モダンマルウェアの脅威と対策 第4回

次世代ファイアウォールはどのようにマルウェアを撃破する？

モダンマルウェアを制御しアプリケーションを利用可能にする

　ユーザーが日々業務に使うアプリケーションは、ボットネットのライフサイクルの一部として欠かせず、標的のマシンへの最初の感染と、ボットネットへの進行中の命令と制御にとって重要である。

　マルウェアとアプリケーションの関係は新しいものではない。過去では、マルウェアの実行ファイルを有効化する常套手段は、企業の電子メールクライアントであった。セキュリティの観点から、ウイルスと電子メールは不可分のものだった。現在でも電子メールを使う攻撃者はいるが、電子メールセキュリティが多くの企業で実行されたため、一時の影響力は失っている。攻撃者は目標をより脆弱なアプリケーションにシフトしている。標的となるアプリケーションは、ユーザー間でリアルタイムに通信し、より大きな脅威をもたらすことのできるものである。攻撃者は、ソーシャルエンジニアリングを促進する一方でボットネットの存在を隠すアプリケーションに引き寄せられている。ソーシャルネットワーキングや個人使用のアプリケーションは、そのような分類に含まれており、もっとも一般的なマルウェア感染源であると同時に、その後のボットネットの命令と制御に使われている（図2）。これらのアプリケーションには、ソーシャルネットワーキング、ウェブベースの電子メール、インスタントメッセージ（IM）、ピアツーピア（P2P）、ファイル転送などが含まれている。

図2　モダンマルウェアに好まれるSNSやプライベート目的のアプリと、用いられる技術

　こうしたアプリケーションは簡単に情報を共有できるように設計されており、オフィスの外でも使い慣れているため、ユーザーは暗黙のうちに信頼し、無頓着に使ってしまう。これにより、攻撃者は多数の感染先を得ることができるようになったのだ。

・ソーシャルアプリ

　ソーシャルアプリケーションはソーシャルエンジニアリングに理想的な環境を提供する。攻撃者は友人や同僚を装って、たとえば、事情を知らないユーザーを危険なウェブリンクをクリックするように誘うことができる。洗練されているとはいえ、マルウェアの感染は、疑いを持たないユーザーにうかつな操作、たとえば悪意のあるリンクをクリックさせることに依存している。電子メールの添付ファイルを開く代わりに、ツイートの中やFacebookの友達からのページの中のリンクをクリックさせることが多い。クロスサイトスクリプティングは、危険なリンクを友人間に広めてしまい、FireSheepのようなパケットスニッフィングテクノロジは、攻撃者がソーシャルネットワーキングのアカウントを乗っ取ることができるようにする。

　セキュリティの調査機関Warfare Monitor（www.infowar-monitor.net）と、セキュリティ情報を提供するボランティア組織Shadowsever Foundation（www.shadowserver.org）が2010年に発表した共同レポートでは、ソーシャルネットワーキングアプリケーションがボットネットのライフサイクルに果たす役割の重大さを示す証拠が提示されている。彼らが発見したのは、ボットに感染したマシンが、命令と制御を行うマシンと直接通信することは、もしあったとしても、まれでしかないということだ。

　その代わり、感染したマシンの最初のトラフィックは、人気のあるブログや、Google Groups、Twitterアカウント、そしてYahoo!メールアカウントに向けられており、それによりマルウェアの通信は「通常の」通信と混じり合ってしまっている。ボットネットは、「ノーマル」で「価値の低い」と考えられるトラフィックに身を隠そうとしていることが見て取れる。セキュリティ部門の方は、無害なブログへの書き込みとしか見えないトラフィックを、いったいどのくらいの頻度で調査しているだろうか。

　制御を可能にするアプリケーションへの対策は、

①P2Pファイル共有のような「よくない」ことが知られているアプリケーションをブロックする

②ユーザーやグループが使用するアプリケーションを許可されていて業務に必要なものに制限する

③ファイル転送、デスクトップ共有、トンネリングなどのリスクの高いアプリケーションの特定の機能を無効にする

④危険なウェブページについて、悪意のあるファイルをユーザーの知らないうちにダウンロードしかねないドライブ・バイ・ダウンロード機能を無効にする

⑤アプリケーションやURLのカテゴリに応じてSSLトラフィックを選択的に復号化する（たとえば、ソーシャルネットワーキングやウェブメールについて復号化し、財務のトラフィックは復号化しない）

⑥リスクの高いアプリケーションのトラフィックを、侵入と脅威の回避、マルウェアからの保護、URLフィルタリングを統合した次世代ファイアウォールを使って調査する

などである。

ASCII倶楽部

アクセスランキング

1. 

   デジタル

   GmailデータをExcelに取り込む方法｜Gmail APIの使い方

2. 

   クラウド

   富士通がソブリンクラウドで米オラクルとの協業を決めた“3つのポイント”

3. 

   ビジネス

   テラスカイ「2030年までに連結売上700億円目指す」事業戦略を説明

4. 

   デジタル

   被災者と支援者が語る能登半島地震のリアル　支援で見えた仕組み作りの大切さ

5. 

   クラウド

   NRI、ソブリンクラウドとして「Oracle Alloy」を国内初稼働

6. 

   TECH

   Gemini 1.5 Proの特徴とは？ Gemini API経由で試す

7. 

   Team Leaders

   UiPath、自動化×AIを加速させるドキュメント処理特化の独自LLMを発表

8. 

   TECH

   FIXER、デジタル庁より「標準型電子カルテα版」の開発を受託

9. 

   デジタル

   「生成AIはPoCから実践へ」Google Cloud Next '24で幅広い発表

10. 

    AI

    テーマは対話　OpenAI日本法人代表となった長崎忠雄氏が語ったこと

集計期間：

2024年04月18日~2024年04月24日