今週のSecurity Check

 世界最大のクラウドはConfickerというワームが構成するボットネットだといわれていることをご存じだろうか[1]。こういったボットネットは、DDoS(分散型サービス不能)攻撃やスパムメール送信などのプラットフォームとして有償でレンタルされている。最近の調査では、1時間9ドルから利用できるものがあるようだ[2]。

 クラウドの定義やその規模を比較する基準には議論の余地があると思うが、ここではまず、世界規模でまん延したConfickerというワームの存在を思い出してほしい。今回は、Confickerへの対応という観点から、クライアントPCにおける脅威対策をいくつかご紹介する。

 Confickerは、2008年後期から2009年前期にわたって猛威を振るったワームだ。このワームは以下のように複数の感染経路を備え、高い感染力を持つことで知られている。

・リムーバブルメディア経由での感染(Autorunの悪用)
・ネットワーク共有経由での感染(ブルートフォース攻撃)
・Windows Server Serviceのぜい弱性(MS08-067)を悪用した感染

 亜種の一つであるConficker Dは、感染ノード同士でP2Pネットワークを構築し、攻撃者の命令や更新ファイルを共有する。2009年4月にこのP2Pネットワークの問題が大きな話題となったが、それ以降、日本国内でConfickerが話題となることはほとんどなかった。もうこのワームを気にかける必要はないのだろうか?

 答えはノーだ。以下は日本IBMセキュリティオペレーションセンター(東京SOC)におけるConficker感染ノードの検知状況の推移である。

タイトル
図1●Conficker感染ノード検知数の推移
(東京SOC調べ:2009年4月1日~2010年4月30日)

 検知される感染ノードは減少を続けているものの、いまだ根絶には至っていない。2010年4月以降はほぼ横ばいだ。2010年5月時点では連日8000ノード前後の検知があり、そのうち約1.6%(約130ノード)が日本国内のノードである。

 次に日本国内の感染ノードの内訳を紹介する。

図2●日本国内のConficker感染ノードの内訳
図2●日本国内のConficker感染ノードの内訳
(東京SOC調べ:2010年4月1日~2010年4月30日)

 日本国内の感染ノードは、その多くがコンシューマー向けISPのものだが、15%程企業ネットワークのノードも含まれている。いまだに駆除や感染対策が不完全な企業が存在する。このことは、単純な対策であっても徹底することがいかに難しいかを示している。対策は簡単なので、万が一未実施の環境があるようなら以下のWebページを参考に実施してほしい。
Windows をConfickerワームから守る(マイクロソフト セキュリティTechCenter)

対策を逆手に取った攻撃手法

 上記の解説にも含まれているが、自動実行(Autorun)の無効化がリムーバブルメディアの利用に関する基本的なセキュリティ対策として認知されつつある。一方で、先日、Autorun機能を無効にしているユーザーを対象にしたマルウエアの存在が公表された。具体的には、Autorun.infのActionKeyという機能を利用することで、リムーバブルメディアをExplorerで閲覧するよう促すダイアログを表示させ、「OK」をクリックするとExplorerではなく感染プログラムを起動する。これは、上記の対策をきちんと行っているセキュリティ意識の高いユーザーの所作を逆手に取った感染手法である。Confickerにはこのような機能は実装されていないが、マルウエア感染の仕組みとして把握し、以下のような対策を検討しておく必要がある。

対策例:
・よく使うリムーバブルメディアにあらかじめAutorun.infファイルを作成しておき、変更できないようアクセス制限の設定と属性変更を実施しておく
・リムーバブルメディアの利用を制限する管理ソリューションを導入する(IBMクライアントセキュリティソリューションなど)

 Confickerの被害は減少傾向にあるが、マルウエアの脅威が軽減するわけではない。4月末には、世界的な規模でZeuSウイルスの感染拡大を意図したスパムメールが検知される[3]など、大規模な感染行為も続いている。

 新たな脅威が取り沙汰されるたびに対処に追われるのは大変なので、あらかじめ攻撃手法や攻撃経路といった観点で自身の環境で想定される脅威をリストアップしておき、計画的に対応していくことが望ましい。

 もっとも、それらを本格的に実践するのはなかなか難しい。そこで、まずは新たな脅威に関するセキュリティ情報(いくつかの専門ブログなど)をチェックし、対策を考えてみることを日課にすることをお勧めしたい。脅威が広範囲で話題になるまでに準備しておけるようになるだろう。物理的なセキュリティを警備会社に任せるように、ネットワークセキュリティも専門家に任せることも一つの手だろう。

関連リンク:
[1] Network World The biggest cloud on the planet is owned by ... the crooks(英文)
[2] ZDNet UK Botnet price for hourly hire on par with cost of two pints(英文)
[3] Tokyo SOC Report Launch機能を悪用するPDFファイルが添付されたスパムメールを広域で検知

梨和 久雄
日本アイ・ビー・エム
セキュリティー・オペレーション・センター
チーフ・セキュリティー・アナリスト、CISSP
 「今週のSecurity Check」は,セキュリティに関する技術コラムです。日本アイ・ビーエム マネージド・セキュリティー・サービスのスタッフの方々を執筆陣に迎え,同社のセキュリティオペレーションセンター(SOC)で観測した攻撃の傾向や,セキュリティコンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)
■IBM Security Servicesが提供するネットワークセキュリティの最新情報はこちら