まかふぃーぶはじめました 第29回

マカフィーラボに聞いた「今年の3大トピック」はZeus、遠隔操作、DbyD

2013年セキュリティ事件を振り返る：日本を狙ったマルウェアで被害が続発

「遠隔操作事件」でバックドアや標的型攻撃の被害が
一般ユーザーにも実感できるようになった

――　2つめのトピックとして、なりすましの『遠隔操作事件』を挙げられましたが、マルウェアの大きな流行とは違うような気がするのですが、なぜ『遠隔操作事件』なのでしょうか？

本城　「報道によってユーザーの意識が変わった、ということが大きいんです。なりすましで犯行予告を出す、江ノ島のネコにSDカードを付けるといった劇場型の犯罪だったため、メディアが大きく取り上げました。

　今まで我々セキュリティ関係者は、バックドアや標的型攻撃の危険性についてずっと警告を出していましたが、一般ユーザーにとっては縁遠い話と思われて、なかなか理解してもらえませんでした。

　しかしあの事件によって、誰でも乗っ取られる可能性があって、感染すると何でもできるということが一般に理解されるようになったのです。危機感を持つきっかけになったんですね」

劇場型犯罪で視聴者の注目を集めた結果、トロイの木馬の恐ろしさが一般ユーザーにも浸透したという

――　容疑者が作ったとされているマルウェアは高度なものだったんでしょうか？

本城　「あれは一言でまとめるなら『素直なプログラム』でしたね。犯人が日曜大工的にイチから作ったものだと思います。自分を隠すような高度な機能はありません。一見してプロじゃないなとわかるものでした」

――　それに対する警察の分析力、対応はどうでしたか？

本城　「あの事件で起きた誤認逮捕は、警察側の失態だとは思います。しかしプログラムだけを見て、犯人がわかるかと言うと、それは無理です。マルウェアのソースだけ見て、犯人がわかったり逮捕できた例は、ほとんどありません。他のいろいろな背景と合わせて捜査しなくてはならないので、警察側にとっては負担が大きくて手間のかかるものとなります」

感染したマシンにbitcoinのマイニングをさせるマルウェアも登場

――　3つ目のトピック「ドライブ・バイ・ダウンロード（ウェブサイトを見ただけでマルウェアに感染するもの）」ですが、今年はウェブサイトの書き換えが非常に多い年でした。

本城　「ドライブ・バイ・ダウンロードの被害は、ここ数年ずっと続いています。マルウェアの感染源としては以前はスパム経由が多かったのですが、今では正規サイトの書き換えによるドライブバイダウンロードが主流になっています。またスパムでも、書き換えられたウェブサイトへ誘導するURLを貼るパターンが増えていますね」

――　正規サイトを見ただけでマルウェアに感染するわけですよね？　この原因は何が一番多いのですか？

本城　「プログラムの脆弱性（外部から攻撃されやすい弱点のこと）が原因で、今年は特にJavaの脆弱性が狙われました。2ヵ月に一度程度のペースで0-day（ゼロデイ、未対応の脆弱性のこと）が発見され、攻撃に利用されています。これらに使われるツールキットがアンダーグラウンドの市場で出回っているのが大きな要因です。「Blackhole Exploit kit」「Sakura」「Styx」といったエクスプロイトキットが利用されています」

――　犯人の目的は？

本城　「金儲けです。以前は広告サイトにアクセスさせて儲けるものが多かったのですが、現在では直接的に金を盗むものが主流になりました。パターンとしては3つあります。1つは以前からある偽セキュリティソフト。2つ目はZeusなどのオンラインバンキングを狙うもの。そして3つ目として、新たにbitcoinのマイニングをさせるものが登場しています」

いま話題のbitcoinをマイニングさせるトロイの木馬まで登場

――　いま大きな流行となっているbitcoinのマイニングをやらせるものがあるんですか？

本城　「ZeroAccess（ゼロアクセス）というトロイの木馬がそれです。感染したマシンで、bitcoinのマイニング（採掘）をさせるんです。なかなか頭のいいというか、金儲けの手法として最新ものかもしれません」

0-dayは名前だけ先行気味!?
実際は攻撃者が脆弱性を発見することのほうが多い

――　現在のセキュリティのトラブルの多くは、脆弱性が原因になっています。未対応の脆弱性である「0-day（ゼロデイ）」について、公表するべきかどうか議論がありますが、どう思われますか？

本城　「セキュリティ研究者が発見した脆弱性は、公表しないことがあってもいいと思います。善意の研究者が、その人しか知らない脆弱性であれば公表しないほうがいいのかもしれません。

　しかし現在の0-dayの多くは、先にマルウェアの攻撃があって、分析してみると未知の脆弱性がやられている、というパターンがほとんどなんです。つまり犯人が先に脆弱性を見つけて、攻撃が始まってしまっている。

　このパターンならいち早く脆弱性攻撃が発生している事実を公表して、対策を出すほうがいいと思います。なお、この場合でも脆弱性の技術的詳細については公開する必要はありません」

――　脆弱性では0-dayがクローズアップされますが、マルウェアのランキングでも0-dayを使うものが多いのでしょうか？

本城　「ランキングに出てくるマルウェアが使う脆弱性は、ほとんどが既知のものです。古い脆弱性を使うマルウェアがランキング上位を占め、0-dayのものは時期が短いためにランキングに登場することはほとんどありません。

　つまり、パッチを当てていない人が非常に多いということですね。ユーザーのセキュリティ対策が甘いというか、何もしていない人が多いのです」