ダウンロードサイトのドメイン名を動的に変更するツールキットも
シマンテックが警鐘!ますます巧妙な標的型攻撃とマルウェア
2012年07月04日 06時00分更新
7月3日、シマンテックは2012年上半期のセキュリティの現状を説明するプレスイベントを行なった。ここではセキュリティ脅威解析の担当者からマルウェア攻撃を仕掛けるためのツールキットの凶悪化や標的型攻撃の拡大などの詳細が説明された。
増え続けるマルウェアの背景にツールキットあり
今回、脅威の詳細や傾向について説明したのは米シマンテック サイバーセキュリティ インテリジェンス マネージャーのポール・ウッド氏。全世界200カ国以上6400万に及ぶセンサーから収集された情報を元に、同社が毎年敢行している「インターネットセキュリティ脅威レポート」の最新版において編集責任者を務めている。
まず同氏は2011年のセキュリティ関連の数値を披露した。2011年、シマンテックは前年から81%増になる55億件の攻撃を遮断し、同じく41%増の4億300万種のマルウェアの亜種を発見したという。これらは増加傾向にあるが、新しい脆弱性やスパムなど減少した数値もあるとのこと。とはいえ、スパムの減少は標的型スパムが増えたこと、SNSなど他のツールに移行したからという背景があったためと指摘した。
特にSNSに関しては、「最近の話題にあるトピックを使って、ユーザーを誘導し、不正なサイトにアクセスさせる」(ウッド氏)といった手口でソーシャルエンジニアリングと巧妙に組み合わせられることが増えているため、相変わらず危険だという。
また、マルウェアに関してはWeb攻撃を容易に行なうためのツールキットが増え、ますます巧妙に攻撃検知の網を縫うようになっているという。たとえば、「Blackhole」というツールキットでは、エンドユーザーがWebサイトにアクセスした際に不正なコード(エクスプロイト)をロードするようWebサイトを攻撃するもの。巧妙なのはWebサイト自体にはコードは設置しておらず、ユーザーにはあくまでライブラリのみをロードさせるという点。コード自体はBlackholeエクスプロイトサーバーにホストさせ、そこからライブラリにダウンロードさせるようにし向けるという。しかも、ダウンロード先のドメイン名は直接コードには埋め込まれておらず、日付からドメイン名が動的に算出されるになっていたとのこと。このドメイン名からIPアドレスを引き、非表示のIFRAMEからエクスプロイトがロードされてしまう。
この「DNSファストフレックス」という手法では、アクセス先のドメイン名が毎日変わるため、従来URLでのフィルタリングが無効化されていた。しかし、シマンテックでは「算出アルゴリズムを割り出したため、8月末までのドメイン名が予測できた」(ウッド氏)とのことで、きちんと遮断が可能だったとアピールした。
数千もの攻撃が行なわれた日本企業への攻撃
金銭目的でツールキットを用いる従来の攻撃と異なり、2011年のトピックにもなった標的型攻撃は対象の関心事に結びついた特別なマルウェアが用いられ、攻撃自体もまれ。ビジネスモデルも不明瞭という特徴を持っている。ウッド氏曰く、他の攻撃との区別は難しいが、「標的型攻撃は、やはり攻撃対象しか知らないような情報を狙ってくる」という特徴があるという。傾向としては、グローバル/日本でも増加傾向で、地域別で見ると日本は米英に続き、3位の標的となってしまったとのこと。
日本で件数の増大につながったのは、2012年の4月に起こった特定の日本企業への攻撃だ。「1社に対して、1日で数千もの攻撃が行なわれた非常に珍しいケース」(ウッド氏)。ここでは、Officeドキュメントに悪意のあるコードが入ったエクスプロイトが含まれていたり、Officeドキュメント自体が暗号化され、パスワードがメール本文に入っているといった新しい手口も見られた。なお、こうした不正なOfficeドキュメントの隠しコード検出に関しては、クラウドベースのSkepticという技術で実現しているという。
2012年後半以降の予想としては、標的型攻撃の拡大、金銭目的のマルウェア、Macへの脅威が挙げられた。ウッド氏は、「同じモバイルデバイスで、金融取引とSNSをやっていると、攻撃されたときの被害が大きい」と警鐘を鳴らす。そして、標的型攻撃の被害者にならないためにはやはり教育、ポリシー、技術の3つが重要になるという。ウッド氏は、具体的な例として「広報や人材募集など外部からのメールを開かなければならないメールアカウントは注意する。ソーシャルネットの発言に気をつける」などの例が挙げた。
この連載の記事
-
第20回
TECH
標的型攻撃には相手の“やる気”を削ぐのが一番! -
第19回
TECH
日本ラッド、タイガーチームサービスの脆弱性診断開始 -
第18回
TECH
2社に1社はボットに感染!チェック・ポイントのレポート -
第17回
TECH
各国から攻撃! おとり水道制御システム、公開18時間で標的に -
第16回
TECH
次世代セキュリティ製品の不名誉を返上するジュニパー -
第15回
TECH
マルウェア検知率100%を目指すマカフィーのサンドボックス -
第15回
TECH
標的型攻撃対策ではプロの常駐支援もあり? -
第14回
TECH
未知の脅威を防ぐ!サンドボックス搭載の新Software Blade -
第13回
TECH
ファイア・アイ創業者が語る国家レベルのサイバー攻撃 -
第12回
TECH
標的型攻撃を高精度で検出するNTT Comの「SIEMエンジン」 -
第11回
TECH
標的型攻撃に包括的な対策を提供するFortiOS 5.0 - この連載の一覧へ