開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2013/07/31

感染したら即廃棄!?マルウェアの王様は過去の脅威か

連載:サイバーセキュリティ最前線

この4月にマイクロソフトのセキュリティインテリジェンスレポートにおいて、「Webベースの脅威がネットワークの脅威を上回る」と報じられました。昨今の脅威動向がWebへ主軸を移していることは日々のニュースでご推察かと思いますが、依然として旧主役であるネットワークの脅威も健在です。今回は、今なおネットワーク脅威の代名詞である、Confickerについて、今一度振り返ってみようと思います。

NRIセキュアテクノロジーズ 高梨 素良

NRIセキュアテクノロジーズ 高梨 素良

早稲田大学大学院国際通信研究科卒業後、2007年に野村総合研究所に入社。NRIセキュアテクノロジーズに出向し、システムのセキュリティをチェックする「セキュリティ診断」サービスや、最新サイバーセキュリティ情報の調査・研究・情報提供を通じて数多くのプロジェクトに参画。

セキュリティ脅威の主役交代、その実態は

連載一覧
 マイクロソフトのレポートにおいて「ネットワークの脅威」が指しているのは事実上、前回も取り上げた "Conficker" と呼ばれるマルウェアです。その強力な感染能力により全世界で瞬く間に広がり、2008年末から実に4年もの間、常に検出マルウェアのトップに君臨し続けた "マルウェアの王様" とも呼べる存在です。

 一方で、ここ2年程で急激に台頭してきたのが、攻撃コードを山ほど搭載したWebベースのエクスプロイトツールキットです。その中でも "BlackHole Exploit Kit (BHEK)" は特に悪用が活発であり、その名前を目にしたことのある方もいらっしゃるかもしれません。

 話としては目新しいものではありませんが、情報セキュリティの歴史を俯瞰的に見た時、この主役交代は大きな意味を持つと言えるでしょう。

 本稿では、今もなお健在なこの旧主役、Confickerについて今一度振り返ってみたいと思います。

Confickerはなぜ猛威を振るったのか

 このマルウェアの画期的であった点は、やはりUSBメモリでの媒介を始めとする複数の感染チャネルを持つ点と、脆弱なパスワード設定を狙うブルートフォース攻撃を行う点です。旧来の情報セキュリティは境界防御を旨とし、ともすればインターネット接点に対策比重が偏り、エンドポイントの防御が手薄であるケースが少なくありませんでした。

 このため、内部に直接的に脅威が発生し、しかも急速に感染が拡大し、駆除を進めようにも再感染が広まり(原因の多くは脆弱なパスワード設定です)、どうにも手に負えない!というシナリオが成り立つ訳です。

 この攻撃モデルはあまりにも成功してしまいました。前述の通りConfickerは爆発的に感染拡大し、すぐにもマルウェア検出量のトップに躍り出ました。

photo
図:ダークネットによるConfickerのパケット数観測


 さらに再感染による攻撃の持続力は凄まじく、ある時期からConfickerの累計検出量の割合が、マルウェア全体の99%を超えてしまうという異常事態となりました。各セキュリティベンダ・ISPにはマルウェアに関するレポーティングを公表している所もありますが、その際も「Confickerとそれ以外」と分けて分析せざるを得ないほどでした。

画像
図:マルウェア取得検体数のほとんどがConfickerであることがわかる
(引用:インターネットイニシアティブ Internet Infrastructure Review Vol.14


【次ページ】感染したら即廃棄!対応への覚悟

情報漏えい対策 ジャンルのトピックス

情報漏えい対策 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!