ラックのサイバーリスク総合研究所のコンピュータセキュリティ研究所は、「アンチフォレンジック機能を持つボットの出現~攻撃者のターゲットは個人情報から機密情報へ」というレポートを発表した。今回のレポートでは、国内で初めてアンチフォレンジック機能を持ったボットウイルスを確認したと報告している。
まずは、アンチフォレンジック機能について説明しよう。現在も情報流出は様々な形で発生している。その原因は、内部の人間による犯行も少なくない。そのような行為に対して、どのような手口で情報を盗み出したかという証拠を保全するための仕組みやツールを総称してフォレンジックといわれる。情報流出の事実解明以外にも、裁判などの証拠として、フォレンジックで収集されたデータが犯罪の証明として利用されることがある。日本でもJ-SOX法の施行と合わせ、注目されているものだ。
今回、検出されたボットウイルスであるが、フォレンジック機能を無効化するものである。同時にこのボットを生成し制御するツールの存在も確認されたとのことである。このボットウイルスは、攻撃対象PCを乗っ取ると、PCのシステム日時を自動的に変更することでボットウイルス自身の発見を遅らせ、ボットウイルスの存在を検知され場合にも、解析作業を乱す行為を行う。攻撃者はゾンビPCを長期間に渡り、自由に操作することが可能となる。
実際に確認された攻撃では、ボットウイルスに感染したPCを経由して組織内部のファイルサーバーやメールサーバーに侵入し、日本語で記述された重要資料をあさった事例が報告されている。今後も、IDやパスワード、事業情報などの機密情報を狙った悪意を持った行為の増加が懸念される。ラックでは、この種の攻撃に対し、機密情報が標的となる場合は事実が公にされにくいことから、社会的な問題として取り上げられないケースが多くなると予想する。また、この種の攻撃は、今後も拡大すると予測している。
対策としては、
- すべてのPC、およびサーバのアンチウィルスソフトの定義ファイルを最新の状態にする
- 複数のPC、およびサーバで同じID、パスワードを利用しないようアカウント管理を徹底する
- 通常のフォレンジック技術では解析不能であるため、万一の被害発生に備えてメモリダンプを取得する
- 被害の早期発見のため、組織内での情報共有、および連携体制を整備する
といったことを推奨している。企業などでは、普段のウイルス対策とともに、一層の警戒が必要となるだろう。
