Webと結び付く最近の脅威:企業で多発するマルウェア騒動から学ぶもの (1/3) - ITmedia エンタープライズ(情報元のブックマーク数)
マルウエアの現状についてTrendの平原さんが語っています。
1990年代後半から2000年代前半にかけて、「Blaster」や「Nimda」「Sasser」といったワームによる大規模被害が企業システムを中心に発生した。2008年以降、「Downad」(別名Conficker)ワームによる大規模な感染被害が再び発生。同ワーム以外にも、リムーバブルメディアを通じて感染する「Autorun」ウイルスや、Webサイトの改ざんを狙うウイルス「Gumbar」(別名JS-Redir、Geno)、アプリケーション開発環境Delphiで感染を広げるトロイの「Induc」といった被害が続いている。
企業で多発するマルウェア騒動から学ぶもの (1/3) - ITmedia エンタープライズ
ちょっwww目赤っwwwww!!!!
トレンドマイクロの東京リージョナルトレンドラボ(ウイルス解析施設)で脅威分析を担当する平原氏
企業で多発するマルウェア騒動から学ぶもの (1/3) - ITmedia エンタープライズ
Downadワームは、色々やりますねぇ、Windows Update Serviceを無効化とか復元ポイントの削除とか・・・・凶悪。
Downadワームは当初、感染するとシステム復元ポイントを削除してWindows Update Serviceを無効化する。また、辞書攻撃によってローカルネットワークの共有パスワードを破り、近隣のマシンに感染を広げる仕組みだった。2008年末に登場した亜種以降、Autorun機能を使ってリムーバブルメディアでも感染を広げるものや、外部サーバに接続して自身をアップデートする機能を持つようになった。
企業で多発するマルウェア騒動から学ぶもの (1/3) - ITmedia エンタープライズ
さらに、4月1日には指定された外部サーバに接続して何かしらの新機能をインストールする設定になっていたことが判明した。結果的に4月1日にこの機能が実行されても大きなトラブルは発生しなかったが、一部の感染マシンではその後、セキュリティ対策ソフトを装ってユーザーに金銭を要求したり、スパムを大量配信したりするなどの動きが確認された。4月以降の亜種には特定の日に自身を消滅させる機能も追加されたが、その後は新たな機能実装などが見つかっていない。
Downadワームによる感染被害は、ピークとなった2009年1〜3月に企業のPCやサーバを中心に数千万台規模に広がったとみられる。一方、個人ユーザーでの感染被害は小規模にとどまった。
企業を中心に被害が発生した点について、平原氏は画一的なセキュリティ対策の運用が原因の一部になった可能性があると指摘する。「Confickerワームの手口は攻撃者が意図的に狙ったというよりも、どのマシンに対しても同じような対策を実施している企業のクライアント環境に合ってしまったようだ」(同氏)
今月の重大ニュースのDelphiのライブラリに感染するウイルスは、PoCじゃなかったか…という話。攻撃者VS2005に感染する物とか、、、販売用でもってそう。
企業で多発するマルウェア騒動から学ぶもの (2/3) - ITmedia エンタープライズInducは攻撃者の腕試し?
8月下旬から騒動なっているのが、開発環境のDelphiや同環境で作成されたアプリケーションに感染するInducだ。トレンドマイクロによれば、感染マシンの82.5%が企業だった。
Inducは、感染マシン上にDelphiの環境があるかをチェックし、インストールされていれば「SysConst.pas」に悪質なコードを書き込む。それをコンパイルして「SysConst.dcu」というファイルを作成し、それ以後は新規にコンパイルされるDelphiファイルのすべてにInducのコードを仕込む。
Inducについて、平原氏は攻撃者の真意は不明としながらも、「開発環境を通じた感染手法が機能するかどうかを試した可能性もある」と指摘する。Induc自体は1年以上も前に見つかっていたという情報もあるが、複数のセキュリティ企業などが発見したことで、今回の騒動につながった。「感染を広げる以外に何もしなかったので目立たなかったと思われる。今後どのような行動をするのか、監視していく必要がある」
企業で多発するマルウェア騒動から学ぶもの (2/3) - ITmedia エンタープライズ
Autorun系は本当に厳しい、使い勝手と悪用とのせめぎあい。基本自動起動OFF設定をしたほうがよいと思われますね。
トレンドマイクロによれば、Autorunウイルスは2008年初頭から今にいたるまで感染報告数の上位を占めている。現在ではMicrosoftからAutorun機能を無効にするツールが提供されているほか、ウイルススキャンや暗号化などによる感染防止などのセキュリティ機能を搭載したUSBメモリ製品が多数登場したが、感染を抑制できる状況にはなっていない。
企業で多発するマルウェア騒動から学ぶもの (2/3) - ITmedia エンタープライズ
GENOウイルスと言われているFTPアカウント取得、ホームページ改ざんというのも、悩ましい。FTPを使わないとか、IPを制限するとか色々できることはあると思いますが・・・
Gumbarによる被害は4月以降、世界各国に広がっている。何かしらの方法で改ざんされたサイトを閲覧した際に、ドライブバイダウンロードなどの手法を通じてWebブラウザ経由でGumbarがインストールされてしまい、感染者のPCにFTPのアカウント情報があれば、その情報を外部に送信する仕組みだ。
企業で多発するマルウェア騒動から学ぶもの (2/3) - ITmedia エンタープライズ
この手口で多数のFTPアカウントが盗まれ、攻撃者はそのアカウントを使ってGumbarを仕掛けるために別のWebサイトを改ざんする。感染被害はアカウント盗難とサイトの改ざんが繰り返されたことで、拡大の一途をたどっている。
「FTPアカウントを盗んでは改ざんするという行為は、一見すると手作業で大変面倒なものに感じされるが、攻撃者からみれば感染マシンを確実に増やすことができるので積極的に仕掛けているようだ」と平原氏は分析する。
3つのプロセスが重要、予防・発見検出・復旧。。。そのために商用ウイルス対策ソフトは色々新しい技術を研究しているってことですね。
平原氏によれば、セキュリティ対策では「Prevention(予防)」「Detection(発見・検出)」「Recovery(復旧)」のプロセスが重要であり、Webの脅威が高まりつつある現在ではPreventionやDetectionレベルでの対策がますます重要になっている。
企業で多発するマルウェア騒動から学ぶもの (3/3) - ITmedia エンタープライズ
例えばウイルス対策ソフトでは、従来は発見されたウイルスを発見・駆除するための定義ファイルを利用していた。しかし、今では短時間に膨大な数や種類のマルウェアが発生するようになり、定義ファイルのみでは迅速に対応するのが難しい。このため、同社も含めたセキュリティ企業各社では、マルウェアの特徴的な挙動を検知する「ヒューリスティック」技術や、世界中のユーザーなどから得た脅威情報の評価をオンライン上で共有する「レピューテーション」技術などを導入している。
