遠隔操作が企業を襲う!実例に学ぶ端末管理

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

遠隔操作が企業を襲う!実例に学ぶ端末管理

2013/11/19


 2012年に発生した「PC遠隔操作事件」は、知らぬ間に感染したウイルスが第三者に重大な被害をもたらし、感染PCの利用者がその犯人とみなされて告発されるという、国内では前代未聞の出来事だった。事件を起こしたウイルスは、このために開発された新種とみられており、アンチウイルスは効かなかった。いったいPCがどのようにウイルス感染したのか。そして感染PCはどんな動きをしたのか。さらに同種の手口を使った攻撃を未然に防ぐ対策、被害を出さない対策には何があるのか。今回はPC遠隔操作ウイルスをカギに、新種ウイルスや外部からの不正アクセスに関する予防策を考えてみよう。

遠隔操作

こうして起きた! 遠隔操作ウイルス感染と犯行の実際

 不特定多数が自由に参加できる掲示板Aでのこと。楽しく会話のやり取りが続くなか、「こんな文字列置換ツールがあるといいね」という流れに。そのうち「じゃあ俺が作るよ」という一人の篤志家が現れた。やがて「できた」と報告があり、有名な無料オンラインストレージのファイルリンクが書きこまれた。そこにあったZipファイルをダウンロードして解凍すると文字列置換用であると思える「chikan.exe」というファイルと関連するデータファイルらしき「Data」ファイルが出てきた。chikan.exeを実行してみると、確かに使えるソフトだった。誰かは知らない篤志家に感謝……。ところがこのときにウイルス感染が行われていた。

【遠隔操作ウイルスの感染手口】
 chikan.exeは実際は遠隔操作ウイルスである「iesys.exe」と、遠隔指令のための掲示板ページへのアドレスが記述された設定ファイル「cfg.dat」をインストールするためのファイルだった。インストールが終わったあとは、もともとのchikan.exeは自動削除され、Dataファイルが新たにchikan.exeとリネームされた。こちらは普通に動作する文字列置換ソフトで怪しいところはなく、ダウンロードした掲示板利用者が疑いを持つことがなかった。

図1 遠隔操作ウイルス感染のイメージ
図1 遠隔操作ウイルス感染のイメージ
資料提供:IPA

【遠隔操作ウイルスによる第三者への攻撃】
 掲示板利用者のPCに潜り込んだウイルスは、別の有名掲示板Bに定期的に接続し、特定ページに書き込まれる指令を待った。設定ファイルに書き込まれたアドレスのページの特定スレッドに指令が書き込まれたら、それを実行するように仕組まれていたのだ。やがて届いた指令は、「幼稚園を襲撃する」「航空機に爆薬を仕掛けた」「◯◯を殺害する」などといった犯行予告を特定宛先にメールで送ったり、掲示板に書き込むというものだった。設定ファイルは外部から書き換えができるようになっていたため、新しいページを作って宛先や文面を変えたメールや書き込みを行う指令を記述し、そのページを参照するように設定ファイルを書き換えるだけで、利用者には気付かれずに感染PCから犯行を行うことができた。

【冤罪事件の発生と「真犯人」の検挙】
 これらの予告のうち威力業務妨害にあたるケースについて、被害者の地域を管轄する警察が捜査に動いた。やがて送信元のIPアドレスから「犯人」が割り出され、4都府県で1名ずつの逮捕者が出た。うち2名は犯行を「自白」さえしており(のち虚偽とわかる)、1名は起訴に至った。その後3被疑者のPCからiesys.exeそのものや存在していた痕跡が見つかり、真犯人は別にいることがわかった。残り1例ではウイルスではなくクロスサイトリクエストフォージェリ(CSRF/後述)の手口が使われていたとされている。
 今年2月には真犯人と目される人物が逮捕され、威力業務妨害、偽計業務妨害、ハイジャック防止法違反、ウイルス供用罪を問われている。来年には初公判が開かれる見込みだが、被疑者は犯行を否認したままだ。なお、iesys.exeはまったくの新種ウイルスで、この犯行のために作成されたと考えられている。しかし被疑者が作成したかどうかには疑問点が多く、警察もウイルス作成罪の立証は断念したようだ。

 以上、「遠隔操作ウイルス事件」のあらましを、IPAが入手したiesys.exeの解析内容などをもとに一部推測を含めて紹介した。なおウイルスを使用した例でも実際には各ケースで手口に若干の違いがある。
 悪意のカケラもないのに知らぬ間に「犯人」に仕立て上げられる怖さがクローズアップされた事件だが、今後も同種の事件が起きない保証はまったくない。攻撃の踏み台にされるリスクを避けるために、どのような対策を講じればよいだろうか。


1

「PC遠隔操作」事件で使われた手口

 上述のPC遠隔操作事件で注目したいポイントは3つある。1つはウイルス感染経路だ。これには「騙し」の手口が使われた。もう1つはクロスサイトリクエストフォージェリという手口で遠隔操作が行われた可能性があること。更に1つはウイルス感染したあと、外部からの指令を受け取り、犯行の「踏み台」にされたことだ。これらについて以下で手口と対策を見ていこう。

1-1

「騙し」によるダウンロード/実行の手口

 「使えるソフト」を装い、実行させてウイルス感染を起こす手口はすでに古典的ともいえるもので、かつてはメール添付で送りつけられるものが多かった。今ではメールの添付ファイルで「.exe」などの実行ファイル形式のものは基本的に開かないというのがほぼ常識化しており、メールゲートウェイでのアンチウイルス対策も一般化してきているため、エンドユーザに届くウイルスの数がそもそも減っている。ただし皮肉なことに、若い従業員はメール添付の実行ファイルを開くとウイルス感染することを見聞したことがなく、添付ファイルを気軽に開いてしまうケースがままあるという。
 この「騙し」の手口はメールだけでなく、掲示板やSNSでも使われている。特に不特定多数の人が変名で会話をする形式の場合は、相手の素性を知ることが簡単にはできないし、知ろうともしないほうが普通だ。だからこそ自由な発言が可能な一面がある一方、見知らぬ人の「おススメ」サイトやソフト、あるいは音楽や映像コンテンツにアクセスしてウイルス感染するケースが後を絶たない。

■「騙し」手口で情報漏洩被害をもたらしたAntinnyウイルス

 このような「騙し」手口の類似事例も紹介しておこう。大きな被害をもたらした典型例に、2005年〜2007年前後に流行した「暴露ウイルス」の「Antinny」事件がある。Antinnyは、感染PCでWinnyなどのP2Pファイル交換ソフトを利用すると、PC内の情報がユーザが気づかぬうちに自動的に公開、共有される機能を持っていた。感染経路は、メール、Webサイト、外部記憶媒体経由のほか、ファイル交換ソフトによって共有されたファイル(音楽や映像などのコンテンツ)が多い。例えば「abc.mp3(空白を挿入).exe」というようなファイル名をつけて人気のある音楽コンテンツを装い、実際には実行ファイルなのにMP3ファイルと誤認させてクリックさせる方法や、ファイルのアイコンをフォルダアイコンに変えて、実行ファイルではないように錯覚させる方法も用いられた。
 このウイルスにより、自衛隊や警視庁を含めて多数の組織が機密情報を漏洩することになり、社会問題化した。またAntinnyには亜種が多数あり、その中には特定組織を狙ってDDoS攻撃を仕掛けるものもあった。

■IPアドレスでは真犯人にたどり着けなかった理由は?

 発端が掲示板への投稿であるなら、投稿した発信元を突き止めればよいのだが、それができなかったのがこの事件のもう1つの特徴だ。送信者のIPアドレスは、たとえ海外の公開プロキシサーバを使って送信したとしても元のIPアドレスを突き止めようと思えば理論上は可能だ。しかしこの事件の場合は「匿名化ツール」と呼ばれる「Tor」を使って投稿されていた。Torは通信経路上のすべてを暗号化し、海外も含むTorネットワークに参加する複数のリレーエージェントと呼ばれるPCなどを経由して目的のサーバにアクセスする。その経路ではログを残すこともせず、経路も一定間隔で変更されるため、送信元を特定するのが非常に困難だ。この事件でも、Torを使った書き込みについては送信元を特定できなかったようだ。

セキュリティ情報局にご登録頂いた方限定で「遠隔操作が企業を襲う!実例に学ぶ端末管理」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


遠隔操作/遠隔操作が企業を襲う!実例に学ぶ端末管理」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「遠隔操作」関連情報をランダムに表示しています。

遠隔操作」関連の製品

標的型サイバー攻撃・内部対策アプライアンス iNetSec Intra Wall 【PFU】 SSL特化で暗号処理も安全性も向上 SSL Visibility Appliance 【マクニカネットワークス株式会社】 LanScope An Free 【エムオーテックス】
その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連 MDM
ネットワーク内の通信を監視することで、標的型サイバー攻撃によるマルウェアの活動を検知し、感染端末の通信を自動的に遮断するアプライアンス。 安心と思ったSSL暗号化は攻撃者も使ってくる、既に悪用は過半数 紛失・盗難対策に必要なパスワードポリシーやリモートロック・ワイプ機能をすべて網羅したツール。無料でスマートデバイスの紛失・盗難対策を実現(台数・期間無制限)。

遠隔操作」関連の特集


PCをLANケーブルにつなげば、ネットが使えるのはもう常識。IPアドレスを自動で割り振る、DHCPサ…



コンパクトで高性能なデバイス「モバイルPC」。2011年春のトレンドは? スマートフォンやタブレット…



昨今、問題視されていたセキュリティも周辺ソリューションの充実化によって解消されつつある「スマートフォ…


「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30006333


IT・IT製品TOP > ネットワークセキュリティ > IDS > IDSのIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ