凶悪化するウイルス…脅威の実態に迫る

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

凶悪化するウイルス…脅威の実態に迫る

2011/06/07


 気がつかぬ間に企業システムに忍び込み、情報を盗み出すウイルスが増殖中だ。その特徴の1つはアンチウイルスツールの裏をかき、発見されないように工夫を凝らして作られていること。主な手口は、ユーザを騙してメールに添付したウイルスの実行ファイルやウイルス入りの文書ファイルを開かせたり、メール本文中に埋め込まれたウイルス配布用サイトのURLリンクをクリックさせたりすることだ。またそうした操作によって直接実害を及ぼすウイルスに感染させるのではなく、あとで外部からさまざまなウイルスをダウンロードできるような仕組みをシステム内に仕込むようにするところが、かつてのウイルスと違うところだ。今回は、こうした感染に気づきにくい、複合的な攻撃を行うウイルスの実態(本記事)と、その対策に役だつアンチウイルスツールの機能(第2回記事)を紹介しよう。

アンチウイルス

#028

放射線情報だと思ったらウイルスだった!複合的な攻撃の端緒はメールから

 東京にあるA社本店総務部のB氏に宛てて、A社の東北支店のC氏からのメールが入った。その標題は「支店周辺の放射線量について」。東北支店は大震災の被害が比較的少なかったものの、被災した営業所の復旧や従業員のサポートに追われる日々が続いているとB氏は聞いていた。C氏は支店の総務部で防災担当として本店との情報交換窓口になっているほか、マスメディア向けに被災関連のプレスリリース作成担当になっている人物だ。B氏は、メール発信者の名前と標題を見て重要な情報だと判断した。急いで開くと、メール本文は「詳細は添付ファイルにて」という文言だけ。「現状exe.doc」という名前のファイルが添付されていた。「.doc」はいつも使っているWordの拡張子だ。
 それを確認したB氏はためらいなく添付ファイルのアイコンをダブルクリックして内容を確認しようとした。ところがWordは起動せず、文書は開かなかった。B氏は不審に思い、C氏にメールの再送を依頼しようと電話をした。するとC氏はメールを送信した事実はないという。B氏は不安になり、情報システム部門のセキュリティ担当者に電話で相談した。
 セキュリティ担当者に言われるとおり、B氏は送信元のIPアドレスを表示してみた。それはA社とはまったく関連のないドメインからのものだった。さらに添付ファイルのプロパティを表示させると、ウィンドウタイトルには「現状ィテパロプのexe.doc」という文字が出てきた。サポート担当者は「それはウイルスの実行ファイルに間違いない」と断言した。
 実は、B氏が添付ファイルを開いた時点でB氏のPCはウイルス感染していた。さらにそのウイルスは、B氏が電話をしている間に外部サイトから別のウイルスを何種類かダウンロードしていた。そしてそのうちの1つはA社総務部門を含むLANセグメント内に感染を広め始めていた。もちろん、B氏のPCにも他の社員のPCにもアンチウイルスツールが導入済みだったが、このウイルスは検知することができなかった。
 セキュリティ担当者は総務部門にかけつけ、部門の了解を得てそのLANセグメントを他のセグメントから切り離し、電源が入っていたPC全部で一斉にウイルススキャンを行った。B氏のPCに感染したウイルスは新種であり、ウイルススキャンでは検出できなかったが、そのウイルスの機能によって外部からダウンロードされたウイルスのうちいくつかが検出され、アンチウイルスツールによって駆除することができた。またLANセグメント内に拡散した可能性のあるウイルスについてセキュリティベンダに問い合わせたところ、すでにパターンファイルへの反映作業中であり、反映前でも簡単な設定変更で影響をなくすことができることがわかった。隔離や駆除が可能なパターンファイルが間もなく提供される見込みが立ったので、とりあえず感染可能性があるPCに設定変更を施し、後日、パターンファイル更新後にウイルス駆除と設定復旧を行うことにした。
 こうしてA社は大規模なウイルス感染を防ぐことができた。しかし一連の対応で総務部門と同じLANセグメントの業務は中断し、多くの無駄を余儀なくされた。その原因は「怪しいファイル」を怪しいと見抜けなかったことにある。A社では、セキュリティ意識の一層の向上を図るとともに、アンチウイルスツールをはじめとするセキュリティツールによって、自動的に「怪しいファイル」を発見して水際でウイルス感染を防ぐ手立てを検討することにした。

(ケースファイルは複数の事例をベースにキーマンズネットが作成)




1

対策が難しい複合的な攻撃が増えている

1-1

最近の標的型攻撃メールの特徴は?

 ケースファイルのように、実在の送信元の人物やメールアドレスを詐称して添付ファイルを開かせる「標的型攻撃メール」は、このところ最も警戒すべき脅威の1つになっている。このような攻撃で特徴的なのは、次のようなポイントだ。

標的型攻撃メールの特徴

(1)

大規模感染を狙っておらず、少ない攻撃対象に向けて作られたウイルスが使われるため、アンチウイルスツールのパターンマッチングでは検出できないことがある。

(2)

攻撃対象の個人や組織に警戒心を起こさせないように、送信元を詐称する。

(3)

可能なかぎり攻撃対象の興味をそそる標題をつけ、本文内容もそれに準じたものを用意する。

(4)

添付されているファイルの拡張子は「.doc」や「.pdf」など一般的なオフィスアプリケーションの文書ファイルの拡張子を持っている(「.exe」などの実行形式ファイルの拡張子ではない)。

(5)

添付ファイルがない場合は、ウイルス感染を狙う悪意あるサイトへのリンクが埋め込まれている。

(6)

普及率の高いアプリケーションの脆弱性を利用して感染や情報詐取を行うものが多く、セキュリティパッチ公開前に感染すること(ゼロデイ攻撃)も少なくない。

(7)

感染すると、ユーザが気づかないように外部サイトとの通信ができる仕組み(バックドア)を作り、さまざまな機能を持つ別のウイルスを外部からダウンロードしたり、PCをリモートコントロールしたりできるようにするものが多い。

セキュリティ情報局にご登録頂いた方限定で「凶悪化するウイルス…脅威の実態に迫る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

アンチウイルス/凶悪化するウイルス…脅威の実態に迫る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「アンチウイルス」関連情報をランダムに表示しています。

アンチウイルス」関連の製品

次世代マルウェア対策「CylancePROTECT」 【日立ソリューションズ】 法人向けクラウドメールサービス CYBERMAIL Σ 【サイバーソリューションズ】 Barracuda SSL VPN 【バラクーダネットワークスジャパン】
アンチウイルス 電子メール リモートアクセス
AI技術を利用した、パターンファイルを必要としないマルウェア対策。未知/既知を問わず、マルウェアが実行される前にエンドポイント上で検知・防御する。 SaaSで提供されるメール&コミュニケーションサービス。メールサーバ、Webメール、メールアーカイブ、暗号化をはじめ、様々なコミュニケーション機能を提供。多言語対応。 外出先や出張先、在宅勤務など、社外・外部から内部ネットワークリソースへWebブラウザやスマートデバイスを利用してセキュアなアクセスを実現。

アンチウイルス」関連の特集


「セキュリティ対策が最優先!」トップコミットメントが生んだガチガチのセキュリティ対策の中で、業務の効…



ウイルスや不正アクセス被害の統計データで上半期のセキュリティ事情を振り返ります。今年はどんな脅威が待…



知らぬ間に、自分のPCが攻撃者の管理下に…。急増するゾンビマシンのネットワーク「ボットネット」を分か…


アンチウイルス」関連のセミナー

【3社合同(Cylance/IBM/MOTEX)】最新セキュリティ対策セミナー 【エムオーテックス/日本アイ・ビー・エム/Cylance Japan】 締切間近 

開催日 12月8日(木)   開催地 東京都   参加費 無料

今年9月に米国大手インターネット検索会社が、不正アクセスにより約5億件のユーザー情報が流出したことを発表しました。また、今年3月からシステムへのアクセスを制限し…

Connected AI Conference 2016 【ナノオプト・メディア】 締切間近 

開催日 12月9日(金)   開催地 東京都   参加費 無料

加速する人工知能がもたらす社会変革〜 “繋がるAI”の活用で実現するビジネスの未来とは?〜加速する人工知能がもたらす社会変革をテーマとし、ビジネスへ与えるインパ…

ハンズオンで学ぶ!未知の脅威対策 【エムオーテックス】 締切間近 

開催日 12月9日(金)   開催地 大阪府   参加費 無料

機械学習の活用で未知の脅威を検知し、セキュリティ強化を実現する「プロテクトキャット Powered by Cylance」をハンズオン形式で体験できるセミナーで…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30004083


IT・IT製品TOP > エンドポイントセキュリティ > アンチウイルス > アンチウイルスのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ