さまざまにGoogleを活用するマルウェア作者

Googleは非常に便利なサービスだが、マルウェア作者側も、その便利さを享受し始めている。

» 2006年11月20日 21時44分 公開
[高橋睦美,ITmedia]

 Googleは一般のユーザーにとって非常に便利なツールだが、マルウェアの作者にとっても同じことが言えそうだ。

 Googleを悪用するマルウェアとしては、攻撃ターゲットになりうる脆弱なサーバをGoogle検索を使って探し出すワーム「Santy」が有名だ。最近もいくつか、Googleが提供する機能を悪用する新たなマルウェアが報告された。

 Microsoftは11月14日、WindowsのXML Core Servicesに存在する脆弱性を月例パッチの中で修正した。この脆弱性を狙うゼロデイ攻撃のペイロード(中身)を米McAfeeのセキュリティ研究機関、AVERTが調査したところ、興味深いことが判明したという。

 McAfeeによると、攻撃コードのペイロードに含まれるマルウェア「Kibik.a」は、Windows Explorerのプログラム本体に感染するウイルスだ。サービスパック適用時やシステムリストア時のバックアップファイルもカバーするため、発見が難しい。しかも、オリジナルファイルの利用されていない領域に潜り込むため、ファイルサイズを元に見分けることも困難だ。同社によるとこれは、rootkitを見つけ出すヒューリスティック技術やビヘイビア分析をかいくぐり、生き延びるためのテクニックだという。

 Kibik.aはさらに、自らを無害に見せかけ、ネットワーク管理者による追跡を困難にするため、Googleのブログ検索機能を利用する。検索キーワードは、一意の16進数の文字列だ。

 McAfeeではこうしたKibik.aの振る舞いを、「ゼロデイ攻撃による静かな(サイレント)インストールから、サイレントな寄生を行い、さらに実質的にサイレントかつ無害に見えるGoogle検索を行う」と表現。リモートからコントロール可能なマルウェアの2007年における新しいトレンドになるかもしれないと指摘している。

 なお同社のブログは9月にも、Web解析サービスの「Google Analytics」を活用する「Opanki」の亜種について言及していた。Google Analyticsでは、Webサイトを訪れたユーザーの分析を行うことができるが、このOpanki亜種には、Google Analyticsを用いて感染したボットの地理的な分布を把握するコードが含まれていたという。

 またSANS InstituteのInternet Storm Center(ISC)では11月15日付けで、Google Mapを用いる別のマルウェアについて注意を促している。

 このマルウェアは、ユーザーに害を及ぼすさまざまなプログラムをダウンロードしてインストールする「ダウンローダ」を二重化して、対策ソフトによる検出を困難にしている。さらに、このダウンローダを通じてボットに感染したマシンのありかを攻撃者が把握できるようにするため、Google Mapも利用する。ボットは感染後、ある外部サーバにアクセスするが、そこにはマシンのIPアドレスをGoogle Mapに投げ、おおよその場所を把握するためのスクリプトが用意されているという。

「マルウェア作者らはちょっとクリエイティブになってきている」とSANS ISCは指摘。万一こうしたマルウェアに感染してしまった場合、唯一の解決法は再インストールだという。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ