マルウェア

パソる

マルウェアとはなんなのか、まとめてみました。

「ウイルス」「ワーム」「スパイウエア」「ボットネット」「フィッシング」---。現在、インターネットにはさまざまな悪質なプログラムや攻撃,脅威が出回っている。総称して「マルウエア(Malware malicious software:有害プログラム、悪意のあるソフトウエア)」などと呼ばれるこれらのプログラム/脅威は、インターネット・セキュリティにある程度詳しい方でもそれぞれの違いや特徴を述べることは難しい。

そこでマルウエアの代表的な分類(カテゴリ)をまとめることにし、最近話題になっているマルウエアや脅威をまとめました。

『従来のカテゴリ』
マルウエアは大きく分けるとこのようなカテゴリに分類できるだろう。

マルウエアの種類

「ウイルス」
記憶媒体やメールを介して自己感染を繰り返すプログラム
「ネットワーク・ワーム(ワーム)」
ネットワーク経由で自己増殖するプログラム
「受動的攻撃」
受動的攻撃によって攻撃を仕掛ける、あるいは感染するプログラム
トロイの木馬
有用なプログラムなどを装って侵入するプログラム
バックドア
PCを外部から操作できるようにするプログラム
「スパイウエア」
PCの情報を盗み取るプログラム
「アドウエア」
広告などを勝手に表示するプログラム
「フラッダ−(Flooder)」
DoS/DDoS攻撃を行うためのプログラム
「ドロッパ−(Dropper)」
他のマルウエアをダウンロードするプログラム

てな感じでしょうか。

マルウエアの種類(カテゴリ)には,「感染活動に基づくカテゴリ」と「感染後の活動に基づくカテゴリ」が存在する。

例えば、ウイルス,ネットワーク・ワーム、受動的攻撃は、感染活動に基づく名称である。一方、バックドア・スパイウエア・アドウエア・フラッダ−・ドロッパ−は、感染後の活動に基づいた名称である。

トロイの木馬については,いずれの意味でも使われる場合がある。
(1)「ユーザーをだまして実行させる(ソーシャル・エンジニアリングを使う)」といった感染活動をするマルウエアを指す場合
(2)「ユーザーが意図しない動作(活動)をする」マルウエアを指す場合

多くのマルウエアには,複数の感染活動/活動が実装されている。このため、どれか一つのカテゴリに分類することが難しくなっている。例えば「Nimda」はウイルス・ワーム・受動的攻撃を使って感染を広げる

「Sobig」は,感染するとキーロガーなどのバックドアとして動作するほか、オープン・プロキシの機能を持つ。このためSobigに感染したパソコンはスパム・メールの踏み台として悪用される。


最近のマルウエアや脅威

最近では以前にも増してさまざまなマルウエアあるいは攻撃/脅威が出現している。特に話題になっているものとしては「ボットネット(ボット)」「フィッシング」「スピア・フィッシング」「暴露型ウイルス」が挙げられる。

最近話題になっているマルウエアや脅威
ボットネット
ボットと呼ばれるマルウエアで構成されるネットワーク。主にIRCを使って感染活動・DDoS攻撃・情報収集活動・スパムの送信などを行う
「フィッシング」
銀行などを装ったメールを送信し、個人情報を盗み出すことを目的としたオンライン詐欺
「スピア・フィッシング」
特定の組織/個人を狙うフィッシング。機密情報を盗んだりネットワーク構成を調査したりすることが目的
「暴露型ウイルス」
PCのデータを不特定多数に公開するマルウエア
「ゾンビ(DDoSゾンビ)」
DDoS攻撃を仕掛けるためのマルウエア

ボットネット

ボットネットは、ボットと呼ばれるマルウエアが構築するネットワークで、「HERDER」と呼ばれる管理者の指示によりさまざまな活動を行う。多くの場合IRC[注1]メカニズムを使ってネットワークが構築される。この際ボットネット専用に用意したIRCサーバーを利用する場合が多く一般に公開されているIRCサーバーが利用されることはほとんどないという[注2]。


注1 Internet Relay Chat Protocol(RFC 1459)
注2 The Honynet Project & Research Alliance, “Know your Enemy: Tracking botnets”

ボットネットの活動としてよく取り上げられるのが、スパム(迷惑メール)送信とDDoS(分散サービス妨害)攻撃である。ボットネットを使ったスパム送信はその送信元アドレスが分散されるために、アドレス・ベースのスパム対策を回避される可能性がある。DDoS攻撃は競合他社のビジネスの妨害や脅迫といった用途に使われているという。

ボットネットは、DDoS攻撃やスパム送信以外にもさまざまな活動をする。例えば、ボットネットを拡張するためにボットの感染活動を行う。ボットの感染にはOSやアプリケーションの脆弱性を悪用する場合が多い。インターネットセキュリティシステムズのSOC(セキュリティ・オペレーション・センター)の観測によると、新しい脆弱性が見つかるとその脆弱性を突くような感染活動がすぐに導入されるようだ。

また、ボットネットはスパイウエアとしても動作する。銀行口座などの情報を収集して詐欺行為に悪用したり、脆弱なサーバーの情報を収集してフィッシング用のWebサイトやWarezサイト(海賊版ソフトウエアなどを配布/交換する非合法サイト)、ボットネットIRCサーバーを構築したりするといわれている。

以上のように,ボットネットの機能自体は,ウイルスやワーム,スパイウエアといった従来のマルウエアでも実装されていたものであり,特に新しいものではない。ボットネットが従来のマルウエアと異なる点は,さまざまな機能を取り込んだ“多機能型マルウエア”であることだ。

それに加えて分散システムとして“効率的な”管理・運用が行える点にある。ワームやウイルスは、プログラムを解析すれば活動が予想できたが、ボットはHERDERの操作により活動内容が変化するため予測しにくい。ボットネットには感染を隠蔽するための工夫が凝らされている。このためユーザーはボットの感染に気づかない。

さらにボットの中にはソースコードがインターネットで流通しているものがある。ソースコードを入手すれば亜種(変種)を容易に作成できる。

スピア・フィッシングはまだあまり一般的ではないが、「特定の組織や個人を狙ったトロイの木馬を含んだ電子メールによる攻撃」と定義できる。スピア・フィッシングは2005年6月以降、各国のセキュリティ組織やベンダーが相次いで注意喚起している。

スピア・フィッシングのメールは,比較的少数の特定ユーザー/組織にしか送付されないために、アンチウイルス・ベンダーが検体を入手する可能性が低く、パターン・ファイル(ウイルス定義ファイル)が作成されない。このため、スピア・フィッシングのメールをアンチウイルス・ソフトで検知することは難しい。

攻撃者もアンチウイルス・ソフトで検知されないことを確認した上で送信していると考えられる。ただ、アンチウイルス・ソフトで検知できなくてもアンチスパム・フィルターで検知できた例や、ネットワーク・トラフィックの異常などから気づいた例はあるようだ。

なお、スピア・フィッシングでは、ユーザーが添付されたトロイの木馬を実行しなくても情報を収集されるケースがある。「Webビーコン」と呼ばれる手法が使われているケースである。Webビーコンとは送信したユーザーを特定するURLをHTMLメールに埋め込んで誰がメールを見たか(開いたか)を確認する手法である。例えば,以下のようなURLを埋め込んでおく。

<IMG WIDTH=1 HEIGHT =1 SRC="http://xxx.xxx.xxx/nyanya@neko">

この例ではユーザーを特定する情報として「nyanya@neko」を使っているが実際にはメール・アドレスである必要はない。ユーザーごとに割り振った、一見ランダムな文字列(数字)でかまわない。もちろん実際にこのファイルが存在する必要もない。

Webビーコンを使えばイントラネット内の情報を入手することもできる。例えばWebのプロキシ・サーバーに関する情報---利用の有無・使用プログラム・バージョン・IPアドレスといった情報---や、クライアントPCのIPアドレスを入手できる。仕事柄、こういうのしょっちゅう見かけます。

今、小さいサーバーを管理していますが、それでも毎日のように様々な脅威に遭遇します。でもスパム関係は面白半分見させて頂いてます。結構馬鹿馬鹿しくて面白いメールもあるので暇なしな仕事の合間をみて楽しんでいます(笑)