指定されたファイルをダウンロードして実行するよう促されます。従わないと、この感染アラートが閉じることができないこともあります。根負けしてファイルをダウンロード・実行すると、偽セキュリティソフトがインストールされることになります。
●脆弱性を悪用したDrive-by-Download攻撃
Web経由の脆弱性を悪用するDrive-by-download攻撃はマルウェア感染のための常套手段です。Internet ExplorerやAcrobat Readerなどのアプリケーションの脆弱性を悪用するもので、こういった攻撃スクリプトが仕込まれているWebサイトを閲覧しただけでマルウェアに感染してしまいます。偽セキュリティソフトの多くはこのDrive-by-download攻撃でも感染します。昨今巷を賑わしたGubmlarと呼ばれる攻撃もこのDrive-by-download攻撃の一つです。実際、日本の一部でGumblar.xや8080系と呼ばれている攻撃は偽セキュリティソフトをインストールすることで知られています。なお、余談ですが、drive-by-download攻撃は様々な形態が存在しており、その種類も多岐にわたっています。Gumblarはその一部でしかありません。にもかかわらず、一部の報道やWebサイトで何でもGumblarあるいはその亜種とみなす傾向がありますが、これは実態を正しく反映した表現ではないでしょう。
 |
【執筆】
マカフィー株式会社
McAfee Labs Tokyo アンチマルウエア リサーチ 主任研究員
本城 信輔
