アンチウイルスソフトのみの対策では不十分

2017年5月12日未明発生した世界中で猛威を振るったランサムウェアWanna Decrypter 2.0をはじめ、各種マルウェアによる被害は後を絶たない。最近の攻撃者は、かつてのようにやみくもにマルウェアをばらまくのではなく、標的型攻撃のようにターゲットを絞り、巧妙な手法でマルウェアを送りつける傾向が強まっているため、対策はますます困難となっている。加えてマルウェアの進化の速度も勢いを増しており、2017年初頭には、Spora(スポラ)と呼ばれる手口や支払方法などが巧妙化されたランサムウェアが登場している。

一方で、攻撃者がマルウェアを送り込むために狙う経路には変わりがなく、依然としてメールとWebアクセス経由が大半を占めている。メールとWebそれぞれの割合は、メールが依然7割程度、残りはWeb経由などとなっているのが状況である。

総合セキュリティベンダーであるソフォスのセールスエンジニアリング部セールスエンジニア 目黒潮氏は次のようにコメントする。「特に厄介なのが、標的型攻撃メールの文章や手法がこなれてきていることです。以前であればいかにも外国人が翻訳したようなつたない日本語であったり、見るからに怪しいEXEファイルが添付されていたりしていたので、比較的見抜くのが容易でした。それが最近では、日本人が書いたとしか思えないような自然な文章や、宅配便の配送書類を装った添付ファイルが使われるようになっており、ユーザー側で見破るのは難しくなってきています」

ソフォス セールスエンジニアリング部 セールスエンジニア 目黒潮氏

文字化けしたドキュメントが表示されると、「エンコードが不正な場合はマクロを有効にしてください」といった指示が表れ、それに従いオプションボタンをクリックしてしまうとマルウェアに感染するといったように、最近の標的型攻撃メールは、人の心理をより巧みに突くようになっているのだ。

一方でWebを介した攻撃でもメールと同様に、プログラムやシステムの脆弱性を突く攻撃プログラムのエクスプロイトキットがよく使われている。

「感染チェーンを形成して攻撃を仕掛けるエクスプロイトキットが裏社会で取り引きされており、誰でも簡単に手に入るような状況にあります」と、目黒氏は警告する。

感染チェーンは、通常次のようなプロセスを辿る。まずPCを使っているユーザーが攻撃者に乗っ取られたWebサイトにアクセスすると、乗っ取られているWebサーバーが通信を中継サーバーへとリダイレクト。さらに中継サーバーが接続を攻撃用サーバーへとリダイレクトし、そのサーバーにはエクスプロイトキットを配信するページがホスティングされている。ここでJava、Flashなど脆弱なプライグインやそのバージョンを確認したうえで、エクスプロイトキットがデータを配信してシステムを感染させるのである。

Webサイトにおけるエクスプロイトキットを利用した感染チェーン

配信されたマルウェアへの対策は、これまでアンチウイルスソフトが有効であると思われてきた。しかし、最近のマルウェアは、各メーカーのアンチウイルス製品をすり抜けるよう作り込まれていることが多いため、期待するような効果は見込めなくなっているのだ。

「アメリカのある大手新聞社では、4ヶ月間に45件ものカスタム・マルウェアが送りつけられながら、アンチウイルスソフトで削除できたのは1件だったという事例があります。産業化してしまい進化の著しいカスタム・マルウェアを送りつけるような攻撃に対しては、もはやアンチウイルスソフトとファイアウォールといった既存の対策だけでは不十分ということです」と、目黒氏は強調する。