標的型攻撃のマルウェアを解析してわかる事実--FFR 鵜飼裕司氏

小山安博 2008年02月21日 16時21分

  • このエントリーをはてなブックマークに追加

 独立行政法人 情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)が開催した「重要インフラ情報セキュリティフォーラム2008 ~重要インフラ関係者の情報共有~」において、フォティーンフォティ技術研究所の取締役副社長・最高技術責任者(CTO)で、IPAセキュリティセンター情報セキュリティ技術ラボラトリー研究員の鵜飼裕司氏が講演を行い、深刻化する標的型攻撃に関して講演を行った。

 標的型攻撃とは、特定の企業・従業員を狙うなど対象が限定された攻撃で、ウイルス対策ソフトベンダーらが検体を入手しづらく、セキュリティソフトでの対応が難しい攻撃。未知の脆弱性を悪用したゼロデイ攻撃を行ったり、マルウェアの解析・検出を困難にするための手法が高度化しており、発見・対策が困難なのが現状だ。「どんなに注意しても防げないケースがある」と鵜飼氏は指摘しており、「セキュリティのプロでもなかなか防げないのではないか」と対応の難しさを強調する。

 従来型のマルウェアは、インターネット経由でマルウェアがPCに入り込んで情報を盗むなどの攻撃を行っていたが、近年はダウンロード機能しかないダウンローダーがまず入り込み、それがマルウェアをダウンロードして攻撃を仕掛ける「シーケンシャルマルウェア」が主流になっており、攻撃手法も受動的攻撃が本格化している。ウイルス対策ソフトやファイアウォールのような「既存のソリューションでは防御しづらい」(鵜飼氏)ような攻撃が増えているというのだ。

鵜飼裕司氏 鵜飼裕司氏

 鵜飼氏は、従来のウイルス対策ソフトのマルウェア対策では、効率よくウイルス定義ファイルを開発することが重要で、APIのトレースやファイルシステム・レジストリのモニタリング、通信の分析などを自動分析ツールで行い、自動で解析できる部分だけに限定されていたと話す。この手法は、マルウェアを検出するための定義ファイル開発においては必要十分といえる。しかし、鵜飼氏が実際に攻撃に使われた標的型攻撃のマルウェアを解析した結果から、自動化された解析手法だけでは対策が不十分だと指摘している。

 自動解析では、状況に応じて実行パスやコードが変化する可能性や、解析時以外の状況での挙動が予測困難である上に、トレースログからの正確な全体フロー作成、暗号化された通信の内容把握、攻撃者の指示や動作の可能性の網羅的分析などが困難であり、正確に脅威分析を行うためには全コードの網羅的解析が必要だと指摘する。

 標的型攻撃では脆弱性を悪用する例があり、代表的なものでもWordやPowerPointなどのOffice製品や一太郎、解凍ソフトなどの脆弱性が悪用されていた。現在では「メール添付の実行ファイル(EXEファイル)は危険」という認識こそPCユーザーの間に広まっているが、鵜飼氏は多くのユーザーが「開いても安全」と認識しているようなファイルが狙われやすいという。Webブラウザやメールソフト、OSは脆弱性対策と安全性確認が進んだが、それ以外のアプリケーションが狙われることが増え、Eメール添付のZIPファイルや外部Webサーバへのリンクといった形で攻撃が行われるようになっている。

 標的型攻撃には多くの環境で使われている著名なアプリケーションが狙われやすく、しかも米国のWinZip、日本のLhaplus、韓国のALZipといったように、その国でよく使われているアプリケーションを狙う例も増加しているそうだ。

 また、鵜飼氏が調査したマルウェアでは、「非常に安定して攻撃できる脆弱性のみが狙われる」(同)。脆弱性の悪用ではバッファオーバーフローが狙われる場合が多いが、この攻撃自体は「トリッキーな方法なのでシステムによっては動かない」(同)という環境依存の側面があり、この環境依存が少ない、たいていのシステムで攻撃が成功する脆弱性が狙われやすいのだという。ちなみに、鵜飼氏が調査したMDropper系のマルウェアは、攻撃を安定化するための手法が「非常に稚拙で初心者が作ったよう」(同)なものだったらしい。

 では、そのマルウェアはどのような悪意ある挙動をするのであろうか。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]