凶悪化するウイルス…脅威の実態に迫る

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

凶悪化するウイルス…脅威の実態に迫る

2011/06/07


 気がつかぬ間に企業システムに忍び込み、情報を盗み出すウイルスが増殖中だ。その特徴の1つはアンチウイルスツールの裏をかき、発見されないように工夫を凝らして作られていること。主な手口は、ユーザを騙してメールに添付したウイルスの実行ファイルやウイルス入りの文書ファイルを開かせたり、メール本文中に埋め込まれたウイルス配布用サイトのURLリンクをクリックさせたりすることだ。またそうした操作によって直接実害を及ぼすウイルスに感染させるのではなく、あとで外部からさまざまなウイルスをダウンロードできるような仕組みをシステム内に仕込むようにするところが、かつてのウイルスと違うところだ。今回は、こうした感染に気づきにくい、複合的な攻撃を行うウイルスの実態(本記事)と、その対策に役だつアンチウイルスツールの機能(第2回記事)を紹介しよう。

アンチウイルス

#028

放射線情報だと思ったらウイルスだった!複合的な攻撃の端緒はメールから

 東京にあるA社本店総務部のB氏に宛てて、A社の東北支店のC氏からのメールが入った。その標題は「支店周辺の放射線量について」。東北支店は大震災の被害が比較的少なかったものの、被災した営業所の復旧や従業員のサポートに追われる日々が続いているとB氏は聞いていた。C氏は支店の総務部で防災担当として本店との情報交換窓口になっているほか、マスメディア向けに被災関連のプレスリリース作成担当になっている人物だ。B氏は、メール発信者の名前と標題を見て重要な情報だと判断した。急いで開くと、メール本文は「詳細は添付ファイルにて」という文言だけ。「現状exe.doc」という名前のファイルが添付されていた。「.doc」はいつも使っているWordの拡張子だ。
 それを確認したB氏はためらいなく添付ファイルのアイコンをダブルクリックして内容を確認しようとした。ところがWordは起動せず、文書は開かなかった。B氏は不審に思い、C氏にメールの再送を依頼しようと電話をした。するとC氏はメールを送信した事実はないという。B氏は不安になり、情報システム部門のセキュリティ担当者に電話で相談した。
 セキュリティ担当者に言われるとおり、B氏は送信元のIPアドレスを表示してみた。それはA社とはまったく関連のないドメインからのものだった。さらに添付ファイルのプロパティを表示させると、ウィンドウタイトルには「現状ィテパロプのexe.doc」という文字が出てきた。サポート担当者は「それはウイルスの実行ファイルに間違いない」と断言した。
 実は、B氏が添付ファイルを開いた時点でB氏のPCはウイルス感染していた。さらにそのウイルスは、B氏が電話をしている間に外部サイトから別のウイルスを何種類かダウンロードしていた。そしてそのうちの1つはA社総務部門を含むLANセグメント内に感染を広め始めていた。もちろん、B氏のPCにも他の社員のPCにもアンチウイルスツールが導入済みだったが、このウイルスは検知することができなかった。
 セキュリティ担当者は総務部門にかけつけ、部門の了解を得てそのLANセグメントを他のセグメントから切り離し、電源が入っていたPC全部で一斉にウイルススキャンを行った。B氏のPCに感染したウイルスは新種であり、ウイルススキャンでは検出できなかったが、そのウイルスの機能によって外部からダウンロードされたウイルスのうちいくつかが検出され、アンチウイルスツールによって駆除することができた。またLANセグメント内に拡散した可能性のあるウイルスについてセキュリティベンダに問い合わせたところ、すでにパターンファイルへの反映作業中であり、反映前でも簡単な設定変更で影響をなくすことができることがわかった。隔離や駆除が可能なパターンファイルが間もなく提供される見込みが立ったので、とりあえず感染可能性があるPCに設定変更を施し、後日、パターンファイル更新後にウイルス駆除と設定復旧を行うことにした。
 こうしてA社は大規模なウイルス感染を防ぐことができた。しかし一連の対応で総務部門と同じLANセグメントの業務は中断し、多くの無駄を余儀なくされた。その原因は「怪しいファイル」を怪しいと見抜けなかったことにある。A社では、セキュリティ意識の一層の向上を図るとともに、アンチウイルスツールをはじめとするセキュリティツールによって、自動的に「怪しいファイル」を発見して水際でウイルス感染を防ぐ手立てを検討することにした。

(ケースファイルは複数の事例をベースにキーマンズネットが作成)




1

対策が難しい複合的な攻撃が増えている

1-1

最近の標的型攻撃メールの特徴は?

 ケースファイルのように、実在の送信元の人物やメールアドレスを詐称して添付ファイルを開かせる「標的型攻撃メール」は、このところ最も警戒すべき脅威の1つになっている。このような攻撃で特徴的なのは、次のようなポイントだ。

標的型攻撃メールの特徴

(1)

大規模感染を狙っておらず、少ない攻撃対象に向けて作られたウイルスが使われるため、アンチウイルスツールのパターンマッチングでは検出できないことがある。

(2)

攻撃対象の個人や組織に警戒心を起こさせないように、送信元を詐称する。

(3)

可能なかぎり攻撃対象の興味をそそる標題をつけ、本文内容もそれに準じたものを用意する。

(4)

添付されているファイルの拡張子は「.doc」や「.pdf」など一般的なオフィスアプリケーションの文書ファイルの拡張子を持っている(「.exe」などの実行形式ファイルの拡張子ではない)。

(5)

添付ファイルがない場合は、ウイルス感染を狙う悪意あるサイトへのリンクが埋め込まれている。

(6)

普及率の高いアプリケーションの脆弱性を利用して感染や情報詐取を行うものが多く、セキュリティパッチ公開前に感染すること(ゼロデイ攻撃)も少なくない。

(7)

感染すると、ユーザが気づかないように外部サイトとの通信ができる仕組み(バックドア)を作り、さまざまな機能を持つ別のウイルスを外部からダウンロードしたり、PCをリモートコントロールしたりできるようにするものが多い。

セキュリティ情報局にご登録頂いた方限定で「凶悪化するウイルス…脅威の実態に迫る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

アンチウイルス/凶悪化するウイルス…脅威の実態に迫る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「アンチウイルス」関連情報をランダムに表示しています。

アンチウイルス」関連の製品

情報セキュリティSDK CYREN 【Jiransoft Japan】 あと3年もないWindows 7サポート終了、Windows 10移行時の課題とは? 【ヴイエムウェア株式会社】 CLEARSWIFT SECURE Email Gateway 【日立ソリューションズ】
アンチウイルス 統合運用管理 メールセキュリティ
多数のグローバル企業で導入されている、アンチスパム、アンチマルウェア、URLフィルタリング、IPレピュテーションなどのセキュリティ機能を利用するための開発キット。 あと3年もないWindows 7サポート終了、Windows 10移行時の課題とは? 送信メールの本文や添付ファイルの内容から機密情報の有無をチェック。
ウイルス、スパム、暗号化といったメールセキュリティに関する機能もまとめて提供。

アンチウイルス」関連の特集


インターネットからの脅威に対抗する「アンチウイルスソフト」。ウイルスの検出から除去までをアニメでじっ…



 情報セキュリティの地図を作る現代の“伊能忠敬”達の取り組みの軌跡とその取り組みを通して情報セキュリ…



 2011年4月、JNSAスマートフォン活用セキュリティポリシーガイドライン策定WGは“世の中にいち…


アンチウイルス」関連のセミナー

マルウェア対策アプライアンス FireEye ご紹介セミナー 【日立ソリューションズ】  

開催日 8月2日(水)   開催地 大阪府   参加費 無料

サイバー攻撃は高度化・巧妙化しており、標的型攻撃で使用されるマルウェアは一般的なウイルス対策ソフトなどでは、感染を防ぐことが難しくなっています。 標的型攻撃から…

AIアンチウイルスCylancePROTECT(R)徹底解説セミナー 【テクマトリックス】  

開催日 8月9日(水)   開催地 東京都   参加費 無料

6月に開催されたInterop Tokyo 2017で、約3000人が目の当たりにしたAIアンチウイルスCylancePROTECTと既存アンチウイルスの検知比…

ハンズオンで学ぶ!未知の脅威対策 【エムオーテックス】  

開催日 8月22日(火),9月15日(金)   開催地 東京都   参加費 無料

機械学習の活用で未知の脅威を検知し、セキュリティ強化を実現する「プロテクトキャット Powered by Cylance」をハンズオン形式で体験できるセミナーで…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30004083


IT・IT製品TOP > エンドポイントセキュリティ > アンチウイルス > アンチウイルスのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ