高度な偽装機能を持った新手のボットが発見された。セキュリティー対策会社などに解析されないようにする「アンチフォレンジック機能」を持っていることが特徴だ。「アンチフォレンジック」とは、どんなものなのだろうか。(テクニカルライター・三上洋)
USBやCDから忍び込み「ごみ箱」に偽装企業向けセキュリティー大手のラック・サイバーリスク総合研究所が「アンチフォレンジック機能を持つボットの出現〜攻撃者のターゲットは個人情報から機密情報へ」というリポートを発表した。
それによると、国内では初となる「アンチフォレンジック機能」を持つボットが発見されている。ボットはパソコンに侵入し、ロボットのようにパソコンを遠隔操作する不正ソフトウエアのこと。今回発見されたボットが持つ「アンチフォレンジック」機能とは、解析を阻む機能のことだ。
セキュリティー会社では、企業のパソコンやネットワークが不正ソフトウエアに感染した場合、過去の履歴をさかのぼって分析し、問題のある場所や侵入ルートなどを解析する。この解析を「フォレンジック」と呼んでいる。それに対抗するのが「アンチフォレンジック」で、ボットが解析されないように様々な偽装・対抗手段を取る。
例えば、今回発見されたボットではパソコンの時計を1980年1月1日に戻してしまう。強制的にシステム日時を変更することで、ファイルの最終更新時刻・アクセス時刻などがバラバラになる。このボットは定期的に時計を1980年1月1日に戻すため、どれが新しいファイルで、いつ操作されたのかという履歴を追いかけることが困難になる。解析を阻み、少しでも発見を遅らせるための機能だと言っていいだろう。
さらにこのボットは侵入方法が巧妙だ。従来のインターネット経由の侵入だけではなく、標的とする企業の取引先を経由して、USBメモリーやCDを郵送している(画像1)。このUSBメモリーやCDを開くと、自動実行ファイル(Autorun.inf)によりボットが入り込んでしまう(参考記事:「USBメモリー経由のウイルス感染が拡大」)。またボット本体はデスクトップの「ごみ箱」のファイル名である「Recycle.exe」に偽装されている。「Recycle.exe」は隠しファイルとなっているため、一般のユーザーが気づくのは難しいだろう。
デスクトップ遠隔操作やカメラののぞき見まで可能ラックによれば、今回発見されたボットには生成ツールが存在しているとのこと。左がその画像(画像2)で、中国語の生成ツールのようだ。ターゲットや欲しい機能をセットするだけで、オリジナルのボットができてしまうソフトウエアである。この生成ツールでは、ボットを作成するだけでなく、乗っ取ったパソコンをリモートデスクトップのように外部から遠隔操作する機能がある。
画像3は生成ツールによる操作画面で、なんと感染先のパソコンのデスクトップが表示されている。ウィンドウズにもリモートデスクトップという遠隔操作機能があるが、それとそっくりのものがボット経由で行われてしまうのだ。パソコンを完全に遠隔操作されるため、ファイルののぞき見、変更、削除などの危険性がある。
さらにこのツールでは、パソコンに接続されたカメラやマイクを乗っ取る機能まで持っている。カメラが接続されていると、画像4のように外部からカメラの映像を見られてしまう。ラックでは「カメラをチェックしてパソコンの利用者がいないことを確認したうえで操作できてしまう」と警告している。
このほか、このボットにはキーロガー機能があり、キーボード入力をすべて記録、送信できる。パスワードがすべて筒抜けになる怖い機能だ。
今回発見されたボットを分析したところ「侵入後に日本語で記載された重要資料を漁ったような操作記録があった(ラック)」とのこと。犯人は、個人情報の収集だけでなく、企業が持つ機密情報を狙っているようだ。より金になる情報を求めて、高度なボットを作成したと考えていいだろう。
対策としては、まずはウイルス対策ソフトの定義ファイル(パターンファイル)を最新のものにすること。複数台のパソコンを使っている場合は、すべてのパソコンでウイルス対策ソフトが有効になっているか確認したい。1台が感染した場合、ネットワーク経由でほかのパソコンの情報を盗みとられる可能性があるからだ。また企業ではネットワーク内や外向きの通信を監視することを推奨している。ボット感染後の二次被害を防ぐためだ。
今回のようなボットは、発見・解析が困難なため、侵入が長期間に渡る危険性がある。企業だけでなく、個人もしっかりと対策する必要があるだろう。
●参考サイト
ラック・サイバーリスク総合研究所レポートhttp://www.lac.co.jp/info/rrics_report/
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20081128nt19.htm