Genoウイルスの感染メカニズム【後編】 | ScanNetSecurity
2021.10.18(月)

Genoウイルスの感染メカニズム【後編】

 ゴールデンウィークの前から通称Genoウイルス(zlkon.lv/gumblar.cn)が話題になっている。このウイルスの感染ロジックは、Webやメール経由と決して目新しいものではない。Genoウイルスで問題なのは、これらの既知の感染メカニズムのことではなく、悪意あるJavaScript

特集 特集
 ゴールデンウィークの前から通称Genoウイルス(zlkon.lv/gumblar.cn)が話題になっている。このウイルスの感染ロジックは、Webやメール経由と決して目新しいものではない。Genoウイルスで問題なのは、これらの既知の感染メカニズムのことではなく、悪意あるJavaScriptがWebコンテンツに挿入されるまでの手口だ。

●間接的な攻撃によるセキュリティ対策回避

 今回注目したい点は、サーバ管理者の利用パソコンという監視対象から外れた端末からアカウント情報を奪っている点にある。一般にWebサイトの設置されているDMZは、IDSやIPS、Webアプリケーション・ファイアウォールなどで監視をしている。ところがサーバ管理者のパソコンまで監視をしている企業は僅かだ。実際、Genoウイルスに感染した報告の中には、”推測しやすいパスワードであったために侵入された”としているものもある。サーバからアカウント情報を盗んだわけではないため、サーバ上にはWebコンテンツ改ざん時のFTPログインの痕跡しか確認はできない。そのため、被害サーバの調査担当者もこう言うしかなかったのだろう。

 このように根本的原因を取り違えてしまったWebサイトは、Webコンテンツを何度修正しても数日後には再び改ざんされる事例も確認されている。今回は新しい攻撃手法であったため、このように考えることは仕方のないところである。その背景には、現在の攻撃手法のトレンドを無視した過剰な境界防御が誤った判断をさせたのではないかと考えられる。

●理想的防御とは

 Genoウイルスの感染メカニズムは、近年の攻撃トレンドを上手く取り入れられている。まず挙げられるのが、Adobe社の製品を狙った攻撃だ。ここ数年で見られる攻撃手法の変化といえば、サーバから個人パソコンへの攻撃標的の移行だ。従来悪用される脆弱性といえば、Microsoft Windowsなどのオペレーションシステムのものが主流であったが、2、3年前くらいから対象がソフトウェアへと変化している。特に狙われているのがPDFやFlashなどで知られるAdobe社だ。

 次に挙げられるトレンドが、悪意あるJavaScriptやActionScript(Flashで利用可能なScript)の利用だ。今回はJavaScriptが利用されており、そのパターンは複数ある。そのため、ウイルス対策ソフトウェアでの検出は困難を極める。

 そして最後に盛り込まれたのが個人パソコンへの攻撃とサーバへの攻撃の複合技だ。非常に単純だが、その効果は現状の通りだ。攻撃対象をずらすことにより、防御ポイントもずれる。多くの場合が一点集中型でセキュリティ対策を実施している。DMZもイントラネットにおいても境界における多段防御が常識とされ、境界配下にインシデントは発生しないことを前提とした設計が成されている。そのため、既に汚染されたパソコンがネットワーク内に存在した場合はお手上げ状態となる。今回の攻撃手法は、まさにこの点が悪用されたように思える。

 では、私たちはどのように防御をしたら良いのだろうか。理想的な環境としてポイントを3つを挙げる。

(1)組織に関連するパソコンは組織の監視下に置く

(2)ネットワーク監視のログとパソコンのログは相関関係を取れるようにしておく

(3)ダウンロードファイルの定期分析を実施する

 (1)はWebサイトの運用体制によるだろう。(2)は少々敷居が高いので、実施できる企業は限られてくる。しかし、実は(3)だけでもダメージを最小限に食い止めることができる。URLフィルタリングによる”予防策”を実施している企業が多いが、一般企業のWebサイトが一夜にして悪意あるサイトに変貌することもある。そのため、URLフィルタリングでのセキュリティ対策は、現在は殆ど役に立たないといって良いだろう。せいぜいアダルトサイトやWebメール閲覧の抑止程度の効果しかない。そこで、HTTPのトラフィックをキャプチャし、ダウンロードファイルを定期的に分析する。多くのボットやウイルスは、感染時に悪性プログラムをダウンロードする。Genoウイルスの場合は、悪意あるPDFもしくはFlashが、ダウンロードされ、その後にEXEファイルがダウンロードされる。この特性を考えると、ダウンロードファイルの定期分析は単純作業だが効果は絶大だ。これだけでなく、普段当たり前の操作をチェックすることを意識することが非常に重要なのだ。

 サイバー犯罪はもはやアカウントハックだけではなくなってきた…

【執筆:二根太】

【関連記事】
Genoウイルスの感染メカニズム【前編】
https://www.netsecurity.ne.jp/3_13331.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/8~11/30迄 創刊23周年記念価格提供中★★
★★10/8~11/30迄 創刊23周年記念価格提供中★★

2021年10月8日(金)~11月30日(火) の間 ScanNetSecurity 創刊23周年記念価格で提供。

×