「Webからの脅威」時代におけるウイルス情報の利用方法

 悪質かつ巧妙に進化を続けるインターネットの脅威。そんな中、我々がいまもっとも注目する脅威が「Webからの脅威」です。
 Trend Micro Security Blogにおいても、その登場当初から脅威事例を「Italian Job」として報告しています。

 「Webからの脅威」が従来の脅威と大きく違う点は、巧妙に組み合わさった攻撃が連鎖的に行われる点にあります。
 これら特徴を意識し、管理者はウイルス情報をどのように利用していけばよいのでしょうか。

「Webからの脅威」 4つの特徴

  1. HTTP経由で送られる不正プログラム
  2. 一般的に使われるWebの技術を巧妙に組み合わせて不正利用
  3. シーケンシャルな攻撃と亜種の増えるスピードの速さ
  4. ユーザの許可なく密かに不正活動を行う

 『「Webからの脅威」 4つの特徴』でもあげられている、連続性のある(シーケンシャルな)攻撃は脅威収束後のインシデント分析作業を困難なものにしています。
 これまでのインシデント分析においては、1つのウイルス情報を確認し、その振る舞いに特化して確認することで、脅威の全体像を見渡すことが可能でした。
 「Webからの脅威」型のインシデント分析においては、複数のウイルス情報を確認し、それぞれのつながりを意識しなければなりません。
 そうすることで全体の振る舞いが確認でき、脅威の全体像が見渡せます。

 よって、管理者は「Webからの脅威」型攻撃においては、ウイルス情報の相互参照性を意識して利用する必要があるといえます。
 ここでは、「Italian Job」図1の事例を相互参照性を意識し、ウイルス情報の利用を実践してみます。

イタリア攻撃


図1 2007年6月、イタリアを中心に正規のWebサイトが大規模に改ざんされる事件がありました

 今回、バラバラなウイルス情報を相互参照性を持たせて表現するための技法として、オープンソースソフトウェアの「TouchGraph LinkBrowser」(以下、TouchGraph)を使用しました。
 これはノードグラフレイアウトを閲覧、作成するためのJAVAアプレットツールです。
 日本のセキュリティ分野では既に、情報処理推進機構(IPA)が脆弱性対策情報の流通に関する研究の一環としてTouchGraphの利用が検討されています。(* 注釈1)

 この図2は「Italian Job」をノードグラフ化したものです。

「Italian Job」ノードグラフ


図2 Java アプレット(TouchGraph Link Browser)を利用し、「Italian Job」をノードグラフ化

 ウイルス名、特殊な振る舞いを「ノード」として配置しています。各ノードの色分けはテキスト形式のウイルスをオレンジ、バイナリ形式のウイルスを青、ウイルスによる振る舞いを緑に彩色しています。
 事例は各ノードにつながれた「ベクトル」の太い方から細い方へと進行していきます。各ベクトルの色分けは能動的な流れを赤、受動的な流れを青、インシデントの末端(攻撃の意図)につながる流れを緑に彩色しています。

 図2からは「HTML_IFRAME.CU」が仕掛けられたWEBページ(* 注釈2)さえ閲覧することがなければ、一連の攻撃は成立しなかったことが読み取れます。

 TouchGraphによる描画の利点は攻撃の視点を容易変更できるということにあります。

 「Italian Job」では、キーロガーによる情報搾取が企業にとって致命的な脅威の一つといえます。そこで、「キーロガーとして情報搾取」ノードを最上位に配置してみます。(図3)

「キーロガーとして情報搾取」ノードを最上位としたノードグラフ


図3 「キーロガーとして情報搾取」ノードを最上位としてノードグラフを再描画。

 同じ攻撃事例であっても、図2と図3では受ける印象が異なるのではないでしょうか。

 図3からは「情報搾取」と「活動の中継」という2つの攻撃意図がはっきりと見えるようになりました。
 また、「TROJ_SMALL.HCK」がこの攻撃事例において中心的な役割を果たしていることが見えてきたのではないでしょうか。

 このように相互参照性を意識し、視点を変えることで一つ一つのウイルス情報だけでは見えてこなかった新たな事実に気付かせてくれることがあります。

 今回の図では意味を持たせませんでしたが、「ノード間の距離」/「ノード間の角度」に意味を持たせることで、より多彩な表現力でウイルス情報を利用していくことが可能です。

 日々報告されてくる「Webからの脅威」は更に複雑さを増しています。

 時間の経過とともにWebにアップロードされているウイルスが更新され、攻撃の流れは同一だが、検出名が変わるケースなどがその一例です。
 こうなると平面的にウイルス情報を確認するだけでは、攻撃の本質を見過ごす危険性があります。
 「Webからの脅威」時代においては相互参照性を意識し、時間の流れを含む3次元でウイルス情報を利用していく必要があるといえそうです。


* 注釈1. 参考資料:JVNRSSを用いた脆弱性対策情報の流通,情報処理学会 コンピュータセキュリティ シンポジウム 2006 (Oct.25-27, 2006)

* 注釈2. Italian Jobでは、イタリアの正規のWebサイトが大規模に改ざんされました。このため、従来の疑わしいサイトは閲覧しないという利用者に対する啓蒙活動のみでは対策に限界があります。

Related posts:

  1. YouTube悪用ワーム
  2. 偽トレンドマイクロ社からのメールにご用心!
  3. 福田新首相を騙った不審なメール
  4. やっぱり狙われたバレンタインデイ