筆者は過去数カ月にわたって,マルウエアの代表的な分類(カテゴリ)で見られる技術進化,さらにこれらの進化が世界各地にいる当研究所(米IBMの研究開発チーム)の顧客にどう影響するか論じてきた(関連記事:「マルウエア」総まとめ~その特徴と分類方法~)。
技術的に細かい進化の内容はさておき,筆者が話をした顧客はマルウエアによる犯罪の戦術進化に最も興味を持ったようだ。
マルウエアまん延を企む犯罪集団は,高度化したネットワーク・セキュリティ技術や至るところにあるホスト・ベースの保護機能をかいくぐりつつ,堅牢性が増したOSのセキュリティ・ホールを確実に突いて,強固になったパッチ・プログラムの網の目をくぐりぬける必要性に迫られる。その一方で,「投資」から最大限の価値を生み出そうと,より洗練されたビジネスモデルを考案してきた。
“古き良き時代”には,犯罪者たちはホストの弱点を突き,バックドア(あるいはトロイの木馬など)を仕掛け,それをハッキングしたコンピュータで構成した自分たちのネットワークに加えていた。その上で,金を稼ぎ出すため,ハッキング済みシステムを使って,スパム・リレー,分散型サービス妨害(DDoS)攻撃,匿名プロキシなどどちらかというと目立つ攻撃を仕掛けた。当然のことながら,これらの攻撃に使われるホストは,ネットワークを監視していれば簡単に識別できたし,シャットダウンやブロックといった対策も比較的容易だった。
最近では,(セキュリティが発達し,犯罪者によるホストの奪い合いが激しくなったため)システムへの侵入はこれまでよりも少々難しくなり,このため犯罪者たちは,エクスプロイト・コードを購入したり,攻撃方法の寿命を延ばすために犯罪向きISPと契約したりと,さらに資金を投じて攻撃を仕掛けなければならなくなってきた。このため,「できる限り長い間,息を潜めること」を特徴とした,新たな収益モデルが登場してきた。
こうした収益モデルの実現を目指し,最新世代のマルウエアは,ホストに侵入し,金になるものを残らず引き出す,寄生虫のような特性を強めている。
我々がいま見付けている寄生型マルウエアは,昔のウイルスのようにノイジーに動き,あっという間に検出,遮断されるのではなく,さながらステルス・モードで活動を開始し,ホストの金銭的価値が下がるにつれ,徐々に目立つ行動を取るようになる。
犯罪者たちが寄生型マルウエアで採用している戦術の例をいくつか以下に挙げる。
(1)マルウエアはインストール後,密かにホストを調べる
・どのようなタイプのホストか(ワークステーション/サーバー/家庭用パソコン)
・インターネット接続の方法は何か(DSL/LAN/ダイヤルアップ)
・IPアドレスのブロックはどれか,それは企業ネットワークのものか
・VPNで運用されているか,ホストの接続先ネットワークはどこか
(2)続いてマルウエアはホスト上のデータを探し,売り物になりそうなものを抽出する
・被害ユーザーのアドレス帳やメール・ソフトに含まれる,すべてのメール・アドレス
・あらゆるパスワード確認/リセットに関する受信メール
・料金明細/受注確認メールに含まれるクレジットカード情報や住所
・「機密」「秘密」「個人」といったキーワードを含むファイル(こうしたファイルをダウンロードできるよう準備する)
・ファイル,アプリケーション,システム・メモリーに保存されたログイン情報(例:Webブラウザの「記憶する」機能で保存されたデータなど)
(3)抽出した全データをまとめ,一つのファイルに圧縮して暗号化し,インターネット上にある「投函箱」との間に安全な通信チャンネルを確立し,戦利品を送信する
・データの内容/容量に応じて分類/分割し,参加者の多い闇オークションで(同様に手中に収めた数千件に及ぶホストのデータと合わせて)販売する
(4)キーロガー,スクリーンショット取得ツール,Man-in-the-Browser(Webブラウザを狙う中間者)用プロキシ・エージェントなどを起動し,手中に収めたホストのユーザーを監視しながら,オンライン・バンキングのログイン情報,企業VPN用アクセス・コード,Webメールのアカウントなど,さらに多くのログイン情報を抽出する
(5)侵入したホストがどのネットワークに所属するのか,密かに問い合わせる
・ネットワーク上のその他ホスト/デバイスを検索する
・ネットワーク共有やリモート・ファイル・リポジトリのデータをマップに書き出す
・ホストが企業ネットワーク上にある場合,感染ファイル,USBデバイス(Autorun.infを生成するウイルス),あるいは攻撃性の高いエクスプロイト的な攻撃手法を使い,別のホストへの侵入を試みる
(6)有益なデータを抽出し尽くしたら,あたかも人間が操作しているように見える,スクリプト生成が可能な金蔓(かねづる)デバイスとしてそのホストを使い始める
・犯罪集団の管理下にあるスポンサー広告をクリックさせて,クリック詐欺を行う
・有料ソフトウエアの試用版をインストールする(金もうけの仕組みはクリック詐欺に似ている。このソフトウエアのベンダーは,Webサイトからソフトウエアがダウンロードされて実際にインストールされたことを確認したら,サイト運営者,つまり犯罪者集団に成功報酬を支払う)
・違法なソフトウエアやメディア・コンテンツの保管場所として利用したり,フィッシング/詐欺サイト用のWebサーバーを運用したりする
・プロキシ詐欺やマネー・ロンダリングなどの攻撃を仕掛ける
(7)ホストの寿命が終わりに近づき,感染に気付かれた可能性がある場合は,昔ながらの「派手」なサービスを行う
・スパム・リレー
・DDoSエージェント
・匿名プロキシ
・自動的な総当たり(ブルートフォース)攻撃や「パスワードの復旧」など
当然のことながら,これらの戦術は想定される事例,あるいは犯罪者たちが実際に行っている事例のごく一部にすぎない。それでも,これで,犯罪者が標的ホストから金目のものを抜き出す際に使う,段階的な手口が分かっただろう。
今後の動向
犯罪者は将来的には,マルウエア機能に磨きをかけ,手中に収めたデータ資産を買ってくれる新たな相手を見つけるので,上記(3)~(6)の段階で,新たなビジネス・モデルが登場してくると予測している。
犯罪者たちが抜き出した情報をベースにして,より完成度の高い個人情報データの作成に力を入れてくる可能性もあるだろう。例えば,この数年間でクレジットカード情報の価値は数分の1まで下がった(オンライン・ショッピングのクレジットカード決済に必要な情報は,カードの枚数にもよるが,大量購入割り引きを適用すると1枚当たり0.05~2ドルで買える)。
一方,一般に考えられる家庭用パソコンに侵入した場合,銀行関連情報(オンライン・バンキングやクレジット/デビット・カードの情報),家族全員の氏名/年齢,Webサイト閲覧履歴やオンライン・ショッピングの利用パターン,家計の状況,病歴,はては休暇の計画,自動車の登録情報,納税書類までも含む,「世帯すべての身元情報集」を作成できる。これならすぐに200~500ドルで売れる。
このような情報を購入し,使用するのは一体誰なのか。グレー・マーケットを通じて,合法的なマーケティング業者や代理店の手に渡っていると聞いている。ただし,犯罪者たちは情報の売買/投資でこれまで以上の利益を求めることも予測される。例えば,被害者の銀行口座から数千ドルをかすめ取るのではなく,盗み出した身元情報を使って別の銀行で20万ドルのローンを組むことも可能だ。
過去12カ月間に(感染したホストから抽出されたデータの売り手と買い手を結び付ける)多くの新しい掲示板が登場していることも特筆すべき点である。これら掲示板は高度な検索機能を備えていて,「商品」を絞り込める。例えば,特定団体/個人の使っているホストを探せる。
Copyrights (C) 2008 IBM, Corp. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,日本IBMの許可を得て,米国のセキュリティ・ラボであるIBM Internet Security Systems X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「From Virus to Parasite -- The Parasitic Era of Malware」でお読みいただけます。
