偽セキュリティ対策ソフトの見破り方 第5回 サーバサイド・ポリモーフィズム | ScanNetSecurity
2020.02.29(土)

偽セキュリティ対策ソフトの見破り方 第5回 サーバサイド・ポリモーフィズム

2010年6月、IPAは「偽セキュリティ対策ソフト」への注意喚起を促す呼びかけを行いました。本稿は、実態と全体像の把握が困難な偽セキュリティ対策ソフトに詳しい、McAfee Labs Tokyo 本城氏の寄稿により、偽セキュリティ対策ソフトの歴史、犯罪産業としての構造、具体的

特集 特集
2010年6月、IPAは「偽セキュリティ対策ソフト」への注意喚起を促す呼びかけを行いました。本稿は、実態と全体像の把握が困難な偽セキュリティ対策ソフトに詳しい、McAfee Labs Tokyo 本城氏の寄稿により、偽セキュリティ対策ソフトの歴史、犯罪産業としての構造、具体的な偽セキュリティ対策ソフト名称、実践的対策方法について解明します。



今回からは、偽セキュリティソフトの感染経路と予防策について説明します。

●偽セキュリティソフトは感染機能をもたないトロイの木馬

マルウェアにはワームやファイル感染型ウイルスのように感染機能をもつものがありますが、実際には感染する機能をもっていないマルウェアの方が大勢を占めています。感染機能がないマルウェアはトロイの木馬と呼ばれています。偽セキュリティソフトは当然感染機能をもっていないので、トロイの木馬に分類されます。トロイの木馬は自分では感染することができないために、攻撃者側は一台でも感染マシンを増やすため様々な戦略を採用しています。ここではアンチウイルス製品の検知を逃れるための多様化戦略であるサーバサーバサイド・ポリモーフィズムと、攻撃者側による様々な感染の手口を紹介しましょう。

●Server Side Polymorphism (サーバサイド・ポリモーフィズム)

そもそもトロイの木馬はあえて感染機能をもっていないために、少数のマシンにこっそり感染させることに適しています。感染数が少なければユーザに気づかれる機会が減るため、結果としてアンチウイルス製品の検知用のシグネチャーの対応が遅くなる傾向があるからです。逆に感染マシン数が増え大規模感染に発展すると、検知シグネチャーがすぐに対応可能になります。これは攻撃者側の意図するところではないでしょう。

そのため偽セキュリティソフトのように、攻撃者側からすればなるべく多くのマシンに感染してほしい場合は、検知回避のためにサーバサイド・ポリモーフィズムという手法を採用している例が多く見られます。サーバサイド・ポリモーフィズムにおいては、不正なサーバ側で難読化、暗号化、圧縮(パック処理)といった変異処理を行い、同一のマルウェアファイルから多数の亜種を作成する、といったことが行われています。悪質な場合には、ユーザが誘導により不正サイトにアクセス毎に異なる亜種が作成されることがあります。

図27:一つのマルウェアからポリモーフィズムにより多様な亜種が作成される

アンチウイルスベンダーは、マルウェアの変異の傾向を解析して、変異した全ての検体を検知するシグネチャーを作成することが可能です。しかし、これらの難読化や暗号化といったアルゴリズムは定期的に変更されているため、検知の追従が困難になるときがあります。偽セキュリティソフトの中には、一日のに非常に多くの亜種が発見されるものも存在していますが、その背景にサーバサイド・ポリモーフィズムといった手法が利用されていることを思い起こして下さい。

●多様な感染の手口

さて、すでに述べたようにトロイの木馬は感染機能がないために、攻撃者は別の手段を講じて、ユーザのマシンに偽セキュリティソフトを感染させる必要があります。偽セキュリティソフトでは、多くの場合、ユーザを騙してマルウェアを実行させるソーシャルエンジニアリングのテクニックが利用されています。以下、その例をいくつか紹介しましょう。

●スクリプト等による偽アラート

不正なサイトには、JavaScriptをはじめとしたスクリプトを利用して偽の感染アラートを表示するものがあります。駆除のために指定されたファイルをダウンロードして実行するよう促されます。従わないと、この感染アラートが閉じることができないこともあります。根負けしてファイルをダウンロード・実行すると、偽セキュリティソフトがインストールされることになります。

●脆弱性を悪用したDrive-by-Download攻撃

Web経由の脆弱性を悪用するDrive-by-download攻撃はマルウェア感染のための常套手段です。Internet ExplorerやAcrobat Readerなどのアプリケーションの脆弱性を悪用するもので、こういった攻撃スクリプトが仕込まれているWebサイトを閲覧しただけでマルウェアに感染してしまいます。偽セキュリティソフトの多くはこのDrive-by-download攻撃でも感染します。昨今巷を賑わしたGubmlarと呼ばれる攻撃もこのDrive-by-download攻撃の一つです。実際、日本の一部でGumblar.xや8080系と呼ばれている攻撃は偽セキュリティソフトをインストールすることで知られています。なお、余談ですが、drive-by-download攻撃は様々な形態が存在しており、その種類も多岐にわたっています。Gumblarはその一部でしかありません。にもかかわらず、一部の報道やWebサイトで何でもGumblarあるいはその亜種とみなす傾向がありますが、これは実態を正しく反映した表現ではないでしょう。

図28:Drive-by-downloadを行う不正なサイトにアクセスすると、裏バックグラウンドで、脆弱性攻撃を行うスクリプトが実行される。図はマカフィー製品により脆弱性攻撃を行うスクリプトが検知されたことを示すアラート

【執筆】
マカフィー株式会社
McAfee Labs Tokyo アンチマルウエア リサーチ 主任研究員
本城 信輔
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×