姿を現わさない不正プログラムへと変貌
――その理由は?
 |
|---|
| 【画面5】 テスト用Webページにアクセスした画面。Webページが開かれた以外、PCには何の変化もない |
実際にはWebブラウザーの裏側で不正プログラムが実行されているはずだが、画面を見ても用意されたWebページが開かれただけで、PCには何の変化もない。ここで、PC内でどのようなプログラムが動いているかを確認するツールをインストールして調査してみると、用意した不正プログラムが確かに実行されているのが分かる(画面6)。
 |
|---|
| 【画面6】 調査用ツールの画面。テスト用に用意した不正プログラムが実行されているのが確認できた |
今回用意した不正プログラムは、「バックドア」と呼ばれるタイプの不正プログラムである。バックドアに一度感染すると、その後で攻撃者が何度も感染PCに侵入できるように、“裏口”を開けられてしまう。攻撃者は、自身のPCの管理用画面から様々な命令を感染PC上のバックドアに出せるわけだ(画面7)。
 |
|---|
| 【画面7】 攻撃者側PCの管理画面。画面上部の青いボタンで、様々な命令が出せる |
ここでは不正プログラムの機能のひとつ、「キーロギング」を解説しよう。キーロギング機能とは、PCのキーボード上で何のキーが押されたかを記録する機能だ。企業などでは情報管理のために正規のアプリケーションとしてPCにインストールされる(アプリケーションに組み込まれている)こともあるが、不正プログラムでは感染PCからの情報詐取のために利用されることが多い。感染PCのキーボードを使って疑似オンラインバンキングサイトにIDとパスワードを入力させたあと、攻撃者のPCで「Key Logging」ボタンを押すと、感染PCでどのような文字が入力されたかを確認できる(画面8、9)。
 |  | |
|---|---|---|
| 【画面8】 感染PCで疑似オンラインバンキングサイトにID・パスワードを入力したところ | 【画面9】 攻撃者のPC画面。感染PCで入力した文字が一目瞭然だ |
攻撃者のPCでは、入力された文字だけではなく、何のアプリケーションが使用されていたかも分かってしまう。今回のように、Webブラウザーを使ってオンラインバンキングやオークションサイトにアクセスしていれば、そのサイト名も表示されてしまう。
ID・パスワードが盗まれれば、その被害は単に個人情報の漏えいに止まらず、実際の口座から預金を引き出されたり、オークションサイトのIDがオークション詐欺に悪用されたりする可能性もある。入力画面では入力した文字列が「*」などでマスキングされていても、キーボード上で入力した情報が盗まれてしまうのでたちが悪い。
このように最近の不正プログラムは、感染しても何の兆候も示さず、ユーザーに気づかれないように長期間PC内に潜伏しながら、内部情報(IDやパスワード、メールアドレスなど)を詐取し続けることを目的として作成されているものが増えている。
では、なぜこのような変化が見られるようになったのだろうか?それは、不正プログラム作者の動機の変化に影響を受けている。過去の不正プログラムは、作者の「愉快犯的な動機」から作成され、感染PCのデータの破壊や画面上に何らかの表示をするものなど、世間を騒がせることを目的としていた。それに対して現在の不正プログラムは、「金銭的な目的」で作成されている。先に述べたような手口で実際に預金を引き落とす直接的な手口もあるが、盗み取った情報そのものが売買されるケースもある。
例えば、100万件のメールアドレスが8ドルから取引されるという具合だ。メールアドレスを盗み取った攻撃者が直接悪用するのではなく、迷惑メールの配信事業者などに転売するのだ。画面10は、2007年にトレンドマイクロで行なったアンダーグラウンドマーケットの調査結果である。メールアドレス転売のほかにも、「アドウェア」(強制的に広告を表示するプログラム)を一般のPCにインストールして対価を得るサービスや、「エクスプロイトキット」(セキュリティホールを攻撃するツール)の時間貸しサービスなども存在する。
 |
|---|
| 【画面10】 アンダーグラウンドマーケットの調査データ(2007年 トレンドマイクロ調査) |
◆
今やインターネット上の攻撃者たちは、金銭で結びついたシンジケートの様相を呈しているため、巧妙にユーザーを騙す手口やセキュリティホールを狙う攻撃方法を日々開発している。現在は、「PCに何の症状もないから、不正プログラムに感染していない」とは言えない状況だ。
WindowsなどのOSのアップデートを定期的に行なう、セキュリティソフトをインストールして最新の状態に保つなどの対策は基本だが、ユーザーとしてはニュースサイトやセキュリティソフトベンダーのWebサイトから「どのような攻撃が流行っているのか」といった情報を定期的に得ることも重要となっている。
(次回は10月中旬に掲載予定です)
著者紹介:トレンドマイクロ株式会社 上級セキュリティエキスパート
黒木 直樹(くろき なおき)
トレンドマイクロ株式会社 上級セキュリティエキスパート。プロダクトマーケティングを経て、製品開発部の部長代行、コンサルティングSEグループ兼インテグレーショングループ部長を歴任。2008年よりアライアンスマーケティンググループディレクターとして、他社との技術連携の陣頭指揮を執る。2009年より戦略企画室部長として国内外のプロジェクトを推進する一方、セミナーでの講演などを通じて幅広いユーザー層へセキュリティ啓発活動を行なっている。
この連載の記事
- 第13回 巧妙化した偽セキュリティソフトにご用心!
- 第12回 Windows 2000だけじゃない! サポート切れOSは脅威のもと
- 第11回 ケータイも安心できない!? モバイル・セキュリティ最新事情
- 第10回 新人必見!慣れた今ごろが危険 情報漏洩の落とし穴
- 第9回 “Web改ざんの恐怖”見ただけで感染の仕組みを理解
- 第8回 見ただけで感染! “Web改ざんの恐怖”を正しく理解
- 第7回 納得!企業向けと個人向け セキュリティー製品の違いとは?
- 第6回 トレンドマイクロ“リージョンラボ” その実態を見た
- 第5回 毎朝の憂鬱!スパムメールの手口と脅威、その対策まで
- 第4回 なぜ止まらない? ファイル共有ソフトでの情報漏洩
- この連載の一覧へ
