セキュリティベンダーが公開しているブログから、今回は、最近の攻撃手法に関する話題を3つ紹介する。まずはトレンドマイクロのブログ。匿名通信システム「Tor(The Onion Router)」を利用するマルウエアに関するものだ。サイバー犯罪者は、明らかにTorの可能性に目を向けている。ネットワーク管理者はTorを利用するマルウエアが自社ネットワークに現れる可能性を想定する必要があると、トレンドマイクロは注意を促している。
Torは、ネットワーク管理者やインターネットサービスプロバイダー(ISP)、あるいは国家などが、ユーザーの訪れるサイトを特定したり遮断したりできないようにするために設計されている。「Onion Routing」の概念を取り入れたもので、インターネット上にある多数のノードがインターネットトラフィックをリレー中継する。Torを利用するには、クライアントをマシンにインストールする。
クライアントはTorのディレクトリーサーバーにアクセスし、ノードのリストを取得する。目的地であるサーバーまでさまざまなノードを経由するインターネットトラフィックのパスを選ぶ。パスを追跡するのは難しい上に、ノード間のすべてのトラフィックは暗号化される。
これによって、ユーザーの身元、少なくともIPアドレスは、ユーザーが訪れたサイトから分からなくなる。ユーザーのネットワークトラフィックを探っている潜在的な攻撃者からも隠蔽する。これは、痕跡を残したくない訪問者や、何らかの理由でIPアドレスをアクセス拒否されているユーザーがサーバーに接続しようとしている場合などに都合が良い。
合法あるいは非合法どちらの動機もあり得るが、残念ながら不正な目的に使われる可能性があり、実際これまでも不正な目的に使われている。
2013年後半に、トレンドマイクロはTorを使ってネットワークトラフィックを隠蔽するマルウエアの増加を確認した。2013年9月に同社はマルウエア制御(C&C)サーバーとの通信のバックアップにTorコンポーネントをダウンロードする「Mevade」マルウエアについてブログに記述し、10月にはTorを使ってC&C通信を実行する「TorRAT」マルウエアを利用していた4人がオランダの警察に逮捕された。2013年最後の数週間は、Torをあらかじめ設定してあるブラウザーの使用をユーザーに迫る「Cryptorbit」と呼ばれるランサムウエアの亜種が複数確認された。
Torを利用するランサムウエアのワーニング画面
2014年1月に入るとトレンドマイクロは、C&Cサーバーとの接続にTorを使うだけでなく、通常の32ビット版に不正な64ビットバージョンを埋め込む複数の「ZBOT」サンプルについてブログで報告している。
ZBOTマルウエアの64ビットバージョン
Torを利用するマルウエアの増加は、ネットワーク管理者がさらなる措置を検討せざるを得なくなることを意味している。Torを認識し、Torの使用を察知し、必要であれば阻止しなければならない。Torが不正に利用されれば、IT対策が迂回されたり、機密情報が流出したりなど、さまざまな問題に発展するおそれがある。
