■ワンクリウェア対策の問題と今後の見通し
ワンクリ被害が残念ながら後を絶たない状態でいることはあらためて説明するまでもないでしょう。試しに、Web検索サイト「ワンクリウェア」というキーワードで検索してみてください。例えば Google で検索すると、2012年1月8日現在で 100万件以上の Webサイトがヒットします。このような状況に陥っている原因の一つは、ウイルス対策ソフトでの検出を逃れるようワンクリウェアのファイルの中身を変更することが容易であることです。ウイルス対策ソフトの検出状況を確認してダウンロードさせるプログラムを随時変更できる状況下では、「いたちごっこ」で常に先手を取られるため、ファイルごとにパターンを作成して随時検出対応するパターンマッチング技術のみに頼った旧来型のウイルス対策ソフトでは、効果的に対策することが困難だと言わざるを得ません。つまり、昨今注目されている標的型攻撃と同じように、攻撃者に圧倒的に有利な状況なのです。もちろん、レピュテーションやクラウドなどを利用した新しい対策技術を用いることで状況は改善できますが、そもそも「いたちごっこ」の状況に終止符を打つ根本的な解決策はないのでしょうか。その根本的解決策の一つが、新しいワンクリウェアが生み出されないようにすることでしょう。今後も攻撃者の検挙が進むことが新たな攻撃発生の抑止力となり、日本特有の脅威であるワンクリウェア問題が解消していくことを期待します。トレンドマイクロはカンパニービジョンである「デジタル情報を安全に交換できる世界」の実現にこれからも取り組んで参ります。

報道によると、2011年7月17日に警視庁が岐阜県に在住する男性を、コンピュータウイルス（不正プログラム）を使用目的で保管していた容疑で逮捕しました。この男性が作成した不正プログラムはファイル共有ソフト「Share」を通じて感染するもので、児童ポルノを思わせるタイトルをつけて流通させ、感染した PC を最終的に利用不能にするものとみられています。

■攻撃の目的は「ファイル共有ソフトのユーザを懲らしめるため」
事件は、容疑者がファイル共有ソフトへ著作権を侵害するコンテンツをアップロードしていた事実を確認するために家宅捜索を行った際に、当該の不正プログラムが見つかったことで発覚しました。不正プログラムの作成自体は法律が成立する前であるため、「作成」ではなく「保管」で逮捕されたものと考えられます。

容疑者はファイル共有ソフト上で児童ポルノのコンテンツをやり取りしているようなユーザを懲らしめるために不正プログラムを作成したと供述しているようですが、先般東京地裁で実刑判決がくだった「タコイカウイルス」の作者も逮捕時に同様の供述をしていた点は記憶に新しいところです。

トレンドマイクロが発表した「インターネット脅威マンスリーレポート【2011年上半期・6月度】」の日本国内における不正プログラム検出数ランキングでは、ファイル共有ソフト経由で感染を拡大する「WORM_ANTINNY」ファミリーが上位10種中3種を占めるなど、日本国内では未だにファイル共有ソフトを利用して不正プログラム感染の危機に瀕しているユーザが多数存在する状況が伺えます。

■ファイル共有ソフトは利用しないことも含め環境の見直しを
P2P技術を用いたファイル共有ソフトの技術それ自体はユーザに取って利用価値が高いものであるため一方的に悪と決め付けることは難しいですが、残念ながら現在の「Winny」「Share」などのファイル共有ソフトのネットワーク上は著作権を侵害するなど違法コンテンツや不正プログラムに満ち溢れてしまっています。

安全なインターネット利用を行うために、ファイル共有ソフトは使用しない・させないことも含め利用を再検討するとともに、パソコンを最新の状態になっているか、セキュリティソフトを適切に使用できているかなど、改めてご自身の環境を確認して下さい。

2009年に「Winny」や「Share」などのファイル共有ソフト利用者の間で話題になった通称「タコイカウイルス（イカタコウイルス）」。その動きは以下のとおりです。

1. アニメなどの動画に偽装したファイル名、アイコンのファイルをユーザがファイル共有ソフト経由でダウンロード
2. ファイルを実行するとタコやイカのアニメ動画が流れる（図1参照）
3. 背後でPC内のファイルをすべてタコやイカの画像に置き換える（図2参照）
4. PCの起動に必要なファイルまでも削除してしまうためPCが利用不能になる

図1：ウイルスを実行すると始まる画面

図2：魚介類の画像ファイルに置き換わったスタートメニューフォルダ

感染させてユーザを困らせるという愉快犯型不正プログラムの典型例ですが、2010年8月にこの「タコイカウイルス」を作成し、ユーザのパソコンを使用不能にしたとして器物損壊の容疑で作者が逮捕されました。

■器物損壊容疑による逮捕の背景
本日7月20日の判決はその逮捕容疑に関する第一審の判決だったわけですが、そもそもどうして容疑者は「器物損壊容疑」で逮捕されたのでしょうか？

以前にも本ブログで紹介したとおり、日本では不正プログラムの所持や作成を取り締まる法整備がなされていませんでした。そのため、不正プログラムの作者が明らかになったとしても立件するためには具体的な損害や犯罪の故意性といったものの立証が必要だったのです。

2008年に、これまたファイル共有ソフト経由で感染する通称「原田ウイルス」を作成したとして関西の大学院生（当時）が逮捕されましたが、このときにも実在するアニメの画像を勝手に利用した著作権法違反と実在の知人の写真などを勝手に利用した名誉毀損によって逮捕・起訴され、執行猶予付きの有罪判決が下っています。

そして実は「タコイカウイルス」作者はこのときに執行猶予付きの判決を受けた人と同一人物だったのですが、前回の罪状が著作権法違反などであったため、今回は同じ罪に問われないようにタコやイカなどの画像（図3参照）を本人が作成したと供述しています。

図3：上書きに使われる画像例

■2011年7月14日、「ウイルス作成罪」施行
今回の裁判では器物損壊罪に該当するかどうかが争点となりましたが、2011年6月に衆院本会議で可決・成立した通称「サイバー刑法」によって、7月14日よりすでに「ウイルス作成罪」の適用が開始できる状態になっています。適用の対象や犯罪の故意性などについては様々な議論がありますが、安全なインターネット利用に向けた環境整備のためには重要な一歩と言えるでしょう。

これまで日本国内では悪意を持った形で不正プログラムを作成、保存すること自体は刑法で罰することができませんでした。その例として、2008年に「原田ウイルス」と呼ばれる不正プログラムの作者は、使用したテレビアニメーションの画像についての著作権侵害と友人の個人情報や写真を使用した名誉棄損で有罪となりました。また、同じ人物が執行猶予期間中に作成した「タコイカウイルス」については、被害者のパソコンのハードディスクを使用不能にしてしまうことから器物損壊の容疑で2010年に逮捕されています。

今回の刑法改正案可決、成立によって、このような悪意を持った形で不正プログラムを作成、保存すること自体を直接的に罰することが可能になります。

サイバー刑法では、悪意を持った形でウイルスを作成、使用した場合には3年以下の懲役または50万円以下の罰金、そして所持、保管した場合は2年以下の懲役または30万円以下の罰金が科せられることになります。

国内での取り締まりの強化はもちろんですが、2001年に欧州評議会で採択され日本も署名をしている「サイバー犯罪に関する条約」など、サイバー犯罪への今後の国際協調に向けても日本国内の体制も強化されていることを意味しています。

セキュリティベンダであるトレンドマイクロとしては、近年頻発しているサイバー犯罪に対する国家的な取り組みの一つとして評価できるものです。悪意を持った形で不正プログラムを作成、使用したり、あるいは所持、保管しただけでも犯罪である、ということを一般的に浸透させることができるだけでなく、今後も続発するであろう様々なサイバー犯罪を取り締まる上での大きなステップとなることでしょう。

参考：法務省「情報処理の高度化等に対処するための刑法等の一部を改正する法律案」
　　　http://www.moj.go.jp/keiji1/keiji12_00025.html

この脆弱性を悪用する不正プログラムを、トレンドマイクロ製品では「TROJ_TARODROP.KO」として検出します。「TROJ_TARODROP.KO」に感染したパソコンには、「BKDR_AGENT.MSC」がインストールされます。

「BKDR_AGENT.MSC」は、ユーザのキー入力を監視・記録するキーロガーなどの機能を備えています。

一太郎の脆弱性を狙った過去の攻撃は、メールに不正プログラムを添付し、特定の組織・特定の人物に送りつけるような標的型攻撃に利用されています。このことから、今回の「TROJ_TARODROP.KO」についても、メールを介した侵入に特に警戒が必要です。

• 「一太郎」の新たなゼロデイ攻撃確認　情報収集が目的か？
  　http://blog.trendmicro.co.jp/archives/3736
• 一太郎のゼロデイ脆弱性、再び狙われる！
  　http://blog.trendmicro.co.jp/archives/3546
• 人気日本語ワーブロソフトのゼロデイ脆弱性が標的型攻撃の対象に！
  　http://blog.trendmicro.co.jp/archives/3455

■感染の流れ

1. 脆弱性のあるパソコンで「TROJ_TARODROP.KO」のファイルを開くと、”%temp%\scvhost.exe（「BKDR_AGENT.JGE」として検出）” が作成されます。このとき、ユーザには無害なファイルが開いたように見せかけます。
2. 作成された “scvhost.exe” は別の不正プログラム “KB0107e6f5.dll（「BKDR_AGENT.MSC」として検出）” を作成・実行し、その後削除されます。
3. “KB0107e6f5.dll” は、自身が OS 起動時に実行されるようレジストリを作成します。

■対策
ジャストシステムは、2011年6月16日、同社 Webサイトにおいて、今回の脆弱性に対応するためのアップデートモジュールを公開しました。

トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network（SPN）」のファイルレピュテーション技術により、「TROJ_TARODROP.KO」「BKDR_AGENT.JGE」「BKDR_AGENT.MSC」を検出および削除し、これらの脅威から守られます。

　調査協力：吉川 孝志（リージョナルトレンドラボ）

【更新情報】

■東北地方太平洋沖地震に便乗した不正プログラム添付メールを確認
震災発生後、複数の法人のお客様より、以下のような文字が含まれるファイルがメールで送られてきたという報告がリージョナルトレンドラボに届きました。

• 地震
• 津波
• 原発
• 節電
• 家族安否

これらのファイルの拡張子は「exe」「scr」「doc」「xls」でした。

メールの件名、本文は日本語で書かれており、メールの送信者を関連団体や同じ組織の所属員に偽装している事例も確認しています。

このように関心の高いファイル名を用いたり、送信者を偽装し不正プログラムに感染させようとする、いわゆるソーシャルエンジニアリングという手法は昨今のサイバー犯罪者の常套手段になっています。

■Adobe製品の未修正の脆弱性を悪用した事例を確認
加えて、今回の攻撃の中には Adobe製品の未修正の脆弱性を悪用した事例も確認しています。

攻撃の流れは以下の通りです（下図参照）。

図：攻撃の概要

攻撃者の意図は明らかではありませんが、感染した PC から何らかの情報を不正に入手しようとしていると考えられます。

本攻撃で悪用されているAdobe製品の脆弱性に対する修正パッチの配信予定は3月21日であり（一部は 6月になる見込み）、いわゆる「ゼロデイ攻撃」の状態にあります。

震災に関する多くの情報がメール等を通じて交わされていますが、いつも以上に、

• メールの送信元を確認し、不審な場合は開封しない
• 添付ファイルも不審な点がある場合は開かず、周囲に相談する

といった心がけを徹底ください。

参考情報：
トレンドマイクロ　セキュリティブログ　：「Adobeのゼロデイ脆弱性を悪用するExcelファイルを確認！」
　http://blog.trendmicro.co.jp/archives/3996

トレンドマイクロは、全世界の脅威情報を集約して対策技術を提供する「TrendLabs（トレンドラボ）」と、地域に密着して脅威情報の収集を行うリージョナルトレンドラボを計12ヶ所に設置し、24時間体制でインターネットの脅威動向を監視しています。

2007年に東京本社内で稼働開始した日本のリージョナルトレンドラボでは、2011年2月に新たな不正プログラムの検体を確認しました。特徴的な日本語の警告画面が出るこの不正プログラムを今日は画像を交えて解説してみましょう。

■「Skype」を装ったアイコンで侵入
「SkypeStartUp0.exe」というファイル名で、インターネット電話ツールの「Skype」のインストールモジュールを装って PC内に侵入します（図1参照）。侵入経路は Webサイトからのダウンロード、もしくは感染ユーザによるメール添付による配布などが考えられます。

このモジュールをユーザが実行すると、「起動中」というタイトルで図2 のような脅迫文が表示されます。

図1：「Skype」を装ったアイコン

図2：表示される脅迫文

脅迫文の横に表示されているのは実在する Webサイトへのリンクであり、ユーザにクリックさせることで最終的にはアフィリエイト収入を得ることを目的にしていると推測されます。

ユーザが「閉じる」ボタンをクリックし閉じようとすると、図3 のように「本当の本当に閉じるの？」というメッセージが表示されます。

図3：閉じようとすると表示される画面

そして「はい」「いいえ」のいずれを押してもウィンドウは閉じられますが、プロセスは常駐していることを確認しました。

しかし、多くの不正プログラムに見られるスタートアップへの登録やファイルの作成、レジストリの変更といった活動は行わず、再起動すると終了します。

つまり、脅迫しているようにデータの削除や個人情報の公開といった不正活動は行われません。

■「Yahoo!」を装ったアイコンで侵入する事例も確認
また、同時期に類似した不正プログラムを確認しました。

こちらは大手ポータルサイト「Yahoo!」のメールサービス「Yahoo!メール」用のアプリケーションを思わせるファイル名「YahooMail0.exe」という名称で侵入します（図4参照）。

図4：「Yahoo!」を装ったアイコン

このアイコンをユーザが実行すると、「しばらくお待ちください」という画面を表示、ウィンドウ内では外部のサイトへ接続し、広告を表示します（図5参照）。

図5：表示された広告画面

こちらは先ほどの「Skype」のように脅迫文を表示しませんが、閉じようとすると図6 のように「本当に閉じますか？」という画面が表示され、「はい」「いいえ」どちらを選んでもウィンドウが閉じ、プロセスは常駐したまま残る、ファイル作成やレジストリ作成は行わない、という活動は共通しています。

図6：閉じようとすると表示される画面

これらの不正プログラムは、それぞれ閉じる際に表示される警告画面のタイトルに出ている「TTSneo」という名称の、日本語で簡単にプログラムが作成できるプログラミング言語によって作成されていると考えられます（TTSneo自体は不正な目的で作成されているものではなく、”TTSneoを使用して作成されたプログラム＝危険性を含む”、ということではありません）。

リージョナルトレンドラボによる解析では、作者のプログラミング能力はさほど高くないと推測されますが、最終的にアフィリエイトサイトへ誘導している点から金銭的な利得を目的としている点は明らかで、今後、より巧妙なプログラムが登場する可能性も否定しきれません。

トレンドマイクロ製品ではこれらの不正プログラムを「TROJ_VB.IAS」として検出対応しており、「Trend Micro Smart Protection Network」の「スマートフィードバック」では 2011年2月以降、日本国内で 20件の検出を確認しています。新種の不正プログラムなどによって同様の事態が発生した場合は、偽セキュリティソフトなどと同様に、焦らず落ち着いて対処してください。

【追記】

■接続先 C&Cサーバ名の生成

最近解析したマルウェア「BKDR_MOTHAK.A」は、C&Cサーバとの通信に HTTPプロトコルの GET および POSTメソッドを使用していました。感染端末から直接アクセスできない場合には、Internet Explorer または Firefox に設定されているプロキシ情報を取得して使用します。また、送受信するデータは暗号化されています。と、ここまでは従来から存在する「HTTP BOT」と大きな違いはありません。今回注目したいのは、接続先の C&Cサーバ名です。コードを一見すると、「f19d＜省略＞bdf2.cn」というハードコードされた（プログラム中にそのまま書かれた）名前を固定で使用しているように見えます（図1参照）。

図１

しかし実際は、接続に失敗すると接続先 C&Cサーバ名を生成する仕組みを備えているのです。この接続先サーバ名を生成するコードは次のようになっています（図2参照）。

図２

　このコードだけでは見えていない部分もあるので解説すると、仕組みはこうです。

1. 「domain_name（初期値：”domainm”）」の文字列の最後尾に「domain_start（初期値：0）」をインクリメント（1増加）して得た数字を繋げて文字列を生成する。
   （例：”domainm1″）
2. 1. で生成した文字列を基にして 16バイトの値を算出する。
   （例：89 E3 AA EC C2 BA 17 34 37 DF 44 21 36 62 07 04）
3. 2. で生成した値の先頭 8バイトの 1バイト毎を 16進値として文字列に変換する。
   （例：”89e3＜省略＞1734″）
4. 3. で生成した文字列に「.net」または「.cn」を順番に付加してドメイン名を生成する。
   （例：”89e3＜省略＞1734.net”）
5. 接続先ドメイン名を変えての再試行の回数が「domain_max（初期値：100）」を超えたら、「domain_start」を初期値に戻して 1. から繰り返す。

つまり、「domainm1」「domainm2」「domainm3」・・・、と順に繰り返し「domainm100」までドメイン名の基となる文字列を生成するのです。そして、実際のドメイン名はこの生成した文字列を基に算出した値の文字列に「.cn」または「.net」を順に付加して生成しているのです。

■生成されたドメイン名の登録状況

生成されたドメイン名のホストに接続するためには、当然ながら DNS の仕組みに則ってあらかじめそのドメイン名が DNS に登録され名前解決できる必要があります。そこで先ほど解説したアルゴリズムで生成される可能性のある名前（「domainm0」～「domainm100」）に対して、DNS の登録状況を調べてみました（図3参照）。

図３

結果としては、「domainm0」から「domainm2」までは登録がありましたが、「domainm3」以降は登録がありませんでした。登録がある IPアドレスはまだ接続可能な状態だったので、「domainm3」以降はまだ使う必要がなくただ予備として確保してあるような状況と言えるでしょうか。また、この登録状況を見ると、登録されているドメインの登録有効期限がすべて 2010年11月19日になっていることに気付かれるかと思います。実はこれを調査したのは 11月の初めでしたが、登録有効期限を迎えてどうなったかというと、すべて 2011年11月19日まで一年間更新されていました。このような不正な目的で利用されるドメイン名はすぐに利用されなくなり代わって新しい名前が使われることが多いですが、攻撃者はこれらのドメイン名をもうしばらく使い続けるつもりのようです。ところで、この表の中の「domainm0」の場合に生成されるドメイン名を見てください。この名前は実はハードコードされ最初に必ず利用する名前「f19d＜省略＞bdf2.cn」と同じになっています。それにもかかわらず一つだけハードコードもされているのは、解析者に対して接続先がこのドメイン名のみだと思わせようとするマルウェア作者の意図があるのかもしれません。

■INIファイルの存在

このドメイン名生成のアルゴリズムの中には「domain_name」「domain_start」「domain_max」といった名前が出てきました。実はこのマルウェアは、ここで使用する値の内容を外部ファイルから読み込む仕組みを備えています。一般に「INIファイル」と呼ばれている仕組みと同様です。このマルウェアが作成する INIファイル”msftcore.dat” の最初の状態は次のようになっています（図4参照）。

図４

INIファイルが用意されているということは、そこで指定可能な設定項目の内容を簡単にカスタマイズできることを意味しています。つまり攻撃者には、接続先を図3 に挙げたドメイン名以外に変えることも簡単にできてしまうのです。

さて、今回見てきた接続先ドメイン名生成の仕組み自体は、新しいものではありません。このような仕組みは「Domain Generation Algorithm（DGA）」と呼ばれており、多くの被害を及ぼしたワーム「WORM_DOWNAD（別名：Conficker）」が用いることで有名になりましたし、最近でも ボットネット「ZeuS」（関連不正プログラム「TSPY_ZBOT」など）と関連して動作する「PE_LICAT」が利用することが分かっています（※１）。では攻撃者がこの DGA の仕組みを用いる理由は何でしょうか。それは明らかに URLフィルタリングへの対策でしょう。ファイル検索のみによらないマルウェア対策の代表的な手法として、マルウェアに関連する通信を検知してブロックする手法がありますが、その最も基本的な方法はマルウェアが行うと分かっている特定の URL への接続をブロックすることです。しかし DGA が用いられ、生成アルゴリズムもカスタマイズできてしまうことから、従来行われてきた不正URL のブラックリスト化だけでは完全な対策にならないことは明らかです。このような状況に対応するには、今回のような解析を通して生成アルゴリズムを明らかにし URLブラックリストの精度を可能な限り高めること、そして接続先URL が安全かどうかを総合的に判断する「Webレピュテーション」技術を導入することが必要になるでしょう。そして一つの技術では完全には防げない可能性を考え、様々な対策手法を併用して総合的に防御力を高める「多層防御」を行うことが肝要と言えそうです。

■参考■
※１：「ZeuS, Still a Threat; Now Also Spreading Through LICAT」（英語情報）

■「Th[u]s program cannot be run in DOS mode.」

「This program cannot be run in DOS mode.」

これを見てピンと来る方は、MS-DOS を使用したことがある昔からの PCユーザーの方か、リバースエンジニアの方でしょうか。リバースエンジニアであれば必ず知っているだろうこの有名な文字列は、Windows用実行ファイル（PEファイル）を誤って MS-DOS上で実行してしまった場合に表示されるメッセージです。PEファイルには（ほぼ）必ず含まれているので、拡張子が「EXE」などの PEファイルをテキストエディタで開くと、先頭付近で目にすることができるはずです。試しに Windows標準の電卓プログラム “calc.exe” をメモ帳で開くと次のように見えます（図１参照）。

図１

　この文字列は、次のようなこのメッセージを表示して終了するだけの小さなプログラムで利用されています（図２参照）。

図２

　ところが今回解析した「ダウンローダ」に分類できるマルウェア「TROJ_CUTWAIL.SML」がダウンロードした実行ファイルデータでは、この部分の文字列が次のようになっていました（図３参照）。

図３

　違いがお分かりでしょうか。そう、「This」の「i」の部分が「u」になっているのです。これはなぜでしょうか？　この謎の答えはこのマルウェアのコードを見てみるとわかります（図４参照）。

図４

　解説すると、このコードからは、このファンクション「FUNC_ExecuteDownloadedData」（解析ツール上で勝手に命名した名前です）で、ダウンロードした実行ファイルデータの 80（0×50）バイト目の文字が「i」以外であるか、ファイル中に「0×98899889」というデータを含む場合に、ダウンロードした実行ファイルデータを “svchost.exe” にインジェクションして実行する、そうでない場合はテンポラリフォルダにファイルとして作成してから実行する、ということがわかります。つまり、「This」の「i」の部分を、ダウンロードしたファイルの実行方法を示すフラグとして利用しているのです。結果として、先ほどお見せした実行ファイルデータでは、ダウンロードされたデータはファイルとしては作成されず、新たに作成された正規プロセス “svchost.exe” に直接インジェクションされて実行されることになります。

■「Thi[z] program cannot be run in DOS mode.」

このマルウェアは、この文字列を別のフラグとしても利用しています。次のコードを見てください（図５参照）。

図５

　このコードでは、ダウンロードした実行ファイルデータの81（0×51）バイト目の文字が「z」であるかどうかを調べ、その結果をあるフラグにセットしています。そしてフラグが立っている場合（「z」であった場合）は、以前に実行したプロセスが実行中か（OpenProcess API でオープンできるか）を調べ、実行状態にない場合（オープンできない場合）はその実行ファイルデータを再度実行します。つまり、「This」の「s」の部分を、ダウンロードしたファイルの常時起動要否を示すフラグとして利用しているのです。

■だから、なに？

　このように文字列の一部を改変してもプログラムの動作に影響はないのでしょうか？　結論から述べると影響はありません。Windows上でPEファイルを実行しても MS-DOSスタブプログラムは利用される領域ではないので、本来のプログラムの動作への影響はありません。仮に MS-DOS環境で実行すると改変後の文字列が表示されますが、特にエラー発生するといった支障があるわけでもありません。ではこのように MS-DOSスタブ内の文字列を改変してフラグとして利用しているという事実から我々は何を学ぶことができるのでしょうか。これも結論から述べると、特に新しい学びはなさそうです。このことがすぐに新しいマルウェア検知手法の開発や解析の効率化に結びつくわけではありません。またこのような未使用領域など動作に影響のない部分を改変して意味を持たせる手法自体も、ファイル感染型ウイルスがマーカー（感染済みであることを示す印）として利用するなど、特別に新しいことではありません。現時点では「だから、なに？」と聞かれると、返す言葉は思いつきません。強いて言うなら、「なぜこのようにしたのか」というところから、マルウェア作者のプロファイリングにつながる可能性が考えられる程度でしょうか。

リバースエンジニアの「虫の目」で見えている世界を感じていただけたでしょうか。このように何となく興味がそそられるけれど、わざわざ話しても「フーン」で終わってしまうような発見が、コードを眺めているとたくさんあります。そしてそのさほど重要ではないと思えた発見が、別々のマルウェア同士のつながりを感じさせたり、思わぬ大発見につながる…ことを期待して今日も丹念にコードを眺めています。エンジニアの脳というコンピュータにたくさんのデータをインプットしておけば、いつか「ひらめき」を生み出す、はず？　脳内蓄積されたデータから生み出した大発見をブログで報告できる日が来ることを願っています。

]]> http://blog.trendmicro.co.jp/archives/3751/feed 0 http://blog.trendmicro.co.jp/archives/3741 http://blog.trendmicro.co.jp/archives/3741#comments Fri, 05 Nov 2010 07:11:39 +0000 マーケティングスペシャリスト　内田　大介 http://blog.trendmicro.co.jp/?p=3741

先月より開始した「インターネット脅威レポート」の解説。10月のトピックからいくつかご紹介するとともに、10月下旬より確認されている新たな Adobe の脆弱性に関しても注意喚起致します。

2010年10月は正規サイトの改ざんがきっかけと見られる通称「mstmp」が猛威をふるった1ヶ月だったといえるでしょう。すでに本ブログでも解析者から注意喚起と解析結果を紹介していますので、今回は少し別の視点で見てみましょう。

• インターネット脅威レポート 2010年10月
• トレンドマイクロ・セキュリティブログ「国内100社以上で感染被害を確認。”mstmp”"lib.dll”のファイル名で拡散する不正プログラム」
• トレンドマイクロ・セキュリティブログ「アフィリエイトによる金銭取得が目的か!? －“mstmp””lib.dll”攻撃続報」

■「ガンブラー」攻撃との類似点

2010年初頭から世間をにぎわせたいわゆる「ガンブラー」攻撃と、今回の一連の「mstmp」攻撃とも言うべきインシデントについて、これまでお客様から

「これは、”ガンブラー” とは何がどう違うのですか？」

というご質問を何度か頂きました。

「ガンブラー」に関する定義や理解といった前提条件に多かれ少なかれ不一致が存在している現状において、どこが同じで、どこが違う、という説明は正直難しいところもあるのですが、

• 「正規サイト」を感染の端緒としている
• ソフトウェアの脆弱性を悪用している
• 偽セキュリティソフトなど、金銭的な利得を目的としている

という3点においては、世間で俗称されている「ガンブラー」とは同じ特徴を持つといえます。

もとより、解析者の視点では「ガンブラー」についてもその特徴や利用される不正プログラムの種類から、攻撃の種類を複数に分類できますが、その点から言えば今回の攻撃を新手の「ガンブラー」と分類するのもあながち間違いではないと言えるのではないでしょうか。

しかし、トレンドマイクロがこれまで各所でお伝えしているとおり、脅威動向は常に変化を続けており、導入すべき対策も常に見直しが求められています。「自分のところはすでに対策しているから大丈夫」と思ってしまいがちですが、その根拠の無い自信は一度リセットいただかなければならない時代がすでに到来しているのです。

■日本を標的か！？　Adobe製品の脆弱性を標的としたゼロデイ攻撃

さて、不正プログラムへの感染報告という点ではまだ被害は限定的であるため「インターネット脅威レポート」では言及しておりませんが、10月下旬より Adobe製品に存在する未修正の脆弱性を悪用したゼロデイ攻撃が発生しています。現時点で判明している事実を簡単にご紹介するとともに、注意喚起致します。

１）攻撃の概要

• Adobe：セキュリティアドバイザリ（2010年10月28日公開、英語情報）
  http://www.adobe.com/support/security/advisories/apsa10-05.html

  ※同社からのアドバイザリによると、この脆弱性に対応する Adobe Reader および Acrobat に対する修正パッチの提供は、日本時間で11月15日の週を予定しているため、この間、「ゼロデイ攻撃」の状態にあります。 なお、Flash Playerに関しては日本時間5日にパッチが提供されました。

• Adobe：セキュリティアドバイザリ（2010年11月4日公開、英語情報）
  http://www.adobe.com/support/security/bulletins/apsb10-26.html

トレンドマイクロで確認している攻撃例は、以下の通りです。

1. 日本語の件名（「住民税還付 還付追加―総務省」など）で PDFファイル（ファイル名”追加項目.pdf”）を添付したメールが届く。
2. ユーザがメールに添付された “追加項目.pdf” を開く。
3. 無害な PDFファイル”追加項目.pdf” が開かれるとともに、Adobe の脆弱性が悪用され不正プログラムが作成される（ファイル名”adobeupdate.exe” “bsunday.dll”）。
4. 作成された不正プログラムが外部のサイト（https://＜省略＞rty.com/as＜省略＞ut.asp）と通信を行い、以下のようなバックドア活動を実行する。
   • 任意のプログラムの実行
   • 任意のプログラムの停止
   • 起動しているプロセスの一覧の取得
   • 再起動

図1：実際に送信されたメールの画像

図2：攻撃の流れ

２）被害状況と対策状況

本ブログを執筆している11月5日時点では関連不正プログラムの検出報告数は数件にとどまりますが、この攻撃に関連していると推測される迷惑メールを受信したという報告を国内の複数の企業から受けています。日本語のメールで送信されている点から、日本を標的としたターゲット攻撃であるという事実は明白と言えるでしょう。

トレンドマイクロ製品では、本攻撃に対し以下の通り対応しています。

「ウイルスバスター2011 クラウド」や「ウイルスバスター コーポレートエディション」「ビジネスセキュリティ」の最新バージョンに搭載されている「不正変更の監視機能」においては、添付された PDFファイルを開くタイミングなどで起動を止め、ファイルの実行をブロックします。

また、「Webレピュテーション」技術を実装しているトレンドマイクロ製品をいただいているお客様においては、「TROJ_AGENT.ATML」が不正なコマンドを受け取るために通信するサーバへの接続をブロックできていたことが明らかになっています。

３）対策とアドバイス

脆弱性を標的とした攻撃への最善策は対応パッチを適用することですが、現時点では Adobe からすべてのパッチは提供されていません（Flash Player のみ日本時間11月5日に提供済み）。トレンドマイクロでは「仮想パッチ」のソリューションも提供していますが、本攻撃に関しては Adobe から推奨されている回避策が有効であることを確認しています。

• APSA10-05：Flash Player、Adobe Reader および Acrobat に関するセキュリティ情報
  http://kb2.adobe.com/jp/cps/877/cpsid_87720.html

これらの対策の実施をご検討いただくとともに、以下のような対策もあわせてご確認ください。

• すでに修正パッチが提供されている既知の脆弱性へ修正パッチを適用する
• 「Webレピュテーション」技術など脅威の侵入を事前に防御する機能が実装されたセキュリティ製品を使用する
• 導入しているセキュリティ製品は、最新の状態で使用する

■2010年11月の脅威予想

期せずして今月も脆弱性の話題が中心になりました。

インターネット脅威レポートのランキングにおいて、「mstmp」攻撃関連以外では「WORM_DOWNAD」が3位に入っており、不正プログラムは脆弱性を何らかの形で悪用するという攻撃手法が主流となっており、この傾向は当面継続するものと考えられます。

ご自身所有の PC と組織内の PC を最新の状態で使用することがなによりの対策となりますので、セキュリティレベル向上のために今一度ご確認ください。