セキュリティ製品による検知の回避
ハイブリッドWebワームは他のワームと同様に、アンチウイルスソフトやIDS/IPSなどのセキュリティ製品から検知されにくくするため、亜種を生成する。セキュリティ製品の検知機能は主にシグネチャマッチング方法を利用しているため、亜種が生成され、マッチング対象が変更された場合には検知できなくなる。同氏は、下記のようにソースコードを改造することで亜種を作成する方法を説明し、また実際にデモも交えて実演した。
|
上記の(1)~(3)ならびに(4)~(6)はそれぞれ記述が異なるが、同じ処理を行うJavaScriptコードである。同氏は感染のたびに上記のような変換を行い、亜種を生成することでセキュリティ製品からの検知を回避すると述べた。
感染拡大の手法
旧来のWebワームは感染に利用する脆弱性を特定のWebアプリケーションとしているため、感染対象も限定されることになっていた。この問題を解決するため、ハイブリッドWebワームは脆弱性情報が掲載されているWebページを利用する。そうしたWebページには下記のような情報が掲載されているという。
- 脆弱なアプリケーション名
- 脆弱なバージョン
- 脆弱なアプリケーションのファイル名
脆弱性情報を掲載するWebページからこれらの情報を定期的に取得することで、ハイブリッドWebワームは新しい攻撃対象に関する情報を入手し、感染活動に悪用することができる。したがって日々、新しい脆弱性が報告され、これらWebページが更新され続ける限り、攻撃者は半永久的に攻撃対象を探すことができるという。
ハイブリッドWebワームの検知
同氏は最後にハイブリッドWebワームの検知手法と防御手法について解説した。ハイブリッドWebワームの通信を検知するために、トラフィック量の変化を分析することやGoogleなどの検索エンジンの検索履歴を調査することでも発見できるだろうと述べた。
防御手法として大事なことはセキュアなWebアプリケーションを作成することであるとのこと。そのためにはユーザから送信されてくるデータは改ざん可能であるため、絶対に信用しないことが重要であるとして、講演を締めくくった。
