今回は、セキュリティ関連ブログで紹介・解説された、最近目立つ攻撃に関する話題をいくつか紹介する。
まずロシアのカスペルスキーラボが、自社で運営するセキュリティ関連情報サイト「Securelist」で公開した内容について。一連のターゲット型攻撃について触れ、セキュリティ意識の向上を呼びかけた。
ソニーのゲーム機「PlayStation」向けのネットワークや米シティバンクのサイトが不正侵入を受けて顧客情報が流出し、米グーグルのWebメールサービス「Gmail」のアカウントが不正にアクセスされ、さらには米上院、そして国際通貨基金(IMF)がサイバー攻撃の標的にされた。
10年以上前にニュースを賑わせた「I love you」「Netsky」「Bagel」などのマルウエアは、現在とは全く動機が異なり、できるだけ多くのユーザーに感染し、悪名をとどろかせることが目的だった。
近頃の攻撃を見ると、犯人はすべての人々に感染を広げることにはもはや関心はなく、よりターゲットを絞った手口を使っている。銀行サイトのログイン情報やクレジットカード情報などの金融情報だけでなく、実際のところ、手に入る情報はすべて収集している。
犯罪者がクレジットカード情報で何をするかは簡単に思いつくが、誕生日、住所、趣味などの情報はどのように使われるのだろうか。一つ考えられることはスピアフィッシングと呼ばれる手口で、IMFに対する最初の不正アクセスはこの手法によるものだった。
スピアフィッシングは、たいてい電子メールを使って一人の人物あるいは一つの組織を選び出す。現在ほとんどのインターネットユーザーは大量のスパムメールを受信して単にそれらを削除するが、もし電子メールの発信元が銀行やクレジットカード会社になっており、それを確信させるようにクレジットカード番号の下4ケタや誕生日が記載してあれば、リンクをクリックしても大丈夫と思ってしまうだろう。しかしこのようなリンクにマルウエアが仕込まれている可能性がある。
マルウエアは、詳細にターゲットのOSやアプリケーションに最適化されている。攻撃者はソーシャルネットワークのちょっとした会話から、ときには会社に電話をかけて、このような情報を入手する。ターゲット用に特別に作成されたマルウエアは、セキュリティ会社や警察組織にも検知されにくい。IMFに入り込んだマルウエアは数カ月間知られずに潜んでいたとみられている。
一連のターゲット型攻撃から学ぶべきことは、まず一つ目として、ニュースに取り上げられる目立った攻撃が増えているなら、間違いなくもっと多くの目立たない攻撃が行われているということ。二つ目は、技術的対策では十分といえず、教育が大きな役割を担うということ。セキュリティ意識の文化を育てれば、例えばパスワード変更のアラートを受け取った従業員が、それを無視するのではなく、破られにくい複雑なパスワードに変更するようになる。
S.A.P.Z.ボットネット、新たな攻撃の展望
カスペルスキーラボはもう一つ、中南米(恐らくペルー)を発信元とするボットネット「S.A.P.Z.(Sistema de Administracion de PCs Zombi?Zombie PCs Administration System)」についても、新たな動きがあるとして、ブログで注意を呼びかけた。
S.A.P.Z.の犯罪グループは、「Palevo」ワームの亜種を拡散して機密情報を盗むことに集中している。ここで重要な点は、S.A.P.Z.では盗んだデータの管理に古いクライムウエア「Blackshades」の機能を使っていることだ。以下の測定データが示すように、攻撃者はペルーのユーザーだけでなく、チリやコロンビア、スペイン、米国などにも狙いを広げている。
写真●測定データの画像
サイバー犯罪者はS.A.P.Z.を使ってローカル・ホスト・ファイルを書き換えるファーミングを実行し、銀行の機密情報を盗み出す。複数のアプリケーションのシリアル番号、異なるさまざまなWebサービスの認証データの取得も試みる。Windowsプロダクトキーのほか、「Windows Live Messenger」「Yahoo! Messenger」「Google Talk」「AOL Instant Messenger」「Trillian」「Gmail」「Yahoo! Mail」「Hotmail」「ICQ Lite」「MySpace IM」「Outlook Express」「Microsoft Outlook」などの情報を手に入れようとする。
S.A.P.Z.の犯罪グループはDDoS(分散型サービス妨害)攻撃も行う。犠牲者のマシンからリモート制御ツールなど多くの競合する不正プログラムを除去する自衛手段も持っている。
カスペルスキーラボによると、中南米のサイバー犯罪はより攻撃的になりつつある。そして明らかに、新興国でのクライムウエアの開発はいっそう懸念すべき状況へと進みつつある。犯罪者にとって、新興地域はサイバー攻撃を遂行するのに重要な環境になっている。