最新の脅威動向と事例
第2部として、国内の脅威動向などを情報セキュリティラボセキュリティリサーチャーの石丸傑氏が紹介した。
|
図16 石丸傑氏 |
マルウェアの感染経路として、Web閲覧からが多いことを指摘した。一度の感染で、3から10のマルウェアがダウンロードされる。この中には、FlashやPDF Reader、Javaなどの脆弱性を悪用するものが含まれていることが多い。こうして脆弱性を悪用し、さらにダウンロードを行う。ダウンロードされるのは、金銭を狙うトロイの木馬であったり、ランサムウェアである。
最近の特徴の1つとして、1つのIPからは1回しかダウンロードできないような仕組みになっているもが多いとのことである。これはセキュリティ対策ベンダー対策と予想されるとのことだ。悪意を持った攻撃者も、虎の子のマルウェアを必死になって守っているのだろう。さらに、同じWebサイトでも、時間によってダウンロードするファイルが変化することがある。これは、従来のパターンファイルでの検知を難しくしている。
トロイの木馬やランサムウェア以外にも、ダウンロードされるものにパスワードスティーラがある。これは、その名の通り、FTPなどのIDやパスワードを狙うものである。その目的は、Webの改ざんである。上述のように、マルウェアをダウンロードさせるためには、所有者の目を盗み、仕掛けを仕込む必要がある。それには、FTPなどができなくてはいけない。そこで、ID・パスワードを狙うのである。
最近あった事例では、ブログ作成ツールの脆弱性を狙ったものがある。これは、検索サイトで特定の文字列を検索するだけで、ハッシュ化されたパスワードを表示してしまうものである。一般的には、ハッシュ化されたパスワードは、そのままでは不正アクセスには使えない。しかし、解析ツールなどを使うと、復号できてしまうこともある。こうして復号したパスワードには、「1234」や「8888」といった安易なパスワードが数多くあった。このような状況も、いまだに脅威が減らない原因の1つであろう。
こうして、パスワードを入手した攻撃者は、Webの改ざんを行い、マルウェアをダウンロードさせるサイトに変えてしまう。カスペルスキーでは、こういった方法で、3138のWebサイトが改ざんされたことを報告したとのことである。しかし、220ほどのWebサイトが現在でも、マルウェアの強制ダウンロードなどの活動を続けているとのことである。
石丸氏は、感染から、IDやパスワードなどの詐取、そしてWeb改ざんと、負の連鎖が継続していると指摘する。この連鎖が、2014年上半期だけで、18億5000万円もの不正送金被害をもたらしているのである。
