標的型攻撃のマルウェアを解析してわかる事実--FFR 鵜飼裕司氏

小山安博 2008年02月21日 16時21分

  • このエントリーをはてなブックマークに追加

 独立行政法人 情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)が開催した「重要インフラ情報セキュリティフォーラム2008 ~重要インフラ関係者の情報共有~」において、フォティーンフォティ技術研究所の取締役副社長・最高技術責任者(CTO)で、IPAセキュリティセンター情報セキュリティ技術ラボラトリー研究員の鵜飼裕司氏が講演を行い、深刻化する標的型攻撃に関して講演を行った。

 標的型攻撃とは、特定の企業・従業員を狙うなど対象が限定された攻撃で、ウイルス対策ソフトベンダーらが検体を入手しづらく、セキュリティソフトでの対応が難しい攻撃。未知の脆弱性を悪用したゼロデイ攻撃を行ったり、マルウェアの解析・検出を困難にするための手法が高度化しており、発見・対策が困難なのが現状だ。「どんなに注意しても防げないケースがある」と鵜飼氏は指摘しており、「セキュリティのプロでもなかなか防げないのではないか」と対応の難しさを強調する。

 従来型のマルウェアは、インターネット経由でマルウェアがPCに入り込んで情報を盗むなどの攻撃を行っていたが、近年はダウンロード機能しかないダウンローダーがまず入り込み、それがマルウェアをダウンロードして攻撃を仕掛ける「シーケンシャルマルウェア」が主流になっており、攻撃手法も受動的攻撃が本格化している。ウイルス対策ソフトやファイアウォールのような「既存のソリューションでは防御しづらい」(鵜飼氏)ような攻撃が増えているというのだ。

鵜飼裕司氏 鵜飼裕司氏

 鵜飼氏は、従来のウイルス対策ソフトのマルウェア対策では、効率よくウイルス定義ファイルを開発することが重要で、APIのトレースやファイルシステム・レジストリのモニタリング、通信の分析などを自動分析ツールで行い、自動で解析できる部分だけに限定されていたと話す。この手法は、マルウェアを検出するための定義ファイル開発においては必要十分といえる。しかし、鵜飼氏が実際に攻撃に使われた標的型攻撃のマルウェアを解析した結果から、自動化された解析手法だけでは対策が不十分だと指摘している。

 自動解析では、状況に応じて実行パスやコードが変化する可能性や、解析時以外の状況での挙動が予測困難である上に、トレースログからの正確な全体フロー作成、暗号化された通信の内容把握、攻撃者の指示や動作の可能性の網羅的分析などが困難であり、正確に脅威分析を行うためには全コードの網羅的解析が必要だと指摘する。

 標的型攻撃では脆弱性を悪用する例があり、代表的なものでもWordやPowerPointなどのOffice製品や一太郎、解凍ソフトなどの脆弱性が悪用されていた。現在では「メール添付の実行ファイル(EXEファイル)は危険」という認識こそPCユーザーの間に広まっているが、鵜飼氏は多くのユーザーが「開いても安全」と認識しているようなファイルが狙われやすいという。Webブラウザやメールソフト、OSは脆弱性対策と安全性確認が進んだが、それ以外のアプリケーションが狙われることが増え、Eメール添付のZIPファイルや外部Webサーバへのリンクといった形で攻撃が行われるようになっている。

 標的型攻撃には多くの環境で使われている著名なアプリケーションが狙われやすく、しかも米国のWinZip、日本のLhaplus、韓国のALZipといったように、その国でよく使われているアプリケーションを狙う例も増加しているそうだ。

 また、鵜飼氏が調査したマルウェアでは、「非常に安定して攻撃できる脆弱性のみが狙われる」(同)。脆弱性の悪用ではバッファオーバーフローが狙われる場合が多いが、この攻撃自体は「トリッキーな方法なのでシステムによっては動かない」(同)という環境依存の側面があり、この環境依存が少ない、たいていのシステムで攻撃が成功する脆弱性が狙われやすいのだという。ちなみに、鵜飼氏が調査したMDropper系のマルウェアは、攻撃を安定化するための手法が「非常に稚拙で初心者が作ったよう」(同)なものだったらしい。

 では、そのマルウェアはどのような悪意ある挙動をするのであろうか。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化