日々進化するマルウエアによる攻撃。悪意ある第三者は、マルウエアをどのようなネットワークで配信しているのだろうか? Webセキュリティ/WAN高速化ソリューションベンダーの米ブルーコートシステムズのシニア・マルウェア・リサーチャーのクリス・ラーセン氏が、日経NETWORKの取材に答えた。同氏はコンピュータサイエンスの理学士号と言語学の修士号を持っており、現在はマルウエアの動向調査を専門にリサーチしている。
マルウエアの配信ネットワークをどのように見つけているのでしょうか?
あるマルウエアを見つけたとき、私たちはそのマルウエアに類似したトラフィックを探し出します。例えば、マルウエアの配信元のIPアドレスや、どのように攻撃されたのかを見ています。
こうしたトラフィックを探し出して観察すると、図1のように、隣り合うIPアドレスで怪しい動きをしているものは水平方向にマッピングできたり、攻撃のトラフィックは垂直方向にマッピングできたりします(図1))。
こうして解析すると、マルウエアの配信は4階層が分担していることがわかります。こうした全体像を把握して、マルウエアの配信ネットワークを見つけるわけです。
「おとり」「リレー」「プリエクスプロイトキット」「エクスプロイトキット」の4階層ですね。
「おとり」は、フィッシングメールなどのことです。この「おとり」をユーザーの端末に送り込むのが、悪意ある第三者が実行する最初のことです。このフィッシングメールに書かれたリンク先をクリックすると、端末は「リレー」のサーバーに導かれます。これは「おとり」を束ねる中継サーバーです。
次に、「リレー」はクライアントからの通信を「プリエクスプロイトキット」と呼ばれるサーバーに中継します。「プリエクスプロイトキット」では、ユーザーが使っているWebブラウザーのバージョンやコンピュータのOSの種類などを解析します。解析した結果に基づき、「プリエクスプロイトキット」は、端末に感染できるマルウエアを持つ「エクスプロイトキット」のサーバーに端末の通信を中継します。マルウエアを実際に配信しているのは、この「エクスプロイトキット」のサーバーです。こうしてユーザーの端末はマルウエアに感染してしまうわけです。
このようなマルウエアを配信するためのネットワーク全体のことを、私たちは「マルネット」と言っています。これらのサーバーは固定的なものではなく、なくなってしまったり、IPアドレスを変更したり、成長したりしています。
一般の人にマルネットを理解してもらうために、私たちはマルネットのトラフィックを可視化することに成功しました(図2)。これは、Shnakuleというマルネットだけを示した図です。一つのマルネットだけでこうした複雑な形をしています。