1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 感染後に別のマルウエアをダウンロードさせる「ダウンローダー型」が脅威との報告

感染後に別のマルウエアをダウンロードさせる「ダウンローダー型」が脅威との報告

セキュリティ研究者がウイルス解析の結果等について発表したところによると、感染後に単体で動作する従来のウイルスとは違い、攻撃者が用意したサーバーから別のマルウエアをダウンロードさせる「ダウンローダー型」のウイルスが増えているということです。

「本当に怖いのは、ウイルスの“二次攻撃”」――専門家が解説(IT Pro)

これは、情報処理推進機構(IPA)の研究員を務める鵜飼裕司氏が講演したもので、「ダウンローダー型」は感染後に別のウイルスをダウンロードさせる性質上、従来のようにウイルスそのものを解析しても、実際にどのような被害が生じるのか分析が難しいということです。

 「何が起こるかは、攻撃者が用意したサーバー上の(ウイルス)コード次第。3日たったら別のコードに変わっている可能性がある。コードの中には、(感染パソコンなどの)状況に応じて変化するものもある。ダウンロードされるウイルスの詳細は、ダウンローダーをいくら調べても分からない」(鵜飼氏)。

さらに、「ダウンローダー型」に感染した場合、そのダウンローダーを削除しても手遅れになってしまう点も脅威です。感染した時点で、ダウンローダーが別のウイルスをダウンロードしているため、いわば「二次被害」に遭っている状態だというのです。

記事によると、「ダウンローダー型」は対処方法や被害の規模などが簡単には分析できないタイプではあるものの、被害を防ぐには、ダウンローダーが送信するダウンロード要求を遮断することが効果的であるとしています。

具体的には、企業ネットワークなどのゲートウェイにおいて、以下の3点のような対策が挙げられています。

(1)不要な外向きのTCPポートをすべて閉じる
(2)(Webアクセスに使用する)TCP 80/443番ポートにおいて、HTTPおよびHTTPS以外の通信は遮断する
(3)HTTPおよびHTTPSはプロキシ経由でのみ外部と通信できるようにする

今後、こうした新手のウイルスが増える可能性がありますので、最新のセキュリティ情報に注意しましょう。

  • EV SSLとは
  • カテゴリートップへ
  • 日立システム×ケロロ軍曹 「オチに願いを」コンテストはじめました