1. 情報セキュリティブログ ホーム
  2. セキュリティめがね
  3. セキュリティめがね 第7回 見えない気付かない、はびこる「静かな攻撃」

セキュリティめがね 第7回 見えない気付かない、はびこる「静かな攻撃」

基本から実践まで、見えてくるコラム セキュリティめがね

お昼から戻ったあなたが会社のパソコンを立ち上げると、新着メールが届いていました。「スクリーンセーバーをプレゼントします」と書かれた添付ファイル付きのメールがあったので、ついうっかり、ダブルクリックして開いてしまいました。「どんなスクリーンセーバーかなあ」と、思ったのもつかの間、デスクトップのアイコンが次々に消え、ハードディスクのアクセスランプが激しく点滅し、データの書き込みを繰り返す不穏な音が響きます。猛烈に嫌な予感がしてきたあなたは、リセットボタンを押しましたが、現れたのは起動画面ではなく、青い背景の見慣れないメッセージでした。「しまった、ウイルスにやられた!」ふと周囲を見回すと、あなたの同僚のディスプレイにも、同じメッセージが表示されていました...。

この話はフィクションですが、コンピュータウイルスの感染に対して、これと似たイメージを持っている方は、まだまだ多いのではないでしょうか。確かに、1990年代にはびこったウイルスなら、あながち外れてはいません。その当時は、データを削除したり、大量のメールを送信したり、派手な画面演出をするウイルスがたくさんありました。

しかし、現在主流となりつつあるウイルスは、これとは正反対の動きをします。データ削除も、メール送信も、ましてや画面演出なんて...。現在のウイルスは、利用者や管理者の目から隠れ、見つからないように、ひっそりと静かに寄生するのです。今年発表された、情報処理推進機構(IPA)の「情報セキュリティ白書2008 第II部」には、「10大脅威 ますます進む『見えない化』」というタイトルが付けられています。

※(参考)
情報セキュリティ白書2008 第II部 10大脅威 ますます進む「見えない化」
http://www.ipa.go.jp/security/vuln/20080527_10threats.html

今回は、攻撃がなぜ、静かに見えなくなったのかを考えてみます。

■生かさず殺さず、長くあなたの情報を搾取し続ける

一昔前のウイルスが派手で目立つ動きをしたのは、ウイルスを作るウイルス作者達が、自己顕示欲や愉快犯的動機を持っていたからです。大企業や官庁のサーバーに侵入したり、自分が作ったウイルスが世界中で感染を広げることが、彼らの幼稚な価値観の中では、ステータスであり、クールなことだったのでしょう。

しかしここ数年、ウイルス製作や攻撃の目的が、自己顕示から「金銭」に変わってきました。これが、目立つうるさい攻撃が減って、見えない静かな攻撃が主流になった原因です。

金銭が目的の場合、攻撃者やウイルスは、コンピュータに対して以下のような悪事を行います。

・個人情報や機密情報、クレジットカードなどの情報を盗む
・別の攻撃のための踏み台として悪用する
DDos攻撃やスパムメール配信などの拠点にする

効率よく、なるべく多くの金銭を得るためには、一度侵入に成功したコンピュータはできるだけ長く悪用したいというのが攻撃者の心理です。そのためには、仕掛けたウイルスやスパイウェアが見つかって、駆除されてしまっては困ります。「【う】裏口を こっそり設置 バックドア」にある通り、潜伏し、なるべく静かに活動した方が、被害者から搾取し続けることができるのです。

■証拠は残さない、自分を削除し消滅するウイルス

目立たず気づかれないように攻撃を行うための巧妙な手口の例を見てみましょう。

たとえば最近の新しい傾向として「ダウンローダー型」と呼ばれる小さなウイルスが挙げられます。これは、攻撃者が用意したサーバーから、別の機能を持ったマルウェアなどをダウンロードするためのウイルスです。パソコンに潜伏し、攻撃者の指示に応じてプログラムをダウンロードして、個人情報を盗んだり、スパムメールを配信したり、DDos攻撃などを行います。

ダウンローダー型ウイルスは、何をダウンロードするかによって、自由に機能を変えます。これから何が起こるかはサーバー上のプログラム次第なので、その最終的な目的や機能を解析することは、以前に比べて難しくなります。悪意があるかどうか、その場では判断がつかないということです。

ダウンローダー型ウイルスの中には、攻撃が終わったら、不要となった機能を削除する場合もあります。こうして、小さく目立たず潜伏し続けます。

そして、見つかったと察知するやいなや、自分自身を削除して消えてしまうという、ミッション・インポッシブルさながらのウイルスもあります。これは、ウイルスがセキュリティ企業の研究者にサンプルとして渡ってしまうと、すぐにそのワクチンが作られてしまい、お金と時間をかけて作ったウイルスを、長く使うことができなくなるため、証拠をなるべく残したくないからです。

中には「ウイルス対策ソフトをダウンロードさせるウイルス」という、一見すると矛盾した行動をとる場合もあります。これは、もし自分と同じコンピュータに他のウイルスが感染して、そのウイルスが見つかってしまうと、自分まで一緒に駆除されてしまう可能性があるので、競合するウイルスから身を守ることが目的のようです。

■気づかないまま悪用・搾取されるボットネット

見えない攻撃で感染したパソコンは、ボットネットなどに悪用されます。

ボットと呼ばれるウイルスは、感染した被害者のコンピュータを意のままに操ることを目的としたプログラムの一種で、数十?数百万台の、ボットに感染したパソコンの巨大ネットワークを形成します。ボットネットは、時間単位でレンタルされてスパムメールの配信サーバーとして悪用されたり、感染したパソコン所有者のクレジットカード情報等の個人情報を盗んだりします。

現在、このボットの被害は急激に増えています。サイバー犯罪についての情報収集を行っているボランティア組織 Shadowserver Foundation が発表したボットネットの制御用サーバーの統計によれば、この一年で、倍近くに増えていることがわかります。

※(参考)
BotnetCharts
http://www.shadowserver.org/wiki/pmwiki.php?n=Stats.BotnetCharts

ボットネットは、感染したことに気付いていないことによって成立しているものです。静かで見えない攻撃で、何も知らないうちに、いつの間にか、あなたのパソコンがボットに感染している可能性もあるのです。

ハッキリと目に見える攻撃や被害が出た場合は、問題点が明らかになり、具体的な対策を打つことができます。では、目立たず静かに進行する攻撃は、どのような対策を打てばいいのでしょうか。

■基礎対策の積み重ねが、対策の近道

たいへん残念ながら、静かな攻撃から身を守るための万能薬、特効薬はありません。基礎的なセキュリティ対策、たとえば、

・OSやソフトウェアを最新の状態にする
・アンチウイルスソフトを導入し、最新の状態にする
・パーソナルファイアウォールを有効にする
・添付ファイル付きのメールに十分注意する(セキュリティめがね 第4回
・安全なパスワードによる認証機能を利用する(セキュリティめがね 第5回

などを地道に行っていくことが、実は一番の近道です。あなたの勤める会社にも、コンピュータやネットワーク利用のルールがあることでしょう。まずは、その基本ルールを遵守するよう心がけましょう。

しかし、静かな攻撃はユーザーが気が付きにくいという特性には変わりがないため、国も積極的に対策に取り組んでいます。

総務省と経済産業省が連携するボット対策プロジェクト「サイバークリーンセンター」では、既知のボットの駆除ツール「CCCクリーナー」の無料配布を行っています。ボットの感染が心配な方は実行して検査してみましょう。

※(参考)
サイバークリーンセンター
https://www.ccc.go.jp/

セキュリティめがねTOP
第6回 心のスキと弱点を狙う! オンライン犯罪の手口
第8回 長期休暇中にやっておきたい実家・自宅のパソコン安全点検

関連キーワード:

ウィルス

サイバー犯罪

スパイウェア

ファイアウォール

ボットネット