コンピュータウイルス(マルウエア)の被害が止まらない。ウイルス対策の一つが、社内ネットワークとインターネットの境界などで“怪しい通信”を検知すること。ウイルスの多くは、外部から送られてきた命令に従って動作するので、外部との怪しい通信が見つかれば、社内のパソコンがウイルスに感染している可能性が高い。

 だが、通信を監視していても、ウイルスによる怪しい通信を見つけられない場合があるので要注意。攻撃者はあの手この手でウイルスとの通信を隠そうとするためだ。最近では、Cookie(クッキー)に隠す手口も確認されている。

HTTPでウイルスを遠隔操作

 近年、攻撃者が使うウイルスの多くは“遠隔操作型”だ。企業内のパソコンに感染したウイルスは攻撃者のコンピュータと通信し、送られてきた命令に従って動作する。攻撃者は企業内のパソコンを乗っ取ってネットワーク内を自由に調査し、欲しい情報を入手する。

 ただし、遠隔操作型には弱点がある。攻撃者のコンピュータとウイルスの間で、いつもとは異なる“怪しい通信”が発生することだ。社内のコンピュータとインターネットでやり取りされる通信を監視して怪しい通信を見つければ、ウイルスに感染しているパソコンを見つけ出せる。

 そこで攻撃者が力を入れているのが、怪しい通信の秘匿である。通信を監視されても、攻撃者からの命令とは分からないようにする。過去、いろいろな方法が編み出され、使われてきた。

 その一つが、Webの通信プロトコルであるHTTPを使うこと。以前は、ウイルスとの通信に、チャット用のプロトコルであるIRC(Internet Relay Chat)が使われることが多かった。しかし、IRCが通常使用するTCP 6667番は、ファイアウオールなどで遮断されるようになってきた。そこで攻撃者は、多くの企業が通信を許可するHTTPを使うようになった。

 この変化は2007年ごろからセキュリティベンダーにより指摘され、2010年ごろに顕著になった。例えば2010年1月には、米サンベルトソフトウエアというセキュリティベンダーが、「この半年で、HTTPを使う中継サーバー(司令塔サーバー)が2倍になった」と指摘している。

画像に隠してチェックを回避

 怪しい通信にHTTPが使われるようになると、防御側はHTTPの通信相手や中身をチェックするようになる。中身のチェックをかいくぐるために登場したのが、命令を画像ファイルに隠す手口だ。

 例えばEMCジャパンのRSA事業本部は2014年3月、その一例を報告した。同社では、女性の“セクシーな画像”に仕込まれた例を紹介している。