2011年最後のコラムとなる今回は、2011年を象徴するスマートフォン関連および標的型攻撃関連の話題を紹介する。
まず最初は、ユーザーが承認した以上の情報を密かに収集しているとして話題になっている「Carrier IQ」ソフトウエアについてのブログを取り上げる。端末にCarrier IQがインストールされているかどうかをチェックするアプリケーションを多数の企業がリリースしているが、スロバキアのイーセットはこうしたアプリケーションの使用について、ブログで注意を呼びかけた。
イーセットが見たところ、CarrierIQ検出アプリケーションはどれも米グーグルのモバイルOS「Android」を対象にしたものだ。しかしCarrier IQはAndroidに限った問題ではない。イーセットは、Carrier IQがどのように使用されているかをCarrier IQ提供会社やモバイル通信事業者が明確にする必要があると引き続き考えているが、出回っている情報にはやや誇張があるとも見ている。
とはいえ、Androidでの実装に注目している限りでは、Androidがこれまで不正アプリケーションで抱えてきた問題を思い出す必要がある。Androidを狙った不正アプリケーションは「Android Market」に審査機能がないこと、またユーザーがAndroid Market以外からもアプリケーションを入手していることを利用している。一部の組織的マルウエア作成者がトロイの木馬や偽アンチウイルスプログラムのようなもので、Carrier IQの存在を検出するアプリケーションに見せかける可能性はどれくらいあるだろうか? もちろん、正当なセキュリティ会社から直接提供されているアプリケーションでそのような危険な目に遭うことがあってはならない。しかしもし人々がいつも正当なルートからのみ入手していれば、偽アンチウイルスの問題など起こらないはずだ。Carrier IQ検出アプリケーションを装った不正プログラムが登場し場合、それに感染したとすると、Carrier IQがインストールされている以上のリスクにさらされることになる。
イーセットはユーザーに対し、Carrier IQ検出アプリケーションなどを提供しているWebサイトが信頼できるかどうか、慎重に確認すべきだと忠告している。
新しいデバイスを保護するために
次に、米マカフィーのスマートフォン関連のブログを取り上げる。同社はデータの価値に関する意識調査を実施し、その結果を、ブログで報告している。調査の結果によると、米国消費者は複数のデバイスに保存しているデジタル資産の価値を平均5万5000ドル以上と見積もっている。しかし多くの人々は、銀行関連の記録、家族の写真、デジタル音楽、映画ファイルといったデータのすべてを、簡単になくしたり盗まれたりするスマートフォンに保存している。
この結果を受けてマカフィーは、モバイルデバイスを脅威から守る心得10箇条を作成した。
- スマートフォンやタブレット端末を新たに所有すれば、モバイルデバイスをターゲットにした脅威が拡大すると認識すること
- 米アップルのコンピュータやモバイルデバイスを新たに所有したら、Windowsパソコンのベストプラクティスをアップル製品にも適用すること
- デスクトップやノートパソコンを新たに入手したら、アンチウイルスソフトだけでなく、包括的セキュリティソフトウエアを導入し、定期的にバックアップをとること
- 無償のセキュリティソフトウエアは保護機能が十分でないかもしれないことを認識すること
- データ保護をしっかり行うこと
- 安全な環境で検索やショッピングを実行すること
- 偽警告メッセージで製品購入を強要するスケアウエア(偽アンチウイルスソフトウエア)について認識を持つこと
- 家族を啓発し、子どものオンライン利用に注意を払うこと
- 新たにゲーム機器を所有したら、これら機器がインターネットにつながり、パソコン向けの脅威に対して脆弱であることを覚えておくこと
- 外付けストレージデバイスを使う場合、情報保護に役立つ技術を用いること
「Sykipot」マルウエアを使う標的型攻撃
最後は標的型攻撃に関するブログを紹介する。米シマンテックは、「Sykipot」マルウエアファミリーを利用した攻撃を最近確認したとして、注意を促した。Sykipotは数年前から標的型攻撃に使用され、その登場は未確定ではあるが2006年までさかのぼる。
2011年12月1日に発生した大規模な攻撃では、米アドビシステムズの「Adobe Reader」と「Adobe Acrobat」のゼロデイ脆弱性(CVE-2011-2462)を悪用したPDFが送信された。シマンテックはこの攻撃で使われたSykipotマルウエアをトロイの木馬として分類しており、その中には「JS.Sykipot」や「Backdoor.Sykipot」も含まれる。
これら攻撃の目的は、知的資産を収集し、リモートのサーバーに送信すること。狙われるデータは標的になった組織により異なるが、デザイン、財務、製造、戦略関連の情報が対象となる。Sykipotを利用する攻撃者はこれまでさまざまな業界に攻撃を仕掛けてきたが、その大半は国防産業だという。
Sykipotを使った標的型攻撃は長期にわたって執拗に行われる。このことからシマンテックは、攻撃者が十分な資金を持ち、特定の価値の高い情報を手に入れることに意欲的だと見ている。最近の攻撃で狙われた企業には、主に英国と米国の国防関連の契約事業者、電気通信会社、コンピュータハードウエア会社、化学薬品会社、エネルギー事業、政府機関が含まれる。
攻撃者は、不正な添付ファイルまたはリンクを付けた電子メールを、狙った相手に送信する。これにより、パッチ未適用のゼロデイ脆弱性を突くか、あるいはターゲットのパソコンで脆弱なソフトウエアが稼働していれば既知の不具合を利用する。
攻撃に使われた電子メールの例
攻撃者は不正電子メールを送る相手について多くの時間を費やしてリサーチしており、受信者はほとんどがCレベル(CEOやCFOなど)、副社長、部長などの上級役職者だ。これらの人は知的資産を格納しているコンピュータや機密情報へのアクセス権を持っている可能性が高い。また、彼らのコンピュータやそこかで収集された情報は、一般社員への攻撃を仕掛けるのに使用することもできる。
コンピュータが侵入を受けると、攻撃者はまず調査コマンドを発してシステムとネットワークの情報を収集し、そのコンピュータが攻撃者の関心に見合うかどうか確認する。見合うと判断すると、感染コンピュータの環境に応じてカスタムコマンドを発信し、目的とする情報の場所を特定して密かに取り出す。
攻撃がどの組織によるものか特定するのは通常は困難だが、Sykipotのように攻撃が長期にわたると、攻撃者の基本的な特徴を追跡することができる。バックドア型トロイの木馬は高度ではないものの、攻撃者は複数のゼロデイ脆弱性を見つけるスキルを十分に持っている。また、ボットネットを制御するサーバー(C&Cサーバー)が多数あることを考えると、攻撃者は単独ではなく集団であると考えられる。また長期の攻撃を実施することから、安定した資金を持っている可能性が高い。
