マルウエアの出来は,年々向上している。背景には,一般的なソフトウエアと同様,マルウエアにもオープンソース的な開発手法が用いられていることが挙げられる。今回は,最新のマルウエアを紹介しよう。

 最近注目されているマルウエアが二つある。多機能で個人情報を取得することを目的とした「Gozi」と,ファイル・サイズが1Kバイト弱の「Small-EJ」だ。どちらも,自身を有用なソフトに見せかけてコンピュータに侵入を試みる「トロイの木馬」である。

多機能なハイブリッド型に

 Goziは多機能なトロイの木馬である。特徴は,SSL接続が開始されると,通信が暗号化される前にストリームをキャプチャするなど,個人情報詐取機能が充実している点にある。ほかにも,ウイルス対策ソフトウエアの回避機能を搭載し,メモリー内での動作を解析しづらいように工夫されている。

 さらに最新バージョンのGoziは,キーロガーの機能を搭載。既に世界で2000人以上の個人情報がGoziによって盗まれたといわれる。このトロイの木馬はロシアで売買されていたことが発覚しており,初めから金銭目的で開発されたことがうかがえる。

 もう一つのSmall-EJは実験的な要素が垣間見える。このトロイの木馬は他のマルウエアを強制的にダウンロードし,実行する。例えば,rootkitをインストールした上で,ボット機能を持ったプログラムをダウンロードするなど,攻撃者の目的に合わせて選択できるようになれば,その被害範囲は計りしれない。

 Goziがいろいろな機能を詰め込んだハイブリッド型であるのに対し,Small-EJは目的に応じて機能を追加することでピュアな状態からハイブリッド型に変形するタイプ。仕組みは違うが,どちらもプライバシー情報を詐取するには十分な機能を持ち合わせている。

ウイルス対策の隙を狙われる

 これらのトロイの木馬が稼働してしまうと,ユーザーがその存在を見付けることはかなり難しい。最近のマルウエアは,drive-by-download(自動ダウンロード)という手口を使う上,ウイルス対策ソフトを回避するようにして送られてくることが多いためである。

 例えば,先日報告のあったリッチ・テキスト・ファイルに実行ファイルを埋め込む手法がわかりやすい。リッチ・テキスト・ファイルはWordpadやMicrosoft Officeで利用可能なファイル形式である。犯罪者は,ユーザーが気軽にファイルを開いてくれることを期待して,このファイル形式にマルウエアを埋め込んでくる。

 この程度ならウイルス対策ソフトが検出してくれるのではないかと思うかもしれない。しかし意外にも,多くのウイルス対策ソフトはリッチ・テキスト・ファイルの中身を検索していない。ウイルス対策ソフト・ベンダーからすると,すっかり裏をかかれた形となってしまった。

 写真1は,実際にマルウエアを埋め込んだテスト用のリッチ・テキスト・ファイルでウイルス対策ソフトを検証した際の画面写真である。埋め込んだファイルの拡張子はTXTとなっているが,ダブルクリックすると実行ファイルとして動作する。これは,Anntinyのように拡張子を二重にするなどの細工をしているのではなく,Windowsが実行ファイルとして認識しているためだ。今回は,WindowsXPとServicePack2,Internet Explorer(IE)7という動作環境で検証したため,写真のように実行ファイル起動時に警告がポップアップされたが,ブラウザがIE6以下の環境では警告は表示されない。

写真1●リッチ・テキスト・ファイルに埋め込まれたファイルを実行した様子
写真1●リッチ・テキスト・ファイルに埋め込まれたファイルを実行した様子

 このマルウエアの検索を,31種類のウイルス対策ソフトを使って実施した結果,なんと15のウイルス対策ソフトが検索に失敗した(写真2,5月29日現在)。このような,悪用されやすいファイルの拡張子を知っておくだけでも防御に役立つはずである。

写真2●各社のウイルス対策ソフトでリッチ・テキスト・ファイルをスキャンした結果
写真2●各社のウイルス対策ソフトでリッチ・テキスト・ファイルをスキャンした結果

SEOまで駆使する攻撃者

 最近の攻撃者は,特定のユーザーに狙いを絞ってマルウエアを仕掛けてくる。このため,トロイの木馬やキーロガーに感染するホストは限定されることが多い。その上,感染が受動的であるために派手な感染活動を行わない。

 このような,特定条件で外部と通信を行うため通信量が少ない,マルウエアの通信がWebベースであるといった点が発見の難しさにつながっている。よほどレベルの高いモニタリングをしていない限り検知できない。

 また,攻撃者は必ず,マルウエアをダウンロードさせるサイトにユーザーを誘導するが,これを防ぐことも難しい。誘導の手法が多彩だからだ。誘導の手口の一例は,検索サービスを使う方法である。米グーグルの論文によると,最近はWebベースでのマルウエアが多い参考URL:(http://www.usenix.org/events/hotbots07
/tech/full_papers/provos/provos.pdf
)。検索は都合のいい入り口になる。

 例えばGoogleで「inurl:ie0604.cgi」と検索してみよう。IEのぜい弱性を悪用するコンテンツが検索結果として表示されるはずだ(現在は,サイトへのリンクは切れている)。つまり攻撃者は,SEO(検索エンジン最適化)の仕組みを悪用し,Googleから誘導していた可能性がある。ただ,それぞれのサイトが,実際にどのようにユーザーをだましているのかは特定困難である。

 もう一つ知っておきたいのは,企業の内部犯罪でもマルウエアが使われることだ。筆者の昨年度のフォレンジック関係の案件において,内部犯罪に関する対応件数が2005年から2006年で4倍に増加した。その一部は自作マルウエアによる事件であり,盗んだアカウント情報を使ったなりすまし事件も含まれていた。国内で,あるユーザーがほかのユーザーにキーロガーを添付した電子メールを送り,IDとパスワードを盗んだとして逮捕された例もある。

 こうした状況に,筆者も不安になることがある。そんなときは,Webブラウザのキャッシュ・フォルダを調べてみるようにしている。すると,興味深いものが見付かることがある。筆者の場合,職業柄,写真3のようなスクリプトが稀に見付かる。これはスクリプト型のキーロガーで,性質の悪いコードの一つである。海外のWebサイトに勝手にリクエストを出すスクリプトも多々ある。たまに調べて見ることをお勧めする。

写真3●ブラウザのキャッシュを探すと見覚えのないスクリプトが見付かることがある
写真3●ブラウザのキャッシュを探すと見覚えのないスクリプトが見付かることがある

岩井 博樹(いわい・ひろき) ラックコンピュータセキュリティ研究所 所長
ラックのコンピュータセキュリティ研究所に勤務。IDS/IPS導入設計,コンサルティングなどに従事した後,同社のJapan Security Operation Center(JSOC)にて監視業務に携わる。現在は,セキュリティ技術の研究開発,フォレンジック業務を手掛ける。