2004年における主な有害プログラムの解説とその傾向
概要
今年の被害状況の大きいプログラムは、Mydoom.a(2004年2月)とSasser.a(2004年5月)である。今年の業界動向として最も大きい変化としては、スパムメールの配信業者が悪意あるコードの作者やハッカーに協力を依頼し、ボット・ネットワーク(複数のボットマシンで構成された仮想的なネットワーク)を利用した大規模なサイバー犯罪が行われ始めたことである。一方で、各国の警察機関がサイバー犯罪に注目したことにより、アンチウイルスメーカーは新種のプログラムへの対応が早くなった。そして、2004年のサイバー犯罪者の逮捕数は、史上最高となった。- AdWare (広告システム)は、セキュリティー上の一番の悩みの種となった
- メール通信はスパムメールで埋め尽くされ、ほとんどの人はスパムフィルターなしではメールの作業は困難となった
- インターネットバンクへの攻撃が増加した
- インターネット騒動(恐喝に繋がるDDos攻撃)が増加した
- アンチウイルスメーカーは、各社の新製品にAdWare対策を組み込んだ
- 新種の有害プログラムへの迅速な対応が、アンチウイルスソフトメーカーの評価基準となった
- 多くの様々なスパム対策ソフトが登場した
メールサービスプロバイダにとってこれらのソフトを使用することが事実上標準となった - 捜査と逮捕の成功(約100人のハッカーが逮捕され、そのうち3人はFBIが指名手配中の上位20人であった)
2004年の有害プログラム発生状況
今の世代の有害プログラムは、以前のプログラムをベースとして設計している。つまり、2004年に成果をあげた(甚大な被害をもたらした)有害プログラム達の手法は、既に昨年のうちに種が蒔かれていたのである。Lovesanは、インターネットから直接、脆弱性のあるPCに感染させるシステムで一躍有名になった。また、すでに次の機能として「ウインドウズアップデートサーバ」を攻撃する、「サービス拒否攻撃(DDoS)」を含有していた。Sobig.fはスパム技法を使って以前の全ての記録を打ち破った(その絶頂では、10のメールのうち1つはSobigに感染していた)。また、「徐々に拡大していく脅威」の先駆者でもあった。それぞれの新しいワームの亜種は、感染したPCのネットワークを作り出し、後に流行となるきっかけとして利用したのである。2003年の9月にSwenが登場したときは、ただの「大量メール送信をするプログラム」として見えた。しかし、「ソーシャルエンジニアリング」を利用して流行したのである。ソーシャルエンジニアリングとは、つまり、人と人とのやりとりに依存している欠陥のことである。例えば、ウイルスやワームの場合、それらを警戒していないユーザーが、感染した添付ファイルを開き、感染してしまうようなことである。ユーザーがウイルス攻撃からシステムを保護しようとする動きを利用して、Swenは、脆弱性を修復するMicrosoftパッチになりすまして感染を拡大していった。2004年の被害状況を見てわかるように、これらの技法は継続しており、またさらに発展を見せている。
有害プログラムの作成者が通常のアプリケーションやシステムの脆弱性を「利用できるもの」と気づいてしまったことで、状況は大きく変わってしまった。ウイルスによるシステムの活用方法として、企業ネットワークを踏み台として拡大していく手法は、有害プログラムの一般的な手法となってしまった。2004年のSasserやPadobot、Bobaxのようなプログラムは、以前の古典的なウイルス感染技法は全く使わず、システムの脆弱性を使用した感染のみで拡大する。PlexusやBagle、Netsky、Mydoomの亜種たちは、脆弱性と他の手法を組み合わせて感染する。(例えば、大量メール送信やP2Pネットワーキングを含むネットワークの利用等)
現代の多くの好成績を残した有害プログラムの脅威(「好成績」の判断は作者の観点によるものである)は、様々な脅威から成る複合体の「束」である。
これは、トロイの木馬系プログラムの亜種を含んでいる。一般的に、トロイの木馬はシステムにウイルスやワームを落とし込む。これらのプログラムは、自分自身の複製機能は含んでいないため、危険性はあるが、他のウイルスやワームと比べて危険性が少ないと判断されることがしばしばある。トロイの木馬は次第に進化しつづけ、多くの悪意ある行為に使われている。
2004年の新年は、トロイの木馬系プロキシMitgleiderが年明け早々に登場してしまったため、祝うまもなく終わってしまった。何千ものICQユーザーが、このトロイの木馬が仕込まれたウェブサイトへのリンク付きメールを受信した。MitgleiderはMicrosoft Internet Explorerの2つの脆弱性のうち一つを使用し、ユーザーに気づかれることなく、対象PCにプロキシサーバをインストールし、実行する。そして、メールの送受信のポートを開放した。つまりそのPCは、スパムを作成し続ける「ゾンビ」コンピューターと化してしまったのである。Mitgleiderは、トロイの木馬系プロキシをスパム配信のもう一つの大きな手段として、別の分類の有害プログラムとして位置づけた。またこれは、ウイルス感染したウェブサイトへのリンク付メールを送信する、大量メール送信の流行のきっかけとなった。
Mitgleider以降に作成された多くの有害プログラムは、トロイの木馬を使っている。Mitgleiderと同じコードで作成されたとみられるBagleワームは、トロイの木馬系プロキシをインストールするか、インターネットからダウンロードする。Mitgleiderの進化系として、メールによる繁殖という機能を追加したワームなのである。BagleはMitgleiderに感染したコンピューターから配信された。これは、2004年の有害プログラムの特徴として注目すべきである。トロイの木馬の使用は、その後のウイルス流行の基盤としてPCに種をまくようにプログラムされている。この技法は、BagleだけでなくNetskyやMydoomといった他の脅威にとってもすばらしい成果をもたらした。これらのワームの亜種が登場し「集団的犯罪」が行われると、多くのPCを感染させ、流行するのである。これは、Sobigを、それまで最大の被害を起こしたMydoomワームの成功を利用したものといえよう。Mydoomはまた、先に述べた有害プログラムの「束」のいい実例でもある。Sobigは、ソーシャルエンジニアリングを有効に利用し「www.sco.com」にDDoS攻撃行った。何ヶ月もSCOサイトを機能停止させ、その後に続いた模倣ワームたちが利用した感染PCに、トロイの木馬系バックドアを落とし込んだ.
2004年は有害プログラム作成者の間でライバル紛争を見た年でもあった。NetskyはただPCをウイルス感染させるだけでなく、MydoomやBagle、Mimailワームを駆除していった。そして、Netskyの作成者は、ライバルであるBagleの作成者に対して論争をけしかけたのである。論争の絶頂期では、コード内にそれぞれのライバルを侮辱したメッセージを組み込んだ各ワームの亜種が、毎日のように登場した。
BagleとNetskyの作成者はまた、感染している添付ファイルのパスワード保護利用をした先駆者でもある。パスワード保護によって、ウイルスが検出されにくくなってしまった。メール本文にテキストあるいは画像として、解除パスワードを組み込んでいた。よって、ユーザーはパスワードを解除し、感染した添付ファイルを実行してしまったのである。
1999年の3月にMelissaによって初めて使用された、感染済添付ファイルの大量メール送信の技法は、その後多くのメジャーな有害プログラムによって利用され続けてきた。しかし、最近ではいくつかの他の技法も登場している。それは、先に述べたような、システム感染を利用したLovesanやWelchia、Sasserといった直接感染をしてくるワームである。 他に2004年に有名になった技法は、有害なコードを含んだウェブサイトのurlをクリックさせるリンクの使用である。先に述べたMitgleiderトロイの木馬系プロキシは、この技法を使った感染だけでなく、大量のワームも併用し、拡大する。
例えば、Netskyは、以前にウイルス感染したコンピューターにアクセスするurlのリンクを含んだメールを送りつけ、拡大していく。これは、最初のICQワームであるBizexに続いたものであった。全てのICQコンタクトを送るICQを通してPCに感染したBizexは、ワーム本体が置かれているサイトにリンクする、最近感染したPCから発見された。ユーザーがリンクをクリックすると、ワーム本体が感染したウェブサイトからダウンロードされ、それは何度も循環を繰り返す。SnapperとWallonは後にこの技法を使用するが、ウェブサイト上に落とし込んだトロイの木馬をダウンロードするようになっていた。
今までのところ、メールのメッセージの中のリンクはユーザーに警戒されていない。ユーザーのほとんどが、添付ファイルをダブルクリックするのは警戒しているが、リンクは警戒せずクリックしてしまう。加えて、この技法は多くの企業が設置しているインターネットゲートウェイの防衛線を「飛び越えて」しまうのである。 この防衛線は、「exe」「scr」といった警戒すべき拡張子の添付ファイルは遮断するが、メールのメッセージの中のリンクは警戒することなく通過してしまう。間違いなく、この技法はユーザーが添付ファイルと同じ程度にリンクを警戒するまで続くだろう。
重要な会計データを盗むように設定されたトロイの木馬系スパイウェアが著しく多くなってきている。毎週、何十もの新しい亜種が登場しており、形や機能が異なったものもしばしばみられる。このうちのいくつかは、トロイの木馬系プログラムの作成者や管理者に対してユーザーの入力した文字データを送ってしまう「キーロガー」である。もっと手の込んだトロイの木馬系スパイウェアは、データをリモートサーバに送って、、かつ、これらのサーバーからさらにコマンドを受け取り、感染したPCを完全にコントロールしてしまう。
感染したPCの完全なコントロールは、トロイの木馬作成者の目標である。感染したPCは、IRCチャネルやサイトで構成された「ボットネットワーク」の一部となり、有害プログラムの作者の新しいコードを拡大する手段となる。Agobotの亜種などの、更に複雑なトロイの木馬は、感染した全てのPCをP2Pネットワークで結合し、「ボットネットワーク」を形成する。これらのボットネットワークがシステムとして機能すると、スパム配信の配信や、DDoS攻撃(WallonやPlexus、Zafi、Mydoomが使った攻撃)の手段として利用されてしまう。
また、トロイの木馬であるDropper、Downloaderを多く検出した。両方とも、そのPCに、ウイルス、ワーム、トロイの木馬などの有害プログラムをインストールすること自体を目的としていた。これらは同じ目的をもっていたが、その目的を果たすために、違う方法を使っていた。
Dropperは、別途の悪意のあるコードを含んでいる。そのコードは、他の有害プログラムや、以前感染した有害プログラムの新バージョンをインストールしたりする。機能が違ったり、コード作者が違う、全く関係のない有害プログラムを実行させる場合もある。つまりこのコードは、多種の異なった有害プログラムを圧縮し、保存する有害プログラムである。Dropperは、既存のトロイの木馬を実行するのに使用される。なぜならば、アンチウイルスソフトに駆除されないよう新種を作成するよりも、この方が簡単だからである。ほとんどのDropperは、亜種の作成が簡単で、多くの機能を備えている、Visual Basic Script(VBS)やJavaScript(JS)を使って作成される。
Downloaderは、Dropperより有効的に利用されている。有害プログラムの作成者は、Dropperを利用したときと同じように、より便利なツールとしてDownloaderを使用する。その利用として、まず最初に、DownloaderはDropperよりも小さい。次に、ターゲットとした有害プログラムをエンドレスでダウンロードできる。DropperもVBSやJSといったスクリプト言語で作成されているが、Microsoft Internet Explorer(IE)の脆弱性を利用したものもある。
DropperとDownloaderは、他の悪意あるコードをインストールさせるためだけではなく、AdwareやPornwareプログラムをユーザーに気づかれずにインストールする。Adwareとは、ユーザーの動きとは無関係に、広告やバナーを表示させるプログラムである。Pornwareは、ユーザーの認識や承諾を得ず、有料のポルノサイトに自動的に接続してしまう、自動ダイヤル装置である。
パスワードの不正取得や機密データへのアクセス、DDos攻撃、スパムメールの配信などを目的としたトロイの木馬系プログラムは、有害プログラムに対する全体像を変える結果となった。有害プログラムが商業化してきたのである。地下組織が、有害プログラムによって利益を生み出せると気づいてしまったことは明白である。これは、地下組織が、スパムメールの配信用のシステムとして「ゾンビ」コンピューターをスポンサーに貸し出してしまうことも含まれる。また、「ゾンビ」コンピューターを使用し、恐喝するためにDDoS攻撃のデモを行ったりもする。「お金を払わなければ、徹底的なDDoS攻撃をしてサイトを壊すぞ」といった恐喝である。加えて、ログイン情報を盗み出す詐欺行為も発生している。この「フィッシング詐欺」は、虚偽のメールメッセージと悪意あるサイトを駆使し、ユーザーのクレジットカードや銀行の情報(ユーザー名、パスワード、PIN番号など)を騙し取り、悪用してしまう。
2004年はまた、ワイヤレス通信技術をターゲットとした有害プログラムも発見された。6月に、携帯電話の最初のウイルスであるCabirが発見された。このウイルスは、後に極東で報告されたが、29Aグループによって作成されたproof-of-conceptウイルスである。ポケットPCをターゲットとして、7月に登場したDutsウイルス(29Aグループ作成)や8月に登場したトロイの木馬系Brador等がこれに続いた。企業を中心として、ワイヤレス装置の使用はどんどん増加している。特に、PDAや携帯電話は、いくつかの無線技術の搭載(802.11bやBluetoothなど)によって、著しく利用者数が増加した。これらの装置はとても洗練されている。IPサービスを実行し、ウェブへのアクセスや企業ネットワークへの接続等が行える。また、他の装置やネットワーク越しでの遠隔操作も可能となる。あいにく、これらは伝統的なネットワークセキュリティー安全対策の範囲外となっているため、安全面においては元来不完全で、不用意である。今後、企業を中心にもっと多くの普及が予想されるため、ワイヤレス装置やネットワークは、悪意あるコードのさらなる標的と成りえるである。
さらに、2004年は有害プログラム作成者の逮捕が著しい年でもあった。2月には、ベルギーのウイルス作成者、Gigabyteが逮捕された。5月にドイツで2人のウイルス作成者が逮捕となった。1人目は、Sven Jaschenといって、SasserとNetsky亜種の作成の容疑を認めた。2人目は、Agobot/Phabotのワームファミリーを作成したとして逮捕された。Microsoftが、ウイルス作成者の逮捕に結びつく情報への報奨金についての発表を行った後、彼らは逮捕された。
2003年5月にハンガリーで大流行をみせたMagold.aワームを配信したとして、今年7月、Laszlo Kというハンガリーの10代の少年が有罪判決となった。2年間の執行猶予と2400ドルの賠償金を宣告された。同じ月に、台湾からのコンピューターエンジニアが、トロイの木馬系Cabrotorを配信しようとした容疑でスペインで逮捕された。Oscar Lopez Hinarejosは、2年の実刑判決を宣告された。同月には、台湾やカナダ、ルーマニアで他の逮捕がみられた。
8月には、ミネソタの10代の少年であるJeffrey Lee Parsonが、Lovesan.bワームを作成した容疑を認めた。
ここ数年間のウイルスとワームの素早い普及は、脅威の全体的な性質を明白にした。ウイルスに対する法的措置は、有害プログラム作成者を裁判にかけようと、各国の政府当局が協力する、グローバルな現象となった。成功例として、10月に、6カ国内で窃盗行為を働いた28人が逮捕された事実があげられる。これは、アメリカの情報機関、イギリスのNational Hi-Tech Crime Unit、バンクーバー警察のFinancial Crimes Section(カナダ)、Royal Mounted Police(カナダ)、ベラルーシやポーランド、スウェーデン、オランダ、ウクライナのEuropol and police aganciesの協力によるものである。
最近では、フィッシング詐欺を行ったロシア人がボストンで逮捕され、いくつかの詐欺行為、窃盗行為、クレジットカードのスキミング装置の使用などの容疑をかけられた。
一体、コンピューター業界はこの先どうなってしまうのであろうか?
おそらく、同じような現象を何度も見るであろう。コンピューターへの攻撃で、上記に述べたような技法が成果を上げ続ける限り、有害プログラム作成者はそれを利用するだろう。これは、大量のスパムメール送信や、脆弱なPCへのシステム感染の利用、機密データを盗む詐欺行為、DDos攻撃のプラットフォーム、あるいはスパム配信用としてのトロイの木馬の利用といった、従来の技法を含むであろう。更に、今年発見された、ウェブサイトから悪意あるコードをダウンロードするメールのメッセージ内のリンクの手法も含まれるであろう。重要なポイントとして、これらの手法は実際に成果をあげており、有害プログラム作成者や作成依頼者にとって違法的に利益を生み出したという実績がある。 もちろん、彼らはその有害プログラムに新機能を追加したり、精度を上げたり、検出や削除をされぬよう自己防衛機能をつけたりと、いろいろとひねりを加えてくるであろう。これまで通り、新技術の開発も怠らないだろう。特に、企業や個人としても利用者が増加し続けているワイヤレス装置を対照にした動きも多く見られるであろう。
最新の有害プログラムについては viruslist.com をご覧下さい。
著者:
Eugene Kaspersky
David Emm
Aleks Gostev
Marc Blanchard
