凶悪化するウイルス…脅威の実態に迫る

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

凶悪化するウイルス…脅威の実態に迫る

2011/06/07


 気がつかぬ間に企業システムに忍び込み、情報を盗み出すウイルスが増殖中だ。その特徴の1つはアンチウイルスツールの裏をかき、発見されないように工夫を凝らして作られていること。主な手口は、ユーザを騙してメールに添付したウイルスの実行ファイルやウイルス入りの文書ファイルを開かせたり、メール本文中に埋め込まれたウイルス配布用サイトのURLリンクをクリックさせたりすることだ。またそうした操作によって直接実害を及ぼすウイルスに感染させるのではなく、あとで外部からさまざまなウイルスをダウンロードできるような仕組みをシステム内に仕込むようにするところが、かつてのウイルスと違うところだ。今回は、こうした感染に気づきにくい、複合的な攻撃を行うウイルスの実態(本記事)と、その対策に役だつアンチウイルスツールの機能(第2回記事)を紹介しよう。

アンチウイルス

#028

放射線情報だと思ったらウイルスだった!複合的な攻撃の端緒はメールから

 東京にあるA社本店総務部のB氏に宛てて、A社の東北支店のC氏からのメールが入った。その標題は「支店周辺の放射線量について」。東北支店は大震災の被害が比較的少なかったものの、被災した営業所の復旧や従業員のサポートに追われる日々が続いているとB氏は聞いていた。C氏は支店の総務部で防災担当として本店との情報交換窓口になっているほか、マスメディア向けに被災関連のプレスリリース作成担当になっている人物だ。B氏は、メール発信者の名前と標題を見て重要な情報だと判断した。急いで開くと、メール本文は「詳細は添付ファイルにて」という文言だけ。「現状exe.doc」という名前のファイルが添付されていた。「.doc」はいつも使っているWordの拡張子だ。
 それを確認したB氏はためらいなく添付ファイルのアイコンをダブルクリックして内容を確認しようとした。ところがWordは起動せず、文書は開かなかった。B氏は不審に思い、C氏にメールの再送を依頼しようと電話をした。するとC氏はメールを送信した事実はないという。B氏は不安になり、情報システム部門のセキュリティ担当者に電話で相談した。
 セキュリティ担当者に言われるとおり、B氏は送信元のIPアドレスを表示してみた。それはA社とはまったく関連のないドメインからのものだった。さらに添付ファイルのプロパティを表示させると、ウィンドウタイトルには「現状ィテパロプのexe.doc」という文字が出てきた。サポート担当者は「それはウイルスの実行ファイルに間違いない」と断言した。
 実は、B氏が添付ファイルを開いた時点でB氏のPCはウイルス感染していた。さらにそのウイルスは、B氏が電話をしている間に外部サイトから別のウイルスを何種類かダウンロードしていた。そしてそのうちの1つはA社総務部門を含むLANセグメント内に感染を広め始めていた。もちろん、B氏のPCにも他の社員のPCにもアンチウイルスツールが導入済みだったが、このウイルスは検知することができなかった。
 セキュリティ担当者は総務部門にかけつけ、部門の了解を得てそのLANセグメントを他のセグメントから切り離し、電源が入っていたPC全部で一斉にウイルススキャンを行った。B氏のPCに感染したウイルスは新種であり、ウイルススキャンでは検出できなかったが、そのウイルスの機能によって外部からダウンロードされたウイルスのうちいくつかが検出され、アンチウイルスツールによって駆除することができた。またLANセグメント内に拡散した可能性のあるウイルスについてセキュリティベンダに問い合わせたところ、すでにパターンファイルへの反映作業中であり、反映前でも簡単な設定変更で影響をなくすことができることがわかった。隔離や駆除が可能なパターンファイルが間もなく提供される見込みが立ったので、とりあえず感染可能性があるPCに設定変更を施し、後日、パターンファイル更新後にウイルス駆除と設定復旧を行うことにした。
 こうしてA社は大規模なウイルス感染を防ぐことができた。しかし一連の対応で総務部門と同じLANセグメントの業務は中断し、多くの無駄を余儀なくされた。その原因は「怪しいファイル」を怪しいと見抜けなかったことにある。A社では、セキュリティ意識の一層の向上を図るとともに、アンチウイルスツールをはじめとするセキュリティツールによって、自動的に「怪しいファイル」を発見して水際でウイルス感染を防ぐ手立てを検討することにした。

(ケースファイルは複数の事例をベースにキーマンズネットが作成)




1

対策が難しい複合的な攻撃が増えている

1-1

最近の標的型攻撃メールの特徴は?

 ケースファイルのように、実在の送信元の人物やメールアドレスを詐称して添付ファイルを開かせる「標的型攻撃メール」は、このところ最も警戒すべき脅威の1つになっている。このような攻撃で特徴的なのは、次のようなポイントだ。

標的型攻撃メールの特徴

(1)

大規模感染を狙っておらず、少ない攻撃対象に向けて作られたウイルスが使われるため、アンチウイルスツールのパターンマッチングでは検出できないことがある。

(2)

攻撃対象の個人や組織に警戒心を起こさせないように、送信元を詐称する。

(3)

可能なかぎり攻撃対象の興味をそそる標題をつけ、本文内容もそれに準じたものを用意する。

(4)

添付されているファイルの拡張子は「.doc」や「.pdf」など一般的なオフィスアプリケーションの文書ファイルの拡張子を持っている(「.exe」などの実行形式ファイルの拡張子ではない)。

(5)

添付ファイルがない場合は、ウイルス感染を狙う悪意あるサイトへのリンクが埋め込まれている。

(6)

普及率の高いアプリケーションの脆弱性を利用して感染や情報詐取を行うものが多く、セキュリティパッチ公開前に感染すること(ゼロデイ攻撃)も少なくない。

(7)

感染すると、ユーザが気づかないように外部サイトとの通信ができる仕組み(バックドア)を作り、さまざまな機能を持つ別のウイルスを外部からダウンロードしたり、PCをリモートコントロールしたりできるようにするものが多い。

セキュリティ情報局にご登録頂いた方限定で「凶悪化するウイルス…脅威の実態に迫る」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

アンチウイルス/凶悪化するウイルス…脅威の実態に迫る」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「アンチウイルス」関連情報をランダムに表示しています。

アンチウイルス」関連の製品

IT資産管理ソフトSS1<System Support best1> 【ディー・オー・エス】 マルチエンジン型ウイルス対策ソフトウェア 「Metascan」 【ネクスト・イット】 ランサムウェア対策ソフト 「AppCheck」 【JSecurity】
IT資産管理 アンチウイルス アンチウイルス
IT機器などの最新情報をリアルタイムに把握・可視化し、資産・セキュリティ・ログの管理を効率化する。新機能のソフトウェア資産管理機能でコンプライアンス強化も支援。 最大30種類のウイルススキャンエンジンを動作させ、マルウェアの検出率を最大限に高めたウイルス対策ソリューション。インターネット接続ができない閉環境でも使用が可能。 ランサムウェア対策に特化し、未知のランサムウェアの攻撃からPCを防御するセキュリティソフトウェア。無料評価版ダウンロードにより試用もできる。

アンチウイルス」関連の特集


迫りくるIT統制やセキュリティ強化への対応には資産の的確な把握が必要です!今回は「資産管理ツール」の…



電気、ガス、水道が止まり、交通網も一瞬のうちにマヒするかも知れない新手のサイバー攻撃とは何か?わかり…



インベントリ(ハードウエアとソフトウエアの詳細情報)収集やソフトウエア配布が行えるだけでなく、セキュ…


アンチウイルス」関連のセミナー

最新技術を網羅する セキュリティセミナー 【サイバーソリューションズ】  

開催日 5月18日(金)   開催地 大阪府   参加費 無料

ランサムウェアなどの標的型攻撃が多発し、連日のように大きなニュースとなっています。警察庁の発表によれば、2017年に確認された企業などの重要情報を狙う「標的型メ…

EDRを実装した次世代アンチウイルスとは? 【サイバネットシステム】  

開催日 4月11日(水),5月16日(水),6月20日(水)   開催地 オンラインセミナー   参加費 無料

多層防御が前提のマルウェア・ランサムウェア対策の中でエンドポイント防御の重要性が高まっています。その中でも注目されているのが、既知だけでなく未知の脅威も検知し、…

最新のエンドポイント事情を教えます〜時代はシグネチャレス〜 【アズジェント】 締切間近 

開催日 4月25日(水)   開催地 東京都   参加費 無料

マルウェアによる被害は増加の一途をたどっています。そして、マルウェアの亜種が多数発生している今日、シグネチャベースでの対策に限界がきていることも周知の事実です。…

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2


30004083


IT・IT製品TOP > エンドポイントセキュリティ > アンチウイルス > アンチウイルスのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ