検知困難なマルウェア「Qbot」が攻撃に失敗した残念な理由：Computer Weekly

短期間にコードを改変することで検知を困難にしているマルウェアが活発化し、多くのコンピュータが感染しているという。ただし、ある組織は意外な理由で攻撃を防ぐことができた。

[Warwick Ashford，Computer Weekly]

　BAE Systemsのインシデント対応チームは、伝染力の高いマルウェア「Qbot」について警告を発している。

Computer Weekly日本語版　6月8日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版　6月8日号」（PDF）掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

• Computer Weekly日本語版　6月8日号：ブロックチェーンのススメ

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　このマルウェアは「Qakbot」とも呼ばれる。2009年にその存在が確認され、2010年4月まで、民間企業や公共機関のコンピュータから盗んだ2GBの機密データを毎週FTPサーバにアップロードしていた。この中には、英国のNHSネットワークのコンピュータ1100台も含まれていた。

　このマルウェアが形を変えて再び出現した。全世界5万4000台以上のコンピュータに感染し、乗っ取ったコンピュータをボットネットに追加したといわれている。感染したコンピュータの85％は英国のコンピュータだ。

　BAE Systemsのホワイトペーパーによると、このマルウェアはバックドアを備えたネットワーク認識型のワームで、資格情報の入手を主な目的としている。さらに、エクスプロイトキット「Rig」を使って拡散される。

　公共機関はQbot攻撃に対する緊急対応を行った。BAE Systemsはこの対応から、新しくなったQbotがどのようにホストに感染し、自身を更新し、一部を除くウイルス対策およびマルウェア防御から身を隠すのかについて洞察を得た。

　ある組織が2016年初頭に攻撃を受け、500台以上のコンピュータが感染。重要なシステムの運用に支障を来した。BAE Systemsのアナリストは、多数の変更がオリジナルのQbotに施されており、検出と妨害を難しくしていることを突き止めた。

　これには例えば「変容的」なコードやポリモーフィックなコードが含まれる。つまり、マルウェアのコマンドと制御サーバによってコードが発行されるたびに、追加のコンテンツと共に新たにコンパイルされ、全く異なるソフトウェアに見えるようになる。

動作を変えるQbot

　さらに、6時間ごとに自動更新され、そのたびに暗号化されたさまざまなバージョンのQbotが生み出される。ウイルス対策ソフトウェアが更新される頻度はその速さに追い付かないため、マルウェアの拡散が促される。

　Qbotはサンドボックスで実行されていることも察知し、状況に応じてその動作を変えて検出されるのを防ぐ。

　サンドボックスとは、ユーザーの受信トレイに届く前にマルウェアを検出するためのツールのことだ。サンドボックスは、悪意のあるメールコンテンツの防御対策として広く普及している。マルウェア作成者がサンドボックス対策を必死で立てようとしていることがうかがえる。

　BAE Systemsによると、サイバー犯罪者はQbotの標的を警察、病院、大学などの公共機関に絞っているという。防御の回避と自動感染という2つの要素を組み合わせているため、自衛を怠ればQbotが拡散し続けるリスクがあると同社は話している。

　「多くの公的機関には重要なインフラやサービスを運営する責任があるが、予算が限られることが多い。主な標的となる理由がここにある」と話すのは、同社のサイバー脅威インテリジェンス担当部長エイドリアン・ニッシュ氏だ。

古いPCで仕損じた犯罪者

　ニッシュ氏が語った同社インシデント対応チームの調査によると、標的の中にサポート期限切れのコンピュータが数台含まれていたことが攻撃の成功を妨げたという。こうしたコンピュータはマルウェアに感染せずにクラッシュしたため、標的となった組織に警戒を促すことになった。

　「このケースから、進化するサイバー脅威を絶えず警戒し防御しなければならないことが分かる。Qbotの存在が明るみに出たのは2009年だが、新しいQbotは高度なツールで武装されているため、検出の回避と素早い感染を可能にしている」と同氏は語った。

　BAE SystemsのチームはQbotのコマンドと制御のネットワークを解読し、盗まれたデータがアップロードされる仕組みを解明した。さらに同チームは、盗まれたデータの送信先を攻撃者が毎回変更する方法を特定した。これは、攻撃側が検出と防御を回避するために用いている方法の1つだ。

　ホワイトペーパーによると、サンドボックス対策、制御命令を呼び戻して取得するドメイン生成アルゴリズム（DGA）の使用、広範囲の制御コマンドといった機能が導入されていることから、作成者の意図がうかがえるという。それは、アクティブなウイルス対策をブロックする単純な機能を上回り、永続化機能とポリモーフィック機能を増やすことでQbotを進化させ、さらにプロアクティブな脅威にするものだ。

　Qbotは永続性と集団感染を念頭に置いて設計されているとBAE Systemsのアナリストは語る。「従って、今後数カ月にわたりQbotは大いなる脅威として存在し続けるだろう。これを促進するのがエクスプロイトキットだ。エクスプロイトキットは、初感染をもたらし、可能な限り感染を増やすために自動拡散する」

Computer Weekly日本語版　2014年8月6日号：RAIDはもういらない（転載フリー版）も公開中！

過去の大人気号を無償公開！　閲覧に会員登録は不要！　転載・再配布OK！　の特別バージョンです。「大容量HDDでRAIDを組んではいけない理由」を解説した大ヒット企画の他、4本の記事を収録しています。

• Computer Weekly日本語版　2014年8月6日号：RAIDはもういらない（転載フリー版）

※本PDFは、TechTargetジャパン会員でなくても無料でダウンロードできます。