情報処理推進機構(IPA)とJPCERT コーディネーションセンター(JPCERT/CC)が共催した「重要インフラ情報セキュリティフォーラム2008 -重要インフラ関係者の情報共有-」おいて、フォティーンフォティ技術研究所の取締役副社長・最高技術責任者で、IPA情報処理推進機構 セキュリティセンター 情報セキュリティ技術ラボラトリー研究員の鵜飼裕司氏は、標的型攻撃で使われるマルウェアを実際に解析した結果をもとに、その技術の詳細と対応に関して講演を行った。

フォティーンフォティ技術研究所の取締役副社長・最高技術責任者で、IPA情報処理推進機構 セキュリティセンター 情報セキュリティ技術ラボラトリー研究員の鵜飼裕司氏

鵜飼氏は昨今、特定の企業・組織を狙った攻撃が増えており、しかもそれらは特定の役員やキーパーソンを狙うというピンポイントの攻撃になっていると指摘。さらに、攻撃が多段型になり、ダウンローダの利用や脆弱性を悪用するほか、難読化して検出・解析対策を施したりするなど、攻撃が見えにくくなっていると語った。そのため、企業は十分な情報や技術的解決策を得られず、どんなに注意しても防げないケースがあり、「セキュリティのプロでもなかなか防げないのではないか」と対応の難しさを強調した。また、「従来のマルウェア対策でいいのか」との疑問を提示した。

標的型攻撃では、従来の能動的攻撃(左図)ではなく、受動的攻撃(右図)が使われる。能動的攻撃は過去のMSBlasterのようなマルウェアで利用されたものだが、最近はなりを潜めているという。

鵜飼氏のいう「従来のマルウェア対策」とは、マルウェアの検体をツールによって自動解析し、それを基にウイルス定義ファイルを作成。定義ファイルとパターンが一致するものを駆除するという方法で、この手法では検体がほとんど手に入らない標的型攻撃のマルウェアへの対応が難しく、ツールによる自動解析にも限界があるという。

たとえば最近の標的型攻撃では、ダウンローダが使われることが多いが、ここで使われるダウンローダは悪意のあるコードをダウンロードする程度の機能しかなく、この動作自体は悪意のある動作とはいえない。しかし実際には、ダウンロードされたコードが悪意のある動作をするため問題が発生するのだが、コード自体は攻撃者が自由に変更できるため、同じダウンローダからまったく別の攻撃が行われてしまう。

コードの自動解析ではコードを網羅的に分析するわけではないので、ある環境ではまったく違う処理が行われるといった動作の変化を解析できないこともあり、自動解析を基本とするウイルス対策ソフトでは正確な脅威分析ができないという。

ダウンローダによる攻撃。ダウンローダが実際に攻撃するマルウェアをダウンロードして攻撃が行われる

鵜飼氏が調査したマルウェアの攻撃シーケンス。ダウンローダ自体は情報の窃取は行わず、別途ダウンロードされたコードがPC内の情報を送信する

鵜飼氏によれば、あるウイルス対策ソフトベンダのダウンローダ系マルウェアの解説には、マルウェアがコマンドを受信して情報を盗み送信すると記されていたが、実際はコマンドではなくコードを受信していたという。コマンドの場合、記述された動作以外のことは行われないため、受信したコマンドをすべて解析できれば正確な脅威分析ができる。しかし、コードの場合はさらに新たなコードを受信することにより動作がその都度変わる場合があり、自動解析では解析時点の脅威しか分からないのだという。

また、鵜飼氏は、コード受信をする際の通信を暗号化するなど、通信内容が解析できない場合、どんな動作をするかは正確には把握できないという問題点も指摘した。

コマンドとコードの違い。コードの場合は実際の動作が推測しづらい

鵜飼氏が調査した標的型攻撃のマルウェアでは、感染PCから盗み出した情報を送信する際にTCPポート80番と443番が利用されており、このポートはWebサイトアクセスに使われるため、企業ネットワークでもファイアウォールが開けられている場合がほとんどだが、実際に使われているプロトコルはHTTP/HTTPSではなく、独自のプロトコルだったそうだ。しかも感染PCと情報を送信するサーバ間で認証が行われており、ウイルス対策ソフトベンダによる解析のための接続を遮断する仕組みになっていたという。

このように、これまでのマルウェア解析のソリューションでは、危険を正確に把握できず、攻撃への対処が後手に回る可能性を鵜飼氏は危惧する。今回同氏が調査したマルウェアについては、ダウンローダのダウンロード要求を遮断すると、その後動作が行われなかったそうで、対策として不必要な外不向きのTCPポートをすべて閉じるとともに、TCPポート80番・443番はHTTP/HTTPS以外のプロトコルの通過を遮断する方法を勧める。同時に、Proxyの利用も推奨し、認証付きProxyにすると絶大な効果があると述べた。

解析手法に関しては、「詳細な解析をしないと脅威は分からない」と前置きしつつ、ファイルシステム内にさまざまなファイルが生成されるので、それをモニタリングして捕獲することで新たな実行ファイルのダウンロードにも対応できるとした。ただし、インジェクトコードやダウンロードされたオンメモリ動作のコードは捕獲できないという問題点も指摘。それに対しては、APIトレースを行うことで、ダウンローダのパケット受信を検出し、その時点までを従来の自動解析手法でチェック、その後の動作は手動で詳細な解析を行うという2段構えの手法を紹介した。この方法ならば、効率的かつ正確に分析できるということだ。

標準型攻撃用マルウェアの検知と対策

さらに鵜飼氏は、「大手企業のほとんどは標的型攻撃の対象となっているのではないか」と指摘した上で、標的型攻撃の場合は攻撃に気づかない場合もあり対応が難しいので、継続的に脅威の変化を監視していくことが重要だと訴えた。