起動妨害マルウェアも排除、McAfeeが推進するIntelとのハードウェア支援型セキュリティ：McAfee FOCUS 2012 Report（2/3 ページ）

[國谷武史，ITmedia]

マイケル・フェイCTO

　深刻化するばかりのセキュリティ脅威では今、何が起きているのか――。最高技術責任者（CTO）のマイケル・フェイ氏が巨大マルウェア「Flame」、オンラインバンキングを狙ったサイバー事件「Operation High Roller」、システムを起動不能にするマルウェア「Shamoon」を取り上げた。

　Flameマルウェアは、一般的なマルウェアのプログラムサイズが大きくても1Mバイト程度であるのに対し、20Mバイト以上の「超巨大マルウェア」として話題になった。同社を始めとしたセキュリティ各社での解析から、Flameは遠隔操作機能や暗号化機能、マルチメディア機能などのコンポーネントを持ち、あまりに複雑な構成であることが判明。長い年月をかけて開発されたことも分かった。

　このマルウェアの狙いや開発者はいまだに不明な部分が多い。フェイ氏は、「国家の関与も疑われるが、まるで映画のような不正プログラムが現実に存在する」と、その不気味さを指摘した。

　Operation High Rollerは、オンラインバーキングサービスとユーザーのセッションをマルウェアが乗っ取り、ユーザーに気づかれること無く金銭を搾取していた、近年まれに見る被害規模になったサイバー犯罪である。犯罪者グループは「中間者攻撃」と呼ばれる手法を使って、最低でも6000万ユーロ、最大で20億ユーロに上る金銭を得たとされる。

Operation High Rollerの被害は主に欧米圏が中心だが、攻撃に悪用されたコンピュータは世界に分散し、日本にも存在。こうした犯罪集団はこうしたコンピュータを遠隔操作して金銭を荒稼ぎしていた

　この攻撃ではフィッシングメールなどを使ってユーザーを巧妙にだまし、マルウェアに感染させる。マルウェアは密かにユーザーのオンラインバンキングの利用状況を監視し、その内容を攻撃者のサーバに送信する。攻撃者はその中から標的のユーザーを絞り込み、マルウェアを遠隔操作する。ユーザーがオンラインバンクを利用するタイミングで細工した画面を表示するなどし、ユーザーに正規の口座へ入金したと思わせながら、実際には攻撃者の口座に振り込ませていた。

　フェイ氏によれば、このプロセスは全て自動化されており、ユーザーが犯罪に巻き込まれているかを知ることは、ほぼ不可能だという。

セキュリティ対策に求められる新たなアプローチ

　フェイ氏が最後に取り上げたShamoonマルウェアは、Windowsマシンのマスターブートレコード（MBR）を改ざんして起動を不可能にさせる機能や、ファイルの改ざん、別のマルウェアを呼び込む「ダウンローダー」などの機能を持つ。エネルギー業界を狙った標的型攻撃とみられるが、現状ではFlameマルウェアと同様に本当の狙いも開発者も分かっていない。

　フェイ氏によれば、ShamoonマルウェアのようなリスクはAppleのMacやAndroidでも起こり得るといい、実際にデモを通じてシステム領域やバックアップ領域を破壊することでコンピュータが起動できなくなる様子を再現してみせた。こうなると、従来のセキュリティソフトやリカバリツールでは対処が難しい。

　フェイ氏はさらに、こうした問題に対処するソリューションとしてMcAfeeとIntelが共同開発する「ePO Deep Command」や「Deep Defender」のデモを披露した。ShamoonによるMBRの破壊では同社の統合運用管理基盤のePolicy OrchestratorからIntel vProプロセッサを搭載するPCに接続。ePO Deep Commandを使ってMBRを復元し、PCが従前の通りに起動。容易に復旧できる様子を見せた。Deep DefenderではOSの深部で活動するrootkitをチップセット上で監視し、感染を阻止する。

Deep Defenderでrootkit感染をブロックするデモ

　こうしたソリューションを同社では「ハードウェア支援型セキュリティ」と呼び、2010年にIntelグループ入りしたことで、本格的に実現した対策技術となる。デシーザー氏は、Intelとの協業について「新たなセキュリティ脅威に対処していくには、こうしたハードウェアを活用したアプローチが不可欠であり、長期的視野に立って技術開発を進めいく。ハードウェアの活用は、高いセキュリティレベルを少ないコストで実現できるメリットをユーザーに提供するものだ」と説明した。