ABOUT
攻撃対象のアクセスを奪取することを考えたと場合、対象のコンピュータをマルウエアに感染させてからアクセスを奪取することが効率的と考えられます。
マルウエアの種類と、感染経路、対応方法を押さえておきましょう。
マルウエアのサンプル検体もWEBで簡単にダウンロードできる状況で、だれがいつ仕掛けてくるかわかりません。
サイバーセキュリティを考えるうえでもトップリスクとしてとらえましょう。
標的型攻撃を考える場合、マルウエアでアクセスを奪取した後は、パスワード(ハッシュ)を奪ってクラックする、RATなどを仕込んで、内部の他のシステムにアクセスを展開するなどが考えられます。
DETAIL
マルウエア
悪意を持ったソフトウエアの総称です。
コンピュータウイルス、トロイの木馬、スパイウエア、そのほか利用者の意図に反する振る舞い(ファイルの改ざん、削除、情報の収集)を実行するプログラム全般を指します。
代表的なマルウエアの種類
-
コンピュータウイルス
他のファイルやプログラムに寄生して悪意のある行為を行うマルウエア。
日本では、歴史的に、悪意のあるプログラム全体のことをマルウエアではなくコンピュータウイルスと呼ぶ傾向にあります。
-
ワーム
他のファイルやプログラムに寄生せず、単独で活動可能なマルウエア。
主に脆弱性を利用し、自己の複製をほかのコンピュータにコピーしながら(感染させながら)増殖します。
-
トロイの木馬
一見無害な画像やアプリケーション、PDFなどの文書に偽装し、コンピュータの内部に入り込むマルウエア。ギリシャ神話のトロイアから呼び名がついています。
-
ボット・RAT(Remote Administration Tool)
標的のコンピュータに侵入し、攻撃者の遠隔操作を可能にするマルウエア。
機密データのアップロード、スパムメールの送信、DDoS攻撃、インターネットバンキングの不正送金などが行われます。
-
スパイウエア
コンピュータの利用者が閲覧したサイトの情報、キーボードに入力した情報を勝手に収取するマルウエア。
-
キーロガー
キーボード入力情報の収集に特化したスパイウエアはキーロガーとも呼ばれます。
-
アドウエア
利用者のコンピュータ上に強制的に広告を掲載するプログラムの総称。
利用者の行動履歴に基づき広告を表示させるため、スパイウエアとしての機能を持つ場合がある。
アドウエアに感染した後、悪意のあるWEBにアクセスさせられたり、スパイウエア、トロイの木馬、ランサムウエアなどが徐々にインストールされる第一歩となる場合が多い。
-
ランサムウエア
コンピュータ上の特定の識別子のファイル(txt/pdf/docx/xlsx/pptxなど文書ファイル、png/jpg/bmpなど画像ファイル)を勝手に暗号化し、読み取れない状態にしてしまうマルウエア
ファイルを暗号化した後に、ファイルの復元と引き換えに金銭を要求するような文書や画像、音声を表示することからランサムウエア(ランサムとは身代金の意味:Ransom)と呼ばれます。
ランサムウエア自体を駆除しても一度暗号化されたファイルを復元することはできません。(Kasperskyなどがリリースしている復号化ツールがサポートしていれば復元可能。)
要求された身代金を支払ってもファイルを元に戻せる保証はありません。
(セキュリティポリシーとして支払わないこと。払ってしまうと、標的型攻撃の対象になったり、ニュースに掲載され風評被害の可能性あり。)
-
スケアウエア
"PCに問題があります””PCのパフォーマンスを改善します””スパイウエアを検知しました”などうそのメッセージを画面に表示し、セキュリティソフトに見せかけ利用者にインストールを促し、金銭や個人情報を盗み取るマルウエア。
マルウエアの感染経路
-
電子メールによる感染
一般的に言われる通り、メールの添付ファイルを不用意に開いてしまうことによる感染が後を絶ちません。
最近でもFedexのinvoice添付ファイルなど広くニュースで取り上げられていた通りです。
(不用意に見知らぬメールの添付ファイルやリンクをクリックしないこと。)
-
WEBサイトからの感染
ドライブバイダウンロード攻撃とも呼ばれます。
攻撃者は脆弱性のあるWEBサイトに悪意のあるプログラムを埋め込みます。
改ざんされたWEBにアクセスしたユーザのWebブラウザに脆弱性がある場合、サイトを閲覧しただけで、マルウエアがダウンロード・インストールされ感染してしまいます。マルウエアの種類によって、利用者のコンピュータに情報漏洩や遠隔操作が仕込まれてしまいます。
(利用者のコンピュータにセキュリティ対策ソフトをインストールし、セキュリティパッチの適用、バージョンのアップデートすることは非常に重要です。)
WEBサイトへの悪意のあるプログラムの埋め込み方の一例:
ハッキング情報収集のページにあるようなツールを使って、脆弱性のあるWEBを探して、Metasploitの(firefox_proxy_prototype)などを実行します。
-
USBメモリなど外部記憶媒体からの感染
私見ですが、多くのセキュリティ対策ソフトはデフォルトの設定で、USBなど外部記憶媒体がコンピュータに接続されてもファイルを読み書きしない限りマルウエアスキャンしないことが多いと思います。そのため、USBファイルにはマルウエアが残っていることが多いように感じます。
マルウエア対策(利用者全員)
-
セキュリティ対策ソフトをインストールして、定義ファイルを最新にする。(可能であれば定義ファイル・ふるまい検知のソフトではなく、AIベースのものを利用する)
-
Windowsを使っている場合、Windows Firewallを有効にする。(セキュリティ対策ソフトの機能でも可)
-
セキュリティパッチを適用する。ソフトウエアバージョンを更新する。
-
身に覚えのない送信元のメールを開かない。中身を確認するためにメールを開いたとしても、添付ファイル、本文中のURLリンクをクリックしない。
-
外部から持ち込んだUSBを不用意にコンピュータに接続しない。接続する場合はファイルを開く前にウイルススキャンを実行する。
マルウエア対策 (セキュリティ)
-
ファイアウォールで不要な通信をブロックするとともに、社内から社外へのアクセスが監視できるようにポリシーを設定する。
-
IPS/IDSを導入し、不審な通信を検知・遮断できるようにする。
-
Proxyサーバを設置して、URLフィルタリングを実装する。
-
SIEMを実装して、セキュリティ対策ソフト、ファイアウォールログ、IPS/IDSログ、Windows ADなどの認証ログを集約してリアルタイムのモニタリングを行う。
詳しくは、セキュリティ対策(SIEM)を参照。