図1 情報処理推進機構(IPA) 情報セキュリティ技術ラボラトリー研究員の鵜飼裕司氏
図1 情報処理推進機構(IPA) 情報セキュリティ技術ラボラトリー研究員の鵜飼裕司氏
[画像のクリックで拡大表示]
図2 ダウンローダーを使った攻撃例(鵜飼氏の発表資料から引用)
図2 ダウンローダーを使った攻撃例(鵜飼氏の発表資料から引用)
[画像のクリックで拡大表示]

 「最近増えている『ダウンローダー型』のウイルス(マルウエア)は、感染すると別のウイルスコードをダウンロードして展開・実行する。何が起こるのかは、ダウンロードされる“第二のウイルス”によって異なるため、脅威(危険性)を分析することが難しい」。

 情報処理推進機構(IPA)の情報セキュリティ技術ラボラトリー研究員を務める鵜飼裕司氏は2008年2月20日、IPAとJPCERTコーディネーションセンター(JPCERT/CC)が開催した「重要インフラ情報セキュリティフォーラム2008」において、同氏が実施したウイルス解析の結果などについて講演した(図1)。

 従来、ウイルスは単体で動作するものがほとんどだった。感染機能を持つウイルスに、例えば「情報を盗む」といった悪質な機能も実装されていた。この場合には、感染したウイルスを解析すれば、その危険性や被害の程度を調べること(脅威分析すること)ができた。

 ところが最近では、感染後に、攻撃者が用意したサーバーから別のウイルスコードをダウンロードして展開し、実行するタイプのダウンローダーが増えているという(図2)。

 「何が起こるかは、攻撃者が用意したサーバー上の(ウイルス)コード次第。3日たったら別のコードに変わっている可能性がある。コードの中には、(感染パソコンなどの)状況に応じて変化するものもある。ダウンロードされるウイルスの詳細は、ダウンローダーをいくら調べても分からない」(鵜飼氏)。

 こういったダウンローダーに感染したら、そのダウンローダーを削除しても手遅れ。ダウンローダーは別のウイルスをダウンロードおよび実行しているので、「既に、“第二次のウイルス攻撃”が成立してしまっている」(鵜飼氏)。どういったウイルスがダウンロードされているのかも分からないので、対処方法や被害の規模などが簡単には分析できない。

 ダウンローダーによる被害を防ぐには、ダウンローダーが送信するダウンロード要求を遮断することが効果的であるという。「今回調べたダウンローダーでは、ダウンロード要求を遮断できれば、脅威が発生しないことが分かった」(鵜飼氏)。

 具体的には、企業ネットワークなどのゲートウエイにおいて、(1)不要な外向きのTCPポートをすべて閉じる、(2)(Webアクセスに使用する)TCP 80/443番ポートにおいて、HTTPおよびHTTPS以外の通信は遮断する(ウイルスの中には、同ポートを使って独自のプロトコルで通信するものがあるため)、(3)HTTPおよびHTTPSはプロキシー経由でのみ外部と通信できるようにする――などが有効であるという。