開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2021/03/04

コンピュータウイルスも続々と「変異株」が登場、いたちごっこは終わるのか?

海外のセキュリティニュースサイトで、「2010年代半ばに流行ったマルウェアの改良版が発見された」という記事を2つほど発見した。亜種や改良版が出回るマルウェアは珍しいものではないが、日付はどちらも2021年2月頭の記事で、3日と離れていない。2件に関連はなく偶然だと思われるが、マルウェアの変異種・変異株もなかなか厄介な存在だ。どんなマルウェアなのか。そして、このようなマルウェアの「変異」はどうして起こるのだろうか。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

画像
サイバー脅威は新種のマルウェアばかりではない……MIRAIやAgent Teslaの「変異株」が確認されている
(Photo/Getty Images)

「Mirai」の変異「マトローショ」

 WebカメラなどIoTデバイスで構成されたボットネット、「Mirai」を憶えているだろうか。2016年ごろから確認され、DYN(大手DNSサービスプロバイダ)が大規模なDDoS攻撃の被害を受け、Netflixなどメジャーなサービスも影響を受けた。管理者パスワードの設定が甘いネットワーク機器やIoTデバイスが標的とされ、数十万台規模のボットネットが構築された。

 このMiraiの亜種を報告したのは、360Netlabという中国の研究者組織だ。運営するBotMonシステムが、Miraiと認識したマルウェアを発見したという。マルウェアの特徴はMiraiだが、トラフィックはそれほど多くない。調査したところ、Miraiのフレームワークを利用した新しいマルウェアであり、Moobotグループという組織が関与している疑いがあることを発見した。

 MiraiではIoTデバイスのセキュアでないTELNETポートを利用して感染を広げていった。このMirai亜種マルウェアは、AndroidのADBインターフェイスを利用して感染を広げていることがコード解析で判明している。ADBインターフェイスは、開発者モードでリモートデバッグなどに利用される機能で、Android端末のTELNETに相当する機能と思えばよい。

 ADBインターフェイスは、「開発者モード」に設定しないと機能しない。スマートフォンやタブレットなら通常オフになっている。狙いは、スマートフォンよりもAndroidが実装されたIoT機器、組み込み機器と思われる。

 DDoS攻撃の標的はDNSサーバ。これもMiraiと同様だ。しかし攻撃指令を行うC2サーバは、プロキシサーバ(中継を代理するサーバ)を経由してTorネットワーク上に配置される。Torは特殊なルーティングによって追跡を困難にしたネットワークで、ダークウェブにも利用されている。プロキシサーバの情報も、追跡を困難にするため2つの別サーバをたどっていくようになっている。

 C2サーバまで2重、3重に保護されているため、このマルウェアは「マトローショ(Matryosh)」と名付けられた。


Agent Teslaの変異

 もう1つのニュースは、SOPHOSが報告し、DARKReadingが記事にした「Agent Tesla」の新バージョンに関するものだ。Agent Teslaは、RAT(Remote Access Trojan)マルウェアの一種だ。RATとして、キーロガー、画面キャプチャや内蔵カメラアクセスのようなスパイ機能を持っている。キーロガーや画面キャプチャ等で侵入し、アカウント情報の入力情報を窃取して、外部に送信する目的で利用されることが多い。

 Agent Teslaは、2014年から活動が確認されている息の長いマルウェアだ。2020年月ごろにチェックポイントが攻撃の増加を確認し、いくつかのセキュリティベンダーも関連するフィッシングキャンペーンなどを報じている。時期的にCOVID-19関連のフィッシングメールで感染させたりしていたようだ。

画像
COVID-19関連のフィッシングメールでも過去のマルウェアが利用された
(Photo/Getty Images)

 2021年2月に発見されたAgent Teslaは、攻撃コードのダウンロード方法とアンチマルウェアの回避方法が刷新されている。攻撃コードはアーカイブされpastebinやhastebinのような公開サイトからダウンロードされる。攻撃コードの一部は、WindowsのAnti-Malware Software Interface(AMSI)のコードを書き換えて、展開・実行するマルウェアや攻撃コードの検知を無効にする。攻撃者によるRATツールの遠隔操作には、TelegramのメッセージAPIを利用するという。

 Agent TeslaのターゲットはID・パスワードなどの認証情報だ。新しいバージョンでは、ブラウザやメールなどの認証情報の他、攻撃対象とするアプリケーションが拡張され、VPNクライアントなども追加されている。サプライチェーン攻撃やAPT攻撃への利用が懸念される。

【次ページ】開発元を摘発しても「変異」は止められない

セキュリティ戦略 ジャンルのトピックス

セキュリティ戦略 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!