標的型攻撃のマルウェアを解析してわかる事実--FFR 鵜飼裕司氏

　独立行政法人 情報処理推進機構（IPA）とJPCERT コーディネーションセンター（JPCERT/CC）が開催した「重要インフラ情報セキュリティフォーラム2008 〜重要インフラ関係者の情報共有〜」において、フォティーンフォティ技術研究所の取締役副社長・最高技術責任者（CTO）で、IPAセキュリティセンター情報セキュリティ技術ラボラトリー研究員の鵜飼裕司氏が講演を行い、深刻化する標的型攻撃に関して講演を行った。

　標的型攻撃とは、特定の企業・従業員を狙うなど対象が限定された攻撃で、ウイルス対策ソフトベンダーらが検体を入手しづらく、セキュリティソフトでの対応が難しい攻撃。未知の脆弱性を悪用したゼロデイ攻撃を行ったり、マルウェアの解析・検出を困難にするための手法が高度化しており、発見・対策が困難なのが現状だ。「どんなに注意しても防げないケースがある」と鵜飼氏は指摘しており、「セキュリティのプロでもなかなか防げないのではないか」と対応の難しさを強調する。

　従来型のマルウェアは、インターネット経由でマルウェアがPCに入り込んで情報を盗むなどの攻撃を行っていたが、近年はダウンロード機能しかないダウンローダーがまず入り込み、それがマルウェアをダウンロードして攻撃を仕掛ける「シーケンシャルマルウェア」が主流になっており、攻撃手法も受動的攻撃が本格化している。ウイルス対策ソフトやファイアウォールのような「既存のソリューションでは防御しづらい」（鵜飼氏）ような攻撃が増えているというのだ。

鵜飼裕司氏

　鵜飼氏は、従来のウイルス対策ソフトのマルウェア対策では、効率よくウイルス定義ファイルを開発することが重要で、APIのトレースやファイルシステム・レジストリのモニタリング、通信の分析などを自動分析ツールで行い、自動で解析できる部分だけに限定されていたと話す。この手法は、マルウェアを検出するための定義ファイル開発においては必要十分といえる。しかし、鵜飼氏が実際に攻撃に使われた標的型攻撃のマルウェアを解析した結果から、自動化された解析手法だけでは対策が不十分だと指摘している。

　自動解析では、状況に応じて実行パスやコードが変化する可能性や、解析時以外の状況での挙動が予測困難である上に、トレースログからの正確な全体フロー作成、暗号化された通信の内容把握、攻撃者の指示や動作の可能性の網羅的分析などが困難であり、正確に脅威分析を行うためには全コードの網羅的解析が必要だと指摘する。

　標的型攻撃では脆弱性を悪用する例があり、代表的なものでもWordやPowerPointなどのOffice製品や一太郎、解凍ソフトなどの脆弱性が悪用されていた。現在では「メール添付の実行ファイル（EXEファイル）は危険」という認識こそPCユーザーの間に広まっているが、鵜飼氏は多くのユーザーが「開いても安全」と認識しているようなファイルが狙われやすいという。Webブラウザやメールソフト、OSは脆弱性対策と安全性確認が進んだが、それ以外のアプリケーションが狙われることが増え、Eメール添付のZIPファイルや外部Webサーバへのリンクといった形で攻撃が行われるようになっている。

　標的型攻撃には多くの環境で使われている著名なアプリケーションが狙われやすく、しかも米国のWinZip、日本のLhaplus、韓国のALZipといったように、その国でよく使われているアプリケーションを狙う例も増加しているそうだ。

　また、鵜飼氏が調査したマルウェアでは、「非常に安定して攻撃できる脆弱性のみが狙われる」（同）。脆弱性の悪用ではバッファオーバーフローが狙われる場合が多いが、この攻撃自体は「トリッキーな方法なのでシステムによっては動かない」（同）という環境依存の側面があり、この環境依存が少ない、たいていのシステムで攻撃が成功する脆弱性が狙われやすいのだという。ちなみに、鵜飼氏が調査したMDropper系のマルウェアは、攻撃を安定化するための手法が「非常に稚拙で初心者が作ったよう」（同）なものだったらしい。

　では、そのマルウェアはどのような悪意ある挙動をするのであろうか。