このページの本文へ

最新セキュリティ製品で標的型攻撃を防げ! 第5回

ダウンロードサイトのドメイン名を動的に変更するツールキットも

シマンテックが警鐘!ますます巧妙な標的型攻撃とマルウェア

2012年07月04日 06時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

7月3日、シマンテックは2012年上半期のセキュリティの現状を説明するプレスイベントを行なった。ここではセキュリティ脅威解析の担当者からマルウェア攻撃を仕掛けるためのツールキットの凶悪化や標的型攻撃の拡大などの詳細が説明された。

増え続けるマルウェアの背景にツールキットあり

 今回、脅威の詳細や傾向について説明したのは米シマンテック サイバーセキュリティ インテリジェンス マネージャーのポール・ウッド氏。全世界200カ国以上6400万に及ぶセンサーから収集された情報を元に、同社が毎年敢行している「インターネットセキュリティ脅威レポート」の最新版において編集責任者を務めている。

米シマンテック サイバーセキュリティ インテリジェンス マネージャー ポール・ウッド氏

 まず同氏は2011年のセキュリティ関連の数値を披露した。2011年、シマンテックは前年から81%増になる55億件の攻撃を遮断し、同じく41%増の4億300万種のマルウェアの亜種を発見したという。これらは増加傾向にあるが、新しい脆弱性やスパムなど減少した数値もあるとのこと。とはいえ、スパムの減少は標的型スパムが増えたこと、SNSなど他のツールに移行したからという背景があったためと指摘した。

2011年のセキュリティ関連の数値

 特にSNSに関しては、「最近の話題にあるトピックを使って、ユーザーを誘導し、不正なサイトにアクセスさせる」(ウッド氏)といった手口でソーシャルエンジニアリングと巧妙に組み合わせられることが増えているため、相変わらず危険だという。

 また、マルウェアに関してはWeb攻撃を容易に行なうためのツールキットが増え、ますます巧妙に攻撃検知の網を縫うようになっているという。たとえば、「Blackhole」というツールキットでは、エンドユーザーがWebサイトにアクセスした際に不正なコード(エクスプロイト)をロードするようWebサイトを攻撃するもの。巧妙なのはWebサイト自体にはコードは設置しておらず、ユーザーにはあくまでライブラリのみをロードさせるという点。コード自体はBlackholeエクスプロイトサーバーにホストさせ、そこからライブラリにダウンロードさせるようにし向けるという。しかも、ダウンロード先のドメイン名は直接コードには埋め込まれておらず、日付からドメイン名が動的に算出されるになっていたとのこと。このドメイン名からIPアドレスを引き、非表示のIFRAMEからエクスプロイトがロードされてしまう。

エクスプロイトサーバーのドメイン名を動的に変えるBlackholeの動作

 この「DNSファストフレックス」という手法では、アクセス先のドメイン名が毎日変わるため、従来URLでのフィルタリングが無効化されていた。しかし、シマンテックでは「算出アルゴリズムを割り出したため、8月末までのドメイン名が予測できた」(ウッド氏)とのことで、きちんと遮断が可能だったとアピールした。

数千もの攻撃が行なわれた日本企業への攻撃

 金銭目的でツールキットを用いる従来の攻撃と異なり、2011年のトピックにもなった標的型攻撃は対象の関心事に結びついた特別なマルウェアが用いられ、攻撃自体もまれ。ビジネスモデルも不明瞭という特徴を持っている。ウッド氏曰く、他の攻撃との区別は難しいが、「標的型攻撃は、やはり攻撃対象しか知らないような情報を狙ってくる」という特徴があるという。傾向としては、グローバル/日本でも増加傾向で、地域別で見ると日本は米英に続き、3位の標的となってしまったとのこと。

標的型攻撃の特徴

 日本で件数の増大につながったのは、2012年の4月に起こった特定の日本企業への攻撃だ。「1社に対して、1日で数千もの攻撃が行なわれた非常に珍しいケース」(ウッド氏)。ここでは、Officeドキュメントに悪意のあるコードが入ったエクスプロイトが含まれていたり、Officeドキュメント自体が暗号化され、パスワードがメール本文に入っているといった新しい手口も見られた。なお、こうした不正なOfficeドキュメントの隠しコード検出に関しては、クラウドベースのSkepticという技術で実現しているという。

2012年4月に起こった日本企業に対する大規模な攻撃はきわめて珍しい例

 2012年後半以降の予想としては、標的型攻撃の拡大、金銭目的のマルウェア、Macへの脅威が挙げられた。ウッド氏は、「同じモバイルデバイスで、金融取引とSNSをやっていると、攻撃されたときの被害が大きい」と警鐘を鳴らす。そして、標的型攻撃の被害者にならないためにはやはり教育、ポリシー、技術の3つが重要になるという。ウッド氏は、具体的な例として「広報や人材募集など外部からのメールを開かなければならないメールアカウントは注意する。ソーシャルネットの発言に気をつける」などの例が挙げた。

■関連サイト

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード