凶悪化するウイルス…脅威の実態に迫る

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

凶悪化するウイルス…脅威の実態に迫る

2011/06/07


 気がつかぬ間に企業システムに忍び込み、情報を盗み出すウイルスが増殖中だ。その特徴の1つはアンチウイルスツールの裏をかき、発見されないように工夫を凝らして作られていること。主な手口は、ユーザを騙してメールに添付したウイルスの実行ファイルやウイルス入りの文書ファイルを開かせたり、メール本文中に埋め込まれたウイルス配布用サイトのURLリンクをクリックさせたりすることだ。またそうした操作によって直接実害を及ぼすウイルスに感染させるのではなく、あとで外部からさまざまなウイルスをダウンロードできるような仕組みをシステム内に仕込むようにするところが、かつてのウイルスと違うところだ。今回は、こうした感染に気づきにくい、複合的な攻撃を行うウイルスの実態(本記事)と、その対策に役だつアンチウイルスツールの機能(第2回記事)を紹介しよう。

アンチウイルス

#028

放射線情報だと思ったらウイルスだった!複合的な攻撃の端緒はメールから

 東京にあるA社本店総務部のB氏に宛てて、A社の東北支店のC氏からのメールが入った。その標題は「支店周辺の放射線量について」。東北支店は大震災の被害が比較的少なかったものの、被災した営業所の復旧や従業員のサポートに追われる日々が続いているとB氏は聞いていた。C氏は支店の総務部で防災担当として本店との情報交換窓口になっているほか、マスメディア向けに被災関連のプレスリリース作成担当になっている人物だ。B氏は、メール発信者の名前と標題を見て重要な情報だと判断した。急いで開くと、メール本文は「詳細は添付ファイルにて」という文言だけ。「現状exe.doc」という名前のファイルが添付されていた。「.doc」はいつも使っているWordの拡張子だ。
 それを確認したB氏はためらいなく添付ファイルのアイコンをダブルクリックして内容を確認しようとした。ところがWordは起動せず、文書は開かなかった。B氏は不審に思い、C氏にメールの再送を依頼しようと電話をした。するとC氏はメールを送信した事実はないという。B氏は不安になり、情報システム部門のセキュリティ担当者に電話で相談した。
 セキュリティ担当者に言われるとおり、B氏は送信元のIPアドレスを表示してみた。それはA社とはまったく関連のないドメインからのものだった。さらに添付ファイルのプロパティを表示させると、ウィンドウタイトルには「現状ィテパロプのexe.doc」という文字が出てきた。サポート担当者は「それはウイルスの実行ファイルに間違いない」と断言した。
 実は、B氏が添付ファイルを開いた時点でB氏のPCはウイルス感染していた。さらにそのウイルスは、B氏が電話をしている間に外部サイトから別のウイルスを何種類かダウンロードしていた。そしてそのうちの1つはA社総務部門を含むLANセグメント内に感染を広め始めていた。もちろん、B氏のPCにも他の社員のPCにもアンチウイルスツールが導入済みだったが、このウイルスは検知することができなかった。
 セキュリティ担当者は総務部門にかけつけ、部門の了解を得てそのLANセグメントを他のセグメントから切り離し、電源が入っていたPC全部で一斉にウイルススキャンを行った。B氏のPCに感染したウイルスは新種であり、ウイルススキャンでは検出できなかったが、そのウイルスの機能によって外部からダウンロードされたウイルスのうちいくつかが検出され、アンチウイルスツールによって駆除することができた。またLANセグメント内に拡散した可能性のあるウイルスについてセキュリティベンダに問い合わせたところ、すでにパターンファイルへの反映作業中であり、反映前でも簡単な設定変更で影響をなくすことができることがわかった。隔離や駆除が可能なパターンファイルが間もなく提供される見込みが立ったので、とりあえず感染可能性があるPCに設定変更を施し、後日、パターンファイル更新後にウイルス駆除と設定復旧を行うことにした。
 こうしてA社は大規模なウイルス感染を防ぐことができた。しかし一連の対応で総務部門と同じLANセグメントの業務は中断し、多くの無駄を余儀なくされた。その原因は「怪しいファイル」を怪しいと見抜けなかったことにある。A社では、セキュリティ意識の一層の向上を図るとともに、アンチウイルスツールをはじめとするセキュリティツールによって、自動的に「怪しいファイル」を発見して水際でウイルス感染を防ぐ手立てを検討することにした。

(ケースファイルは複数の事例をベースにキーマンズネットが作成)




1

対策が難しい複合的な攻撃が増えている

1-1

最近の標的型攻撃メールの特徴は?

 ケースファイルのように、実在の送信元の人物やメールアドレスを詐称して添付ファイルを開かせる「標的型攻撃メール」は、このところ最も警戒すべき脅威の1つになっている。このような攻撃で特徴的なのは、次のようなポイントだ。

標的型攻撃メールの特徴

(1)

大規模感染を狙っておらず、少ない攻撃対象に向けて作られたウイルスが使われるため、アンチウイルスツールのパターンマッチングでは検出できないことがある。

(2)

攻撃対象の個人や組織に警戒心を起こさせないように、送信元を詐称する。

(3)

可能なかぎり攻撃対象の興味をそそる標題をつけ、本文内容もそれに準じたものを用意する。

(4)

添付されているファイルの拡張子は「.doc」や「.pdf」など一般的なオフィスアプリケーションの文書ファイルの拡張子を持っている(「.exe」などの実行形式ファイルの拡張子ではない)。

(5)

添付ファイルがない場合は、ウイルス感染を狙う悪意あるサイトへのリンクが埋め込まれている。

(6)

普及率の高いアプリケーションの脆弱性を利用して感染や情報詐取を行うものが多く、セキュリティパッチ公開前に感染すること(ゼロデイ攻撃)も少なくない。

(7)

感染すると、ユーザが気づかないように外部サイトとの通信ができる仕組み(バックドア)を作り、さまざまな機能を持つ別のウイルスを外部からダウンロードしたり、PCをリモートコントロールしたりできるようにするものが多い。

セキュリティ情報局にご登録頂いた方限定で「凶悪化するウイルス…脅威の実態に迫る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

アンチウイルス/凶悪化するウイルス…脅威の実態に迫る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「アンチウイルス」関連情報をランダムに表示しています。

アンチウイルス」関連の製品

7つのチェックで安心・納得、IPS(不正侵入防御システム)導入 【日本アイ・ビー・エム】 IT資産管理ソフトSS1<System Support best1> 【ディー・オー・エス】 Symantec Endpoint Protection Small Business Edition 2013 【ソフトバンク コマース&サービス】
IPS IT資産管理 アンチウイルス
7つのチェックで安心・納得、IPS(不正侵入防御システム)導入 IT機器などの最新情報をリアルタイムに把握・可視化し、資産・セキュリティ・ログの管理を効率化する。新機能のソフトウェア資産管理機能でコンプライアンス強化も支援。 クラウド型の管理機能によって、全てのデスクトップ、ノートパソコン、サーバに必要な保護を容易に導入・運用可能なエンドポイントセキュリティ。

アンチウイルス」関連の特集


 前回紹介した通り、レガシーシステムは脆弱性が見つかってもベンダからパッチが公開されず、攻撃の対象と…



最新の脅威への対策は従来のような外部からの攻撃を防御するだけでは不十分。大事なシステムを守るため注目…



大切なデータを「人質」に取り、身代金を要求するトロイの木馬の被害が報告されています。その手口と防衛策…


アンチウイルス」関連のセミナー

ハンズオンで学ぶ!未知の脅威対策 【エムオーテックス】  

開催日 4月13日(木),5月18日(木)   開催地 東京都   参加費 無料

機械学習の活用で未知の脅威を検知し、セキュリティ強化を実現する「プロテクトキャット Powered by Cylance」をハンズオン形式で体験できるセミナーで…

ディープラーニングで進化を遂げるCylancePROTECT(R) 【テクマトリックス/Cylance Japan】 締切間近 

開催日 4月5日(水)   開催地 東京都   参加費 無料

全米75拠点で実施され、約2100人を興奮の渦に巻き込んだ"Unbelievable Tour(アンビリーバブルツアー)"。24時間以内に入手した新種、またその…

ハンズオンで学ぶ!未知の脅威対策 【エムオーテックス】  

開催日 4月21日(金),5月26日(金)   開催地 愛知県   参加費 無料

機械学習の活用で未知の脅威を検知し、セキュリティ強化を実現する「プロテクトキャット Powered by Cylance」をハンズオン形式で体験できるセミナーで…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30004083


IT・IT製品TOP > エンドポイントセキュリティ > アンチウイルス > アンチウイルスのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ