« 開発指向の行き止まり | トップページ | ネット殺人予告で逮捕事件は意外と近かった »

2008.11.29

すでに情報戦に巻き込まれている

読売新聞より「偽装機能を持つ新手のボット

高度な偽装機能を持った新手のボットが発見された。セキュリティー対策会社などに解析されないようにする「アンチフォレンジック機能」を持っていることが特徴だ。「アンチフォレンジック」とは、どんなものなのだろうか。(テクニカルライター・三上洋)

USBやCDから忍び込み「ごみ箱」に偽装

企業向けセキュリティー大手のラック・サイバーリスク総合研究所が「アンチフォレンジック機能を持つボットの出現~攻撃者のターゲットは個人情報から機密情報へ」というリポートを発表した。

それによると、国内では初となる「アンチフォレンジック機能」を持つボットが発見されている。ボットはパソコンに侵入し、ロボットのようにパソコンを遠隔操作する不正ソフトウエアのこと。今回発見されたボットが持つ「アンチフォレンジック」機能とは、解析を阻む機能のことだ。

セキュリティー会社では、企業のパソコンやネットワークが不正ソフトウエアに感染した場合、過去の履歴をさかのぼって分析し、問題のある場所や侵入ルートなどを解析する。この解析を「フォレンジック」と呼んでいる。それに対抗するのが「アンチフォレンジック」で、ボットが解析されないように様々な偽装・対抗手段を取る。

例えば、今回発見されたボットではパソコンの時計を1980年1月1日に戻してしまう。強制的にシステム日時を変更することで、ファイルの最終更新時刻・アクセス時刻などがバラバラになる。このボットは定期的に時計を1980年1月1日に戻すため、どれが新しいファイルで、いつ操作されたのかという履歴を追いかけることが困難になる。解析を阻み、少しでも発見を遅らせるための機能だと言っていいだろう。

さらにこのボットは侵入方法が巧妙だ。従来のインターネット経由の侵入だけではなく、標的とする企業の取引先を経由して、USBメモリーやCDを郵送している(画像1)。このUSBメモリーやCDを開くと、自動実行ファイル(Autorun.inf)によりボットが入り込んでしまう(参考記事:「USBメモリー経由のウイルス感染が拡大」)。またボット本体はデスクトップの「ごみ箱」のファイル名である「Recycle.exe」に偽装されている。「Recycle.exe」は隠しファイルとなっているため、一般のユーザーが気づくのは難しいだろう。

デスクトップ遠隔操作やカメラののぞき見まで可能

ラックによれば、今回発見されたボットには生成ツールが存在しているとのこと。左がその画像(画像2)で、中国語の生成ツールのようだ。ターゲットや欲しい機能をセットするだけで、オリジナルのボットができてしまうソフトウエアである。この生成ツールでは、ボットを作成するだけでなく、乗っ取ったパソコンをリモートデスクトップのように外部から遠隔操作する機能がある。

さらにこのツールでは、パソコンに接続されたカメラやマイクを乗っ取る機能まで持っている。カメラが接続されていると、画像4のように外部からカメラの映像を見られてしまう。ラックでは「カメラをチェックしてパソコンの利用者がいないことを確認したうえで操作できてしまう」と警告している。

このほか、このボットにはキーロガー機能があり、キーボード入力をすべて記録、送信できる。パスワードがすべて筒抜けになる怖い機能だ。

企業の機密情報などを狙っている

今回発見されたボットを分析したところ「侵入後に日本語で記載された重要資料を漁ったような操作記録があった(ラック)」とのこと。犯人は、個人情報の収集だけでなく、企業が持つ機密情報を狙っているようだ。より金になる情報を求めて、高度なボットを作成したと考えていいだろう。

対策としては、まずはウイルス対策ソフトの定義ファイル(パターンファイル)を最新のものにすること。複数台のパソコンを使っている場合は、すべてのパソコンでウイルス対策ソフトが有効になっているか確認したい。1台が感染した場合、ネットワーク経由でほかのパソコンの情報を盗みとられる可能性があるからだ。また企業ではネットワーク内や外向きの通信を監視することを推奨している。ボット感染後の二次被害を防ぐためだ。

今回のようなボットは、発見・解析が困難なため、侵入が長期間に渡る危険性がある。企業だけでなく、個人もしっかりと対策する必要があるだろう。

●参考サイト

ラック・サイバーリスク総合研究所レポートhttp://www.lac.co.jp/info/rrics_report/

(2008年11月28日 読売新聞)

ボット問題は非常に深刻であることが報告されていますが、この記事のようにキーロガーを仕組んだものが、直撃の添付ファイル付きメールで来ていることを聞いて震え上がりました。

元もと、ハッキングはイタズラとして始まったと言えますが、それが銀行のサイトの偽装といった手法で金儲けの手口となりました。
しかし、情報を盗ること自体が目的になるのは容易に想像できるところで、そのためパスワードの管理を厳重にしろ、と言われます。

現在、直撃で来ているメールは重要な会議の参加者を狙っていたりしているので、誰かが引っかかればよいという、イタズラや詐欺といったものから情報戦になりつつあるとしか考えられない。

ボットであるから、感染すると住み着いてしまって手下を再送信する。
極論を言えば今や「ちゃんとやっていれば大丈夫」という時代ではなくなった、ということかもしれません。

11月 29, 2008 at 12:16 午後 セキュリティと法学 |

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/2299/43261772

この記事へのトラックバック一覧です: すでに情報戦に巻き込まれている:

コメント

コメントを書く