この数年、各セキュリティ企業はクラウド技術を利用したサービスを提供するようになってきてている。ところが最近、セキュリティ対策のクラウド技術を標的としたと思われる攻撃が確認された。

 多くのセキュリティ企業が、各社のサービスにクラウドコンピューティングの技術を統合するようになってきている。しかしサイバー犯罪者は、その新しい技術に対抗しようと背後から狙っている。それを実証するように、2011年1月下旬、様々な手法を用いてクラウドベースのセキュリティ機能の動作を妨害しようとするトロイの木馬型不正プログラムが確認された。

 この不正プログラムは、中国語圏を対象とした動画再生ソフト「Bohu High-Definition Video Player」(英語名)を装って、様々なWebサイトで公開されていた。動画再生ソフトと勘違いしたユーザーがダウンロードすることで、コンピュータに侵入する。「TROJ_FKEPLAYR.CH」(※1)として検出されるこの不正プログラムは、ビデオプレーヤーのインストールを促すような中国語のグラフィカルユーザーインタフェース(GUI)を表示させる。しかし実際には、このGUIは、この不正プログラムの活動を隠すために、ユーザーの注意をそらす役割を果たすだけである。

複数の不正プログラムを作成

 TROJ_FKEPLAYR.CHは、実行されると、「TROJ_GORIADU.SMZ」(※2)および「TROJ_GORIADU.SMX」(※3)として検出される2つの不正ファイルを作成する。TROJ_GORIADU.SMZは、偽のGUI画面として役割を果たす。一方、TROJ_GORIADU.SMXはコンポーネントファイルとして機能し、TROJ_FKEPLAYR.CHによって実行され、ipseccmd.exe、setup<数値>.exeという二つのファイルを作成する。ipseccmd.exeは、Windowsの正規ファイルのコピーであり、setup<数値>.exeは「TROJ_GORIADU.DRP」(※4)として検出される不正ファイルである。またTROJ_GORIADU.SMXは、コンピュータが使用しているDNS(Domain Name SystemS)サーバーの設定を変更する機能を備えている。さらにTROJ_GORIADU.SMXは、これまで用いられてきたようなハッシュ値によるウイルス検出を回避できるように、自身が作成するTROJ_GORIADU.DRPや、TROJ_GORIADU.DRPが作成する4種類のファイルにランダムなコードを追記する。

 TROJ_FKEPLAYR.CHは、自身が作成したWindowsの正規ファイルのコピーであるipseccmd.exeを実行する。このipseccmd.exeは、IPセキュリティポリシーの設定に使用されている。TROJ_FKEPLAYR.CHは、このファイルを用いて、感染コンピュータと、中国の電気通信事業者関連の特定IPアドレスとの間の通信をブロックする。TROJ_FKEPLAYR.CHは、TROJ_GORIADU.DRPとして検出されるsetup<数値>.exeを、パラメーター「/VERYSILENT /NORESTART」を使用して実行し、メインとなる不正コンポーネントファイルをインストールする。

 TROJ_GORIADU.DRPは、「TROJ_GORIADU.SMC」(※5)、「TROJ_GORIADU.SMW」(※6)、および「TROJ_GORIADU.SMY」(※7)として検出される不正なDLLファイルを作成する。これらに加えて、「TROJ_GORIADU.SMM」(※8)として検出される不正なシステムファイルも作成する。これら4種類のファイルは、TROJ_GORIADU.DRPと同様、ハッシュ値によるウイルス検出を回避する目的で、TROJ_GORIADU.SMXによってランダムなコードが追加されている。

図●TROJ_FKEPLAYR.CHを起点とする感染フロー
図●TROJ_FKEPLAYR.CHを起点とする感染フロー

セキュリティベンダーとの通信をブロック

 TROJ_GORIADU.DRPが作成するファイルで最も注目すべきものは、「TROJ_GORIADU.SMM」と「TROJ_GORIADU.SMC」である。TROJ_GORIADU.SMMは、クライアントコンピュータがサーバーから更新データを入手するのを阻害するために、特定のセキュリティ製品のクラウド機能で使用されるサーバーのIPアドレスへの通信をブロックする機能を備えている。これにより、コンピュータはサーバーにフィードバックできなくなり、データが更新されていれば検出できる不正プログラムも検出できなくなる怖れが出てくる。一方、「TROJ_GORIADU.SMC」は、非表示のInternet Explorer(IE)のウインドウを介して、URLにアクセスする。

 また、「TROJ_GORIADU.SMC」は、iframeタグを組み込むことも可能。WindowsのTCP/IPハンドラーとして使用されるソフトウエア「Layered Service Provider (LSP)」としても機能し、ユーザーのインターネット閲覧活動を監視する。このとき利用される暗号化されたカスタマイズ可能なファイルには、TROJ_GORIADU.SMCがユーザーのインターネット閲覧活動を基にして作成するコマンドのリストが記録されている。これらすべての脅威が一緒になり、複数のコンポーネントファイルによる複合的な攻撃を構成する。