最近のサイバーセキュリティを巡る状況には、それほど変わりがないように見えるかもしれません。実際、各種の攻撃や脆弱性の悪用、ボットネット、詐欺、スパムなどの問題は、量的な動きこそあれ、依然として私達の周囲に存在しています。しかしその一方、ここ数年とは明らかに違う変化がいくつか起きているようにも感じられます。例えば、メディアが世界的な脅威の動向を従来よりも適切に、そして継続的に取り上げるようになったことがその1つです。大部分のメディアは相変わらず注目を浴びるウイルスの話題に終始していますが、それでもこの変化は良い兆しと言えます。ただ残念ながら、専門家らが長年にわたりセキュリティの啓蒙活動に力を入れてきた成果ではなく、サイバー犯罪がもはや無視できないほどの影響を実社会に及ぼすようになった現実が背景にあると考えられます。とはいえメディアがまだ、主に自らが考える「ニュース価値」に基づいてサイバーセキュリティの報道を続けているのも事実です。そこで今月の特集記事では、最近のサイバーセキュリティ関連のトピックがメディアでどのように取り上げられたかを簡単に見ていくことにします。
10月はStuxnetの話題がメディアを席巻しましたが、このマルウェアの目的を巡っては、合理性の程度を問わずさまざまな憶測が飛び交っています。ESETのRandy AbramsとDavid Harleyは冷静な論評(ブログ「Stuxnet Vulnerabilities for the Non-Geek」、「Stuxnet Paper Revision」)に徹していますが、その一方で陰謀論めいた報道も行われています。例えばNew York Timesは、Stuxnetのコードに含まれる聖書からの引用を取り上げ、イスラエルがイランに仕掛けたサイバー戦争であると指摘しています(http://www.cnbc.com/id/39435594)。Stuxnetの実態についてはさておき、ここで興味深いのは、いかに多くのメディアがこのマルウェアについてのエピソードを取り上げたがっているかということです。Stuxnetは、ミステリー、国際政治情勢、そしてスリルの要素を内包しています。多くのメディアが理解できないコンピュータプログラムに関する問題であり、イランや中国などの国家が関与しているとの噂や、核施設が標的になっているとの報道(ただしこれは、その他の情報と同様、単なる憶測に過ぎません)が影響しています。もしここにロマンスの味付けがあれば、すぐにでもハリウッドで映画化されそうなほど扇情的な要素に満ちており、メディアがこぞってStuxnetを取り上げるのも無理はありません。しかし、メディアがこのような憶測に夢中になっている間も、サイバー犯罪者は金儲けに精を出しているという事実を忘れるべきではないでしょう。
残念ながらStuxnetにロマンスの要素は見つかっていないようですが、悲しい結末に終わる「ロマンス詐欺」のニュースなら、この数年繰り返し報道されています。Timesではこのところ、ガーナの若者の間で流行しているサブカルチャーについての記事を連載しています。ガーナの8~18歳人口の8割はオンライン詐欺に関係していると推測されており、その大部分は、身元を偽って大金をだまし取るオンラインの「出会い系詐欺」に関係しています(http://www.timesonline.co.uk/tol/news/uk/article7141462.ece)。またRandy Abramsがブログ「Scam of the Day AKA She Loves You Yeah, Yeah, Yeah」で紹介しているように、同じような詐欺は電子メールでも広まっています。「寂しい独身女性が大金を詐欺師に送金」といった扇情的な記事を書き立てるメディアに眉をひそめる方もいると思いますが、その一方でこの種の記事は、インターネットにおける振る舞いに気を付けるよう注意喚起する役割も果たしているのかもしれません。
Windows以外のオペレーティングシステムを狙った攻撃も、同様に大きく取り上げられる傾向があります。Windowsをターゲットとするマルウェアは珍しくも何ともありませんが、それ以外のオペレーティングシステムを狙うマルウェアや攻撃は、まるであり得ないことが起きたかのような扱いがいまだに少なくありません(このような報道を「タイタニック症候群」と呼びます)。例えば、こちらで報じられているLinuxカーネルの軽度な問題ですが、もしWindowsの問題だとしたら、果たして大きく取り上げられたでしょうか。
また「仰天ニュース」のようなコーナーには、詐欺やマルウェアの利用方法について教える「サイバー犯罪オンラインスクール」についての広告が大胆にも出稿されている(http://krebsonsecurity.com/2010/10/earn-a-diploma-from-scam-u/)、といった記事が掲載されることがあります(ちなみにこのオンラインスクールは、賢明なことにクレジットカードでの支払いを受け付けていません)。サイバー犯罪グループの活動形態や仕組み、利益などを解説するこの種の記事は、読者から一定の人気を集めているようです。
全体として、サイバーセキュリティ報道のあり方には進歩が見られます。何でも「ハッカー」や「ウイルス」に結び付ける論調はなくなっており、専門用語の使い分けも正しくなりつつあります。また、マルウェアや脆弱性、セキュリティなどに関する専門的な内容の記事も徐々に増えてきました。「深刻で、何度も発生しているが話題性に欠ける問題」を、「大して重要ではないがセンセーショナルな問題」と同程度の扱いで取り上げるようになるのはもう少し先かもしれません。しかし少なくとも、専門知識を欠く「識者」の意見ではなく、きちんとした専門家の意見を重視する姿勢は期待できそうです。経済的な損害やSCADAシステムに関する惨事など、より深刻な被害が発生した場合には、メディア全体でこのような取り組みが見られるかもしれません。
Stuxnetは、「マルウェアオブザイヤー」というべき存在です。極めて先進的な不正コードとSCADAシステムをターゲットにしたペイロードを備え、世界中のシステムに感染を広げています。そこでESETでは先月、読者からの要望に応えて、Stuxnetのコードや周辺情報を詳細に検証したホワイトペーパーを公開しました。
このホワイトペーパーでは、Stuxnetに関する次のような疑問を詳しく分析しています。
- Stuxnetを作ったのはだれなのか
- ハッカーではなく国家が作成したという噂は本当なのか
- 真の目的は何なのか
- 本当にイランをターゲットとしているのか
このうち最も大きな関心を集めているのは、おそらく2番目の疑問でしょう。コードの分析結果から考えると、Stuxnetの作成には、SCADAシステム、Siemensのソフトウェア、プログラマブルロジックコントローラ、そしてSQLに詳しい人物の関与がほぼ確実です。しかしこれらのスキルは、過去のサイバースパイ活動で政府や軍事機関が利用した「雇われハッカー」が通常備えているスキルとは一致しません。Stuxnetは、幅広いスキルとバックグラウンドを持つメンバーからなるチーム、すなわち、脆弱性調査のために結成され、多様な専門家で構成される「タイガーチーム」のような組織によって作成された可能性があります。
Alexandr Matrosov、Eugene Rodionov、David Harley、Juraj Malchoの共著による『Stuxnet Under the Microscope』は、ESET Webサイトのホワイトペーパーページからダウンロードできます。このホワイトペーパーでは、Stuxnetのこれまでの経緯や感染分布状況、実装方法、その意図などについて幅広く分析しています。初版は9月末に公開されましたが、本稿執筆時点までにバージョン1.11に改訂され、MicrosoftのパッチMS10-73がリリースされるまで公表できなかった情報が追加されています。今後も新たな展開があり次第、新しい情報が追加されていく予定です。
10月7日、第2回Securing Our eCityシンポジウムが米国カリフォルニア州サンディエゴで開催され、150名を超える参加者がインターネットを安全に利用する方法について議論を繰り広げました。また、米国サイバーセキュリティ啓発月間にあわせ、「Stop, think, connect」という新しいグローバルキャンペーンも始まりました。すべての一般市民の安全なインターネット利用を目的とする初めての共同キャンペーンです。実施に当たっては、Securing Our eCityプロジェクトの元々の設立理念に基づき、民間企業、非営利組織、政府機関がかつてないレベルの共同作業を行いました。
Securing Our eCityは、ESETとサンディエゴ商工会議所が2年前に立ち上げたプロジェクトで、今回開催されたのは第2回目のシンポジウムです。ESETのCOOであるDarin Andersenは、CNET Newsに対して次のように話しています(http://news.cnet.com/8301-27080_3-20019416-245.html)。「サンディエゴは、大規模なセキュリティ啓発キャンペーンを実施した初めての自治体です」
現在では、ブエノスアイレスやロンドン、マレーシアの都市がSecuring Our eCityをモデルにした同様のプロジェクトを立ち上げています。
Darin AndersenはSecuring Our eCityについて次のように述べています。「Securing Our eCityは、多くの人々に影響を及ぼす問題を地域レベルで解決しようと試みる市民パワーを象徴するプロジェクトです」
10月には、ソーシャルエンジニアリングを利用した偽のメッセージでユーザーをだまそうとする複数の詐欺行為が確認されました。1つ目の手口は、Microsoftの関連会社やパートナー企業のサポート担当者を名乗る者がユーザーに電話をかけてきます(http://www.computerweekly.com/Articles/2010/10/04/243165/Security-Zone-Faking-IT-support.htm)。電話の主は、「あなたのPCから、マルウェア感染やシステムエラーのSOSメッセージが送られてきている」などといって問題の修復を申し出て、多くの場合「もっとよい」セキュリティプログラムをインストールしようとします。さらにご丁寧にも、問題を「確認」するためといって、イベントビューアを開いてエラーや警告が記録されていないかどうか確認するように求めてきます。通常、イベントビューアには一時的なエラーが多数記録されているため、PCにあまり詳しくないユーザーはそれに驚き、電話の主に(正規のリモートアクセスサービスを利用した)PCへのアクセスを許し、クレジットカード情報を教えてしまいます。わたし達がこの詐欺行為に気づいたのは、実際にESETの製品をインストールするよう要求されたユーザーがいたためです。これらのユーザーが「製品が動かない」と英国やアイルランドのESETサポートに問い合わせをしたことで問題が発覚しました。
10月に明らかになった詐欺行為はこれだけではありません。すでにESETブログで報告しているように、Adobeアップデートを装った電子メールで感染を広げるマルウェアも出現しています。このメールは、「ADOBE PDF READER SOFTWARE UPGRADE NOTIFICATION」という件名で世界各地から大量送信されています。もちろんこのアップデートは偽物です。Adobeがこのようなメールをユーザーに送ることはありません。メールに記載された不正なリンクをクリックするとマルウェアに感染する恐れがありますので(アンチウイルスソフトウェアがこのマルウェアに対応していない場合)、ご注意ください。
カナダのバンクーバーで開催されたVirus Bulletinカンファレンスでは、ESETの研究者がさまざまなテーマで複数のホワイトペーパーを発表しましたが、Virus Bulletinから転載許可を得ることができた3つのホワイトペーパーがESETのWebサイトで公開されました。ペーパーの著作権はVirus Bulletin Ltdにありますが、私的利用にかぎりESET Webサイトから無償でダウンロードできます。
- 「AV Testing Exposed」(Peter Kosinár、Juraj Malcho、Richard Marko、David Harley)
比較テストの長所、短所、問題点を考察し、統計手法で検出結果を操作する方法や正しくない結果になる不適切な計算方法を検証します。 - 「Call of the WildList: Last Orders for WildCore-Based Testing?」(David Harley、Andrew Lee/K7所属)
ほとんどのテストにおいて動的テストや製品全体のテストが採用される中、テストおよび認定手法としてのWildListテストの有効性を探ります。 - 「Large-Scale Malware Experiments: Why, How, And So What?」(Joan Calvet、Jose M. Fernandez、Jean-Yves Marion、Pierre-Marc Bureau/ESET所属)
ボットネットを複製して実験を行った結果、明らかになった事実について解説します。
なおESETの研究者であるPierre-Marc Bureauは、Virus Bulletinカンファレンスにおいて、10年以内にアンチウイルス業界に加わった最も優秀な研究者に対して贈られる最優秀新人賞を受賞しました。カンファレンス出席者の投票によるPierre-Marcの栄誉をわたし達もうれしく思います。
ホワイトペーパー以外にも、ESETの研究者が執筆した情報セキュリティ関連の記事やインタビューが各種メディアに掲載されています。その一部を以下に紹介します。
- 「Stuxnet Sux or Stuxnet Success Story?」(David Harley)
Security Weekに掲載された記事です。おそらくは2010年最大のマルウェアであるStuxnetが利用した脆弱性やその感染分布について解説しています。 - 「Security Zone: Faking IT support」(David Harley)
Computer Weeklyに掲載された(ISC)2の連載コラムです。偽のアンチウイルスソフトウェアとサポート詐欺の類似点について解説しています(上述の「偽のメッセージを利用した詐欺行為が頻発」もご覧ください)。 - SC MagazineによるDavid Harleyのインタビュー
ESETのシニアリサーチフェローで、英国国民保健機関(NHS)の脅威評価機関で責任者を務めていたこともあるDavid Harleyに、SC MagazineのDan Raywood氏がセキュリティとNHSについて尋ねています。
ESETは、AMTSO(Anti-Malware Testing Standards Organization)の活動に深く関与しています。AMTSOに寄せられる意見で多数を占めるのは、「エリート主義的である」という批判です。会費が高額である(年間2,000ユーロ)というのがその理由で、AMTSOの理事でもあるDavid Harleyによると、先日ミュンヘンで開催されたAMTSOワークショップにおいて、会費をできるだけ抑えた新しい会員資格が承認されました。この会員資格は個人や小規模企業を対象としており、議決権は与えられないものの、正会員とほぼ同じように組織の活動に参加できます。詳細については、プレスリリースをご覧ください。
前回の順位:1位
INF/Autorunは、PCの攻撃手段としてautorun.infファイルを使用するさまざまなマルウェアの総称です。このファイルには、USBフラッシュドライブなどのリムーバブルメディアをWindows PCに挿入した時に自動実行するプログラムについての情報が記述されています。ESETのセキュリティソフトウェアでは、autorun.infファイルをインストールしたり改ざんしたりするマルウェアは、ヒューリスティック技術によりINF/Autorunとして検出されます(このマルウェアが特定のマルウェアファミリーの亜種でない場合)。
今日、リムーバブルメディアはその利便性の高さから広く普及しており、マルウェア作者も当然このことを認識しています。一度ランクダウンしたINF/Autorunがしばしば第1位に返り咲いているのも、その表れといえます。では、なぜリムーバブルメディアが狙われているのでしょうか。
WindowsのAutorunは、リムーバブルメディアをPCに挿入したとき、autorun.infファイルに記述されているプログラムを自動実行するように初期設定されています。そのため多くのマルウェアが、自分自身をリムーバブルメディアにコピーする機能を備えるようになっています。主要な拡散手段ではないにしても、ひと手間かけて追加の感染機能をプログラムに組み込むことで、感染の可能性を少しでも高めようと考えるマルウェア作者が増えているのです。
ヒューリスティック技術を搭載したアンチウイルススキャナでは、この特徴を手がかりにすることでこの種のマルウェアを容易に検出することができますが、ESETのRandy Abramsがブログで指摘しているように(ブログ「Auto-Infect」、ブログ「Foil Conficker Get Rid of AutoRun」)、アンチウイルススキャナに頼るよりもAutorun機能を無効に設定変更する方がより安全です。Randy Abramsの別のブログ「Now You Can Fix Autorun」も参考にしてください。
前回の順位:2位
Win32/Confickerは、もともとWindowsオペレーティングシステムの最近の脆弱性を悪用して感染を広げるネットワークワームでした。この脆弱性はRPCサブシステムに存在し、有効なユーザーアカウントを持たない攻撃者によってリモートから悪用される可能性があります。また、セキュリティが不十分な共有フォルダやリムーバブルメディア(初期設定で有効となっているWindowsのAutorun機能を使用。ただしWindows 7では、この機能は無効にされています)経由で感染を広げる亜種も存在します。
Win32/Confickerは、svchostプロセスを通じてDLLを読み込みます。この脅威は、あるアルゴリズムによって生成されたドメイン名を使用してWebサーバーに接続し、悪意のあるコンポーネントを追加ダウンロードします。こちらよりConfickerの各種情報をご参照ください。
ESETの製品はすでにConfickerに対応していますが、同じ脆弱性を突く別のマルウェアに感染するのを防ぐため、Microsoftが2008年第3四半期に公開したパッチも必ず適用するようにしてください。この脆弱性の詳細については、こちらをご覧ください。最近見つかった亜種では、Autorun経由で感染を行うコードは削除されていますが、それでもAutorun機能を無効にすることをおすすめします。この機能を無効にすれば、ESET製品ではINF/Autorunとして検出される多くの脅威の感染も防ぐことができるからです。米国カリフォルニア州サンディエゴに拠点を置くESETのリサーチチームも、Conficker問題についてブログで詳しく解説しています。
「最新のパッチを適用する」「Autorun機能を無効にする」「共有フォルダに適切なセキュリティを設定する」という安全のための慣習を実践すれば、Confickerに感染するリスクは最小限に抑えることができます。このマルウェアがメディアで大きく取り上げられていること、そして何ヵ月も前からパッチが提供されている脆弱性を悪用していることを踏まえると、多くのユーザーがこのようなあたりまえの対策を実施していれば、Confickerによる被害はそろそろ終息に向かっていてもおかしくないはずです。このところのランキングでは、Confickerの検出数が減少しているように見えますが、この数値は命名規則と統計の測定方法を変更した影響を受けています。実際には、Confickerの各亜種の検出数が大幅に減少した事実はありません。
3. Win32/PSW.OnLineGames [全体の約2.62%]
前回の順位:3位
これは、ゲームユーザーを標的としたフィッシング攻撃で使用されるトロイの木馬ファミリーです。この種のトロイの木馬はキーロガー機能(さらに場合によってはrootkit機能)を備え、オンラインゲームとそのユーザーアカウントに関する情報を収集してリモートの攻撃者に送信します。
このトロイの木馬は依然として大量に検出されており、ゲームユーザーは引き続き警戒が必要です。他人のゲームユ窶買Uーアカウントを盗み出す輩の中には、単なるいたずら目的でやっている者もいますが、現在では、仮想通貨やゲームアイテム、アバターなどを売って利益を得ることが、サイバー犯罪者の大きな収益源となっています。また「Lineage」や「World of Warcraft」といったMMORPG(多人数同時参加型オンラインロールプレイングゲーム)、あるいは「Second Life」などの仮想空間を利用するユーザーは、そこでどのような脅威に直面する可能性があるかについても認識しておく必要があります。この問題については、2008年の「世界のセキュリティ脅威年間レポート」でESETのリサーチチームが詳しく解説しています。
前回の順位:6位
Salityは、ほかのファイルに感染するポリモーフィック型のマルウェアです。実行されると、あるサービスを開始するほか、システムのセキュリティに関連するレジストリキーを削除し、オペレーティングシステムが起動するたびに悪意のあるプロセスが開始されるようにするレジストリキーを作成します。
また、EXEファイルとSCRファイルを改ざんし、セキュリティソフトウェアに関連するサービスとプロセスを無効にします。
詳細については、こちらをご覧ください。
前回の順位:4位
INF/ConfickerはINF/Autorunに関連する脅威で、Confickerワームの最近の亜種の中で、autorun.infを用いて拡散するものを示します。
エンドユーザーの立場から見た場合、このマルウェアの存在も、Autorun機能を無効にすべき十分な理由となります。「INF/Autorun」をご覧ください。
前回の順位:5位
Tifautは、スクリプト言語のAutoitで作成されたマルウェアです。PCからPCへと感染を広げるために、自分自身をリムーバブルストレージデバイスにコピーし、自身が自動実行されるようにするautorun.infファイルを作成します。
このautorun.infファイルには、セキュリティソフトウェアによる検出を困難にする無意味なコメントが記述されます。Tifautは、感染先のPCから情報を盗み出すことを目的としています。
autorun.infを媒介にして感染を広げるマルウェアへの対策については、「INF/Autorun」の説明をご覧ください。
前回の順位:7位
HTML/ScrInject.Bというのは、ユーザーをマルウェアのダウンロードサイトへ自動的にリダイレクトする難読化されたスクリプトまたはiframeタグを含むWebページ(HTMLファイル)の汎用検出名です。
不正なスクリプトやiframeは、マルウェアへの感染手段として最も多く用いられている手法の1つです。そのため可能な場合には、Webブラウザー、そしてPDFリーダーのスクリプト機能を初期設定で無効にするようにしてください。例えばFirefoxでは、NoScriptというオープンソースの拡張機能を使用することで、JavaScriptなど攻撃者に利用される可能性のある要素をサイトごとに有効/無効に設定することができます。
前回の順位:30位
Win32/Bflient.Kはリムーバブルメディア経由で感染を広げるワームです。バックドアの機能を備えており、リモートからコントロールすることが可能です。
このマルウェアはURLのリストを保持しており、各URLは広告のクリック操作をシミュレートするリクエストの送信先として使用されます。これはクリック詐欺と呼ばれ、金銭的な利益を得ることを目的としています。
前回の順位:8位
このマルウェアは自分自身を複製しないトロイの木馬で、通常はほかのマルウェアの一部として使用されます。
このマルウェアはURLのリストを保持しており、各URLは広告のクリック操作をシミュレートするリクエストの送信先として使用されます。これはクリック詐欺と呼ばれ、金銭的な利益を得ることを目的としています。
前回の順位:9位
この名称で検出される脅威はスパイウェアです。このスパイウェアは、隠しユーザーアカウントを作成してリモートデスクトップ接続経由で通信を行えるようにし、感染先のPCから情報を盗み出して遠隔地に送信します。このマルウェアの詳細については、こちらをご覧ください。
ESETが開発した先進のマルウェアレポーティング/追跡システム「ThreatSense.Net」によると、2010年10月度のランキングは、「INF/Autorun」が第1位という結果になりました。このマルウェアは、検出された脅威全体のうち6.22%を占めています。
