Symantec Security Response Weblog

Storm Worm - Still Evolving」より
May 5, 2008 Posted by Vikram Thakur

 さまざまなセキュリティ関連組織が「Storm」ワームによるボットネットの規模縮小を報告したばかりだというのに,新たな拡散の波が起きそうな兆候に気付いた。我々は現在,トロイの木馬「Trojan.Peacomm」(Stormの別名)に関与している,「Fast-Flux」(関連記事:攻撃の高度化,「Fast-Flux」から「RockPhish」まで――その1)という攻撃手法を使う複数のドメインを監視している。これらのドメインは数日前に登録されたばかりで,アクセスしても空白ページしか表示されない。ただ,あるファイルにアクセスするように各ドメインのURLを変えてみると,種々のセキュリティ・ホールに攻撃を仕掛けるスクリプトが作動する。ソフトウエアのセキュリティ問題を扱うメーリング・リスト「Bugtraq」は,該当するセキュリティ・ホールに「20047」「28157」「23224」「27533」「27626」といったIDを割り当てた。

 問題のドメインにアクセスしたパソコンに攻撃対象となるセキュリティ・ホールが存在すると,実行ファイルがダウンロードされて動き出す。このファイルは,当社(米シマンテック)のセキュリティ・ソフトウエアで「Trojan.Peacomm.D」として検出できる。アンチウイルス用シグネチャによる識別で同ファイルの実行は阻止できるし,当社製品の侵入防止システム(IPS)用シグネチャでも同ファイルを認識し,「MSIE ADODB.Stream Object File Installation Weakness」および「MSIE DHTML CreateControlRange Code Exec」として拡散しようとする動きを阻める。

 興味深い点は,攻撃用ドメインにユーザーをおびき寄せるスパムがまだ見当たらないことだ。これは非常に珍しい状況である。さらに,マルウエアを拡散させる方法が従来の単純なソーシャル・エンジニアリングから,実際にセキュリティ・ホールを攻撃する手法に変化した点も興味深い。これまでの手口を踏襲するなら,Stormの作者はWebサイトやスパム・メールからマルウエアに直接リンクを設けていただろう。そして,リンク先のマルウエアは,パソコンへの感染を試みる際,セキュリティ・ホールが実際に存在するかどうか確認しなかったものだ。

 我々が監視しているドメインへのリンクは,今のところ存在しない。考えられる可能性は,サイトが開発途上なのか,作者がマルウエア拡散に別の手段を使うつもりかのどちらかだ。前者なら,スパムの波が近日中に到来し,母の日というイベントをおとりとして悪用するだろう。後者であったら,どのような手口が使われるだろうか。現時点では,推測することしかできない。2008年4月に起きたセキュリティ事件のうち,Webサイトにiframeインジェクション攻撃を行い,断りなくパソコンにマルウエアをダウンロードさせようとする事例は4件あった。このことから,Stormの作者が同じiframeインジェクションの手口を使っていると考えることは強引過ぎるだろうか。こうした攻撃の背後にいる人物たちが行動をともにしていることはないだろうか。共謀したことはないだろうか。

 いくら議論したところで,これらの疑問の答えなど見付からない。攻撃の波で使われた手口は,後になってみないと確認できない。今回の件は,Stormの歴史において注目すべき進化であるはずだ。常に最新版アンチウイルス・ソフトウエア用シグネチャ・データの使用を心がけよう。OSに修正パッチを適用して最新の状態を維持することも重要だが,今回のマルウエアが狙うセキュリティ・ホールのほとんどは,サード・パーティ製ソフトウエアに存在する。パソコンにインストールしたソフトウエアの最新版をメーカーから入手し,確実にアップデートしておこう。


Copyrights (C) 2008 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Storm Worm - Still Evolving」でお読みいただけます。