メインコンテンツまでスキップ

SC勉強記録7

· 約15分
長谷 錦

本日の勉強内容

  • マルウェアについて
  • マルウェアを検出する方法

マルウェア

利用者の意図に反する不正な振舞い(情報収集・侵入・妨害・破壊など)をするように作られたプログラムやスクリプト。

マルウェアへの対策

メール受信時

  • メール検査型のAV/アンチスパムツールを使用
  • メール検査型のサンドボックス製品を使用

Webアクセス時

  • コンテンツフィルタリングツール、Web検査型のAVツールを使用
  • 認証機能やアクセス制御機能を備えたプロキシサーバの使用
  • Web検査型のサンドボックス製品を使用
  • RBIの使用

感染したマルウェアによる外部への不正通信対策

  • RBIの使用
  • FWで許可されていない外部への通信を遮断
  • IPSを使用

エンドポイント対策

  • すべてのコンピュータにAVツールを導入
  • ソフトウェアの最新化、パッチ適用
  • パーソナルFWの使用
  • EDR製品の使用
  • ファイル検査型サンドボックス製品を使用
  • AD管理端末での管理業務以外の使用を禁止

運用管理面

  • マルウェア検知時の連絡体制、対応手順を明確にし周知
  • ドメイン管理者権限を付与するアカウントを最小化
  • 業務と無関係なソフトウェアの導入/使用を禁止
  • 外部から入手したファイルや共有するファイルはAVツールで検査後に使用
  • メール、Web、記憶媒体などでファイルを送る場合は事前にAVツールで検査

PUA(Potentially Unwanted Application:潜在的に迷惑なアプリケーション)

マルウェアほどの悪質さはないものの適切とは言い難く、多くのユーザにとっては不要なアプリケーション。

  • アドウェア
  • リモート管理ツール
  • 脆弱性検査ツール

コンピュータウイルス

自己伝染機能、潜伏機能、発病機能のいずれか一つ以上をもち、意図的にデータの消去、改ざんなどを行うように作られた悪質なプログラム。
狭義では、Word、Excelなど何らかの宿主(感染の対象となるプログラムなど)に感染して動作するものを指す。

自己伝染機能

自分自身をほかのプログラムファイルにコピーすることにより、ほかのシステムに伝染する機能。

潜伏機能

ウイルスが発症するための特定時刻や一定時間、処理回数などの条件をあらかじめ記憶させ、それらの条件が満たされるまで症状を出さない機能。

発病機能

プログラムやデータなどを破壊し、コンピューターに予期せぬ動作を起こさせる機能。

ワーム

コンピュータウイルスの一種。宿主を必要とせず自己増殖する。

トロイの木馬

一見正常に動作しているように見えるが、裏で侵入者のバックドアとして機能、ユーザのパスワードを記録するなど、不正な振舞いをするように巧妙に作り替えられたプログラム。バックドアとして機能するトロイの木馬はRAT(Remote Access Trojan / Remote Administration Tool)とも呼ばれる。

RAT

攻撃者の遠隔操作によって任意のコマンドを実行、プログラムやデータをアップロード、ダウンロード、実行、削除を行うなど、非常に大きな脅威となる。

対策

  • 基本的なマルウェア対策
  • 既知の不正プログラムのハッシュ値と稼働中のプログラムのハッシュ値を比較
  • FW、プロキシサーバのログや専用のログ収集機器を用いて分析
  • トランザクション署名(MITB対策)
  • 発見された際には、ハードディスクの初期化、クリーンインストール

悪意あるモバイルコード

モバイルコードのうち、OSやアプリケーションの脆弱性を突いたり、機能を悪用するなどしてクライアントPC上で不正な振舞いをするもの。

モバイルコード

Javaアプレット、ActiveXコントロール、JavaScriptなどのように、サーバからクライアントに動的にダウンロードして実行されるプログラムやスクリプト。

対策

  • ブラウザの設定やパーソナルFW
  • IPS、URLフィルタリングツールの使用

スパイウェア

一般ユーザのPC上で活動し、本人の知らないうちに趣味嗜好、個人情報などを収集し、インターネット上の特定のサイトに送るプログラム。
外国製のフリーウェア、アドウェア、シェアウェアなどに多く含まれている。

アドウェア

オンライン広告を自動的に生成し、ユーザーが広告をクリックしたり見たりするたびに開発者に収益をもたらすソフトウェア。
広告を表示する代わりに無料で使えるツール。

シェアウェア

ソフトウェアの配布・利用許諾方式の一つ。取得と初期の使用は無償だが、利用期間や機能に一定の制約があり、これを解除して継続的に使用したい場合に料金の支払いを求めるもの。

対策

  • パターンマッチング型、振舞い検知型のAVツール
  • URLフィルタリングツール、Web検査型のAVツール

ボット

ワームの一種。攻撃者によって遠隔地から操作ができ、機能拡張なども行うよう作られた悪質なプログラム。

感染後の動作

ネットワークを通じて自ら外部のC&Cサーバにアクセスし、指示を受けて次のような活動を行う

  • スパムメールの送信
  • DoS攻撃
  • 感染対象となる脆弱なコンピュータの調査
  • 他のコンピュータへのネットワークを通じた感染
  • 自分自身のバージョンアップ(機能追加など)
  • 感染したコンピュータ内でのスパイ活動

対策

通信経路上
  • FWを用いてIRC、IM、P2Pなど、不要なサービスやポートへのアクセスを遮断
クライアント環境
  • IRCやIM、P2Pなど、業務に無関係なソフトウェアの使用を禁止
  • OSのFW機能や市販のパーソナルFWを使用

IM

インスタントメッセンジャ。LINEなど。

IRC

Internet Relay Chat
1988年に作られたインターネット用のチャット方式。接続するにはLimeChatなどのソフトウェア(IRCクライアント)をインストールする必要がある。

ランサムウェア

感染したコンピュータのファイルやハードディスクを勝手に暗号化するなどして正常に利用できない状態にした後、それを解除するための身代金の支払いを要求するタイプのマルウェア。

ランサムとは

Ronsom:身代金を意味する単語。
暗号資産(Bitcoin)などで支払うよう要求されるケースが多い。

RaaS(Ransomware as a Service)

SaaSのように一定の月額費用を支払うことで手軽に利用できるランサムウェア。

対策

  • PC本体に重要なファイルを保存しない
  • ファイルの定期的なバックアップ
  • バックアップしたファイルはアクセス可能な範囲に置かない
  • バックアップから正常に復元できるかを事前に確認

ランサムウェアの種類によっては、セキュリティベンダ等からすでに復元方法が公開、復元ツールが提供されている場合もある。

ドロッパ

内部に不正なプログラムを内包、コンピュータに侵入後不正なプログラムを投下して活動するタイプのマルウェア。

対策

  • 基本的なマルウェア対策

標的型攻撃

特定の組織や団体等をターゲットとし、その取引先や関係者、公的機関などを騙ってマルウェアや不正なリンクが埋め込まれたメールを送信することで相手を騙し、情報を盗もうとする手法。

APT(Advanced Persistent Threats)

IPAでは「新しいタイプの攻撃」と呼んでいる。
特定の組織を標的として様々な既存攻撃を組み合わせ、長期間にわたって気づかれないように巧妙に繰り返される執拗なサイバー攻撃によって、組織の機密情報や個人情報を密かに盗み出す攻撃。

ファイル偽装の手口

  • アイコンの偽装:実行形式でありながら、文書ファイルなどのアイコンで表示
  • ファイル名の偽装:本来の拡張子の前に空白を並べる。RLO(右から左へ読むように変更する制御文字)により偽装。

やり取り型の標的型攻撃

最初に問い合わせ等を装った無害なメールを送り、何度かやり取りしたのちにマルウェア付きのメールを送り付ける手口。

水飲み場型攻撃

ターゲットとなる組織の社員、職員等が日頃頻繁に利用しているWebサイトを改ざんすることで、PCをマルウェアに感染させる手口。

サプライチェーン攻撃

標的とする企業の子会社や取引先企業にサイバー攻撃を仕掛け踏み台にし、その後本来の標的企業へサイバー攻撃を仕掛ける手口。
一般的に本来の標的となりやすい企業(大企業など)に比べ、子会社や小規模な取引先企業のセキュリティ対策は遅れていることが多い。また、子会社と親会社間のアクセス制限が適切に行われていない場合もある。

対策

運用管理面
  • 標的型攻撃に対する従業員の意識やリテラシーの工場
  • 標的型攻撃の迅速な情報集約と対応指示ができる体制やルールの整備
技術面での対策
  • 入口対策の実施
  • 出口対策/ラテラルムーブメント対策の実施

Emotet(エモテット)

主にマクロ付きのExcelやWordファイル、あるいはこれらをパスワード付きZipファイルとしてメールに添付する形式で配信されており、ファイルを開封後にマクロを有効化する操作を実行することでEmotetの感染に繋がる。また、メール本文中のリンクをクリックすることで悪性なExcelやWordファイルがダウンロードされたり、アプリケーションのインストールを装いEmotet感染をねらうケースも観測されている。

メールを盗んで悪用するのが特徴で、実在するメールへの返信を装ったり、新型コロナウイルス感染症のような時事的な内容を取り上げたりすることで受信者を騙そうとする。

対策

システム担当者向け
  • メールの通信経路上での対策
  • エンドポイントでの対策
  • クラウドメールサービスなどを利用している場合は、二段階認証を導入
PC利用者向け
  • 送信者のメールアドレス、メール本文、リンク先、添付ファイルなどに不審点がないか注意
  • 「コンテンツの有効化」をクリックしない

ファイルレス攻撃

メールに実行形式のマルウェア本体は添付せず、".lnk"ファイルを添付して送付。メール受信者が".lnk"ファイルを実行することで、PowerShellから不正な命令を実行し、外部のC&Cサーバなどから不正なプログラムをダウンロード、実行する。不正なプログラムはファイルとして保存されず、レジストリを更新することで自身を保存。攻撃者はその後もC&Cサーバを通じてPowerShellを悪用。

対策

  • Windows Remote Manager(WinRM)を無効にし、ネットワークを介してPowerShellが実行されるのを防ぐ
  • PowerShellのスクリプトファイル(.ps1)の実行ポリシをRestrictedに設定
  • AppLockerによるアプリケーション制御ポリシで"PowerShell.exe"の実行を禁止
  • PowerShellで実行したコマンドやスクリプトをイベントログに出力するよう設定

マルウェアを検出する手法

マルウェアの検出手法

EDR(Endpoint Detection & Response)

PC、サーバ等のエンドポイント環境で発生している様々な事象を分析することで、マルウェアの侵入やその後の振舞い等を検知し対処する技術。

ダークネット

インターネット上で到達可能であり、かつ特定のホストに割り当てられていない(未使用)IPアドレス空間。

マルウェアが感染対象と探査するパケットや、感染対象の脆弱性を攻撃するためのパケット、IPアドレスを詐称したDDoS攻撃を受けているホストからの応答パケットが流れる。ダークネット上にセンサを設置しそれらを観測することで、マルウェアの存在やサイバー攻撃の被害状況等を把握することが可能。

メモ

ポリモーフィック型ウイルス

感染するごとに異なる暗号かぎを用いて自身を暗号化することによってコードを変化させ、パターンマッチング方式のAVツールソフトで検知されないようにするタイプのウイルス。