海外における個人情報流出事件とその対応 第166回 今年もお騒がせ、ストームワーム (2)いよいよサイバー戦争時代へ本格突入か | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.12.13(木)

海外における個人情報流出事件とその対応 第166回 今年もお騒がせ、ストームワーム (2)いよいよサイバー戦争時代へ本格突入か

●ハッカーが周到に用意したワーム

国際 海外情報
●ハッカーが周到に用意したワーム

セキュリティ専門家のブルース・シュナイヤーがストームワームの特徴について、そのブログで説明しているので紹介しよう。

1.常に攻撃を続けるワームは探知されやすいが、ストームワームは攻撃を行い、その後しばらく攻撃を止める。こうすることで、うまく隠れている。

2.シュナイヤーは"蟻の集団のように"と評しているが、それぞれに役割が決まっているという。感染したホストのごく一部のみがワームを送ろうとする。さらに少数が指揮統制を行うサーバで、残りは命令を受けるため待機している。また、例えばホスト役がシャットダウンされると、別のホストがその役割を引き継ぐようになっている。

3.問題視されているものの、マシンにダメージや、動作に顕著な影響を与えたりするものではない。シュナイヤーは寄生虫のようだというが、生き残るためにストームワームは感染時にホストを損なわず、単に寄生している。しかし、この結果、ネットワーク管理者などは、多くの場合以上と考えられるような反応、動作を見つけることがなく、ひいては探知されずに、潜んでいることができる。

4.指揮統制にP2Pネットワークを使用。不特定多数のコンピュータを相互に接続することで、情報を直接、送受信する。その結果、セキュリティ専門家なども、ボットネットを作動不能にできずにいる。

5.常に変化するfast fluxというDNS技術を用いて隠れているので、探知が難しい。セキュリティ側がホストを見つけて修正を行っても、それまでに活動をやめてしまうこともある。

6.ペイロードは30分ごとに変化するため、ウィルス対策の効果を弱められてしまう。すなわちウィルス対策ソフトの効果が低い。

7.ワーム送付のメカニズムも定期的に変わる。PDF形式のスパムから、e-CardとYouTubeへの招待、ブログへのコメントのスパムなど。受信者に、リンクをクリックしたいと思わせるような誘いかけを次々に行っている。

8.ワームを送付するe-mailも、世界の状況にあわせて常に変化。全米プロフットボールのシーズンが開ける週には、フットボールに関する件名で、ハリケーンなどの天災で大きな被害が出た際には、ハリケーンというように、人間の本質をつき、受信者のアクセスを誘ってきた。

9.セキュリティプロバイダPostiniによると、7月に猛威をふるったストームワームは、これらのe-mailに添付されていたり、埋め込まれていたものではない。一般的なダウンローダーで、侵害を受けたウェブサイトへのリンクが付いていた。これにより、マルウェアを仕掛けた側は、ボットネットを構築するだけでなく、後にさらに感染源として使用できるようにしていたという。

さらに、シュナイヤーは触れていないが、ストームワームがこれほどに注目を浴びた理由の1つは…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊20年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×