2011年のセキュリティ脅威をシマンテックが総括：Duqu、標的型攻撃、Android向けマルウェア……

[ITmedia]

Duquは“次のStuxnet”を準備するもの？

シマンテックセキュリティレスポンスシニアマネージャの浜田穣治氏

　2011年にみられたインターネット上の脅威について、シマンテックが報道関係者向け説明会を実施した。トピックに挙がったのは、社会インフラを攻撃する高度なマルウェアと標的型攻撃の増加、そしてスマートフォンを狙った脅威だ。シマンテックセキュリティレスポンスシニアマネージャーの浜田穣治氏が解説した。

　インフラを標的にしたマルウェアが現実的な脅威として広く知られたのは2010年に発見されたStuxnetが契機だが、2011年はこれに類似するDuquが出現している（そのサンプルは最後に発見されたStuxnetよりも後に作成されている）。

　浜田氏は「（Duquは）非常に高度な技術が用いられており、ユーザーが気づかない奥深いところに感染する。現在8カ国、6つの組織で感染が確認されているが、これは一般的なAPT（標的型攻撃）に比べても非常に限定的だ」と述べ、その仕組みや戦略からStuxnetを作成した組織が関わっているのではないかと推測している（同氏によれば、StuxnetとDuquはソースコードの一部が共通しており、その類似性はリバースエンジニアリングで到達できるレベルではないという。また、現在SymantecではStuxnetのソースコードそのものが流出したという事実も確認していないことから、DuquはStuxnetを作成したのと同一人物か、もしくはソースコードにアクセスできる人物が記述したのではないかとしている）。

StuxnetとDuquの類似点

　ただし、Duquそれ自体はインフラを攻撃するものではなく、あくまで情報収集を目的としたリモートアクセス型のRATだ（Stuxnetは産業用制御システムに影響を与えるコードを含み、自己複製を行うワームだった）。

　浜田氏は「こうした高度なマルウェアは時間と資金をかけて作る必要があり、一般的な標的型攻撃とは異なる。Stuxnetはウランを濃縮する工場での作業を阻害するという目的で作られていたが、（そうした限定的な環境で動作するためには）本来公開されていない情報をあらかじめ持っていたと考えられる。つまりStuxnetも事前にDuquのような準備（情報収集のための攻撃）をした可能性がある」と述べ、今回のDuquが“次なるStuxnet”の前兆である可能性を示唆し、「2012年以降にDuquの“パートナー”が出てきてもおかしくない」と警告した。

拡大する標的型攻撃

　一方、機密情報などを目的として政府機関や企業を狙う標的型攻撃は、その攻撃範囲が一般企業に拡大し、技術的には“粗雑化”する傾向にあるようだ。2005年に週1回あるかないかだった攻撃頻度は、2011年に最大で80回／日を観測し、「無差別に攻撃を実行しているような印象」（浜田氏）という。

　例えば、メールに添付されたマルウェアをみると、Microsoft OfficeやPDFといったアプリケーションのぜい弱性を突く手法以外に、単純に実行ファイルを添付するものある。また、そもそも添付ファイルが日本語環境では動作しなかったり、メールの発信元をなりすますことなく、無料メールを使う場合さえあるという。

標的型攻撃の発生件数は増加傾向にある（写真＝左）。標的型攻撃は最終的に機密情報を盗むまで段階的に進む。マルウェア付きメールは、システムに侵入して“橋頭保”を築くための最初のステップになる（写真＝中央）。化学・防衛関連企業を対象に行われた標的型攻撃（同社はNitroと呼んでいる）。標的となった48社のうち日本企業も1社含まれている（写真＝右）

　浜田氏は、「ここからは推測だが」と前置きしたうえで「2005年から7年ほど標的型攻撃を続けてきた結果、そこで得た成果物（収集した連絡先などの情報）から標的対象になる企業が増加していった可能性がある」と述べ、幅広く活動がみられるようになったぶん、大量生産と粗雑化に繋がっているのではないかと説明した。なお、メールを用いた標的型攻撃に添付されるマルウェアは、中国語の開発環境で製作されたものが圧倒的に多いという。

Android端末を狙った脅威の拡大

　一般コンシューマー向けのトピックとしては、スマートフォンを狙った攻撃、特にAndroid向けマルウェアの増加が挙げられる。浜田氏によれば、現在みられるAndroid向けマルウェアは、「情報を盗むもの」「（間接的に）金銭を詐取するもの」「恥をかかせるもの」の3つに分類できるという。

　1つ目に挙げられた「情報を目的としたもの」では、端末情報から電話番号、ユーザー情報、連絡先といった個人情報全般が対象になる。ただ、何のために情報を取得しているのか目的がはっきりしていないのが現状だ（ちなみにPC向けのマルウェアでは、個人情報を売買するマーケットが存在する）。2つ目の金銭を目的としたものは、バックグラウンドでSMSを発信し、有料サービスを利用させる仕組みだ。ただし、日本には同様のサービスがないため、国内での被害は確認されていない。3つ目は、ユーザー自身の評判を落とすメールが送信されるというもので、メールには「自分は海賊版を使っている」「犬を虐待している」といった内容が記述されているという。浜田氏は「現在はWindowsのマルウェアに比べて強力な機能は持たないが、すでにroot権限を取得するようなマルウェアも出てきている。今後も発展していくだろう」と予測する。

　なお、Android向けマルウェアの多くは、Android Marketで公開された正規のアプリに悪意のあるコードを仕込み、別のマーケットで再配布することにより流通しているが、これは「有料アプリを無料で手に入れたい」というユーザーの心理を突くだけでなく、（基本的に）Android Marketを利用できない中国の事情にも関係しているようだ。中国国内では各企業が独自にマーケットを用意しているが、その管理体制の緩さがAndroid向けマルウェアを拡散させる土壌になっていると浜田氏は指摘している。

Android向けマルウェアは正規のアプリに埋め込まれる場合が多い。インストール時に必要以上のアクセス権限を要求するのが特徴だ。機能自体は実際のアプリと同様のため、パーミッションを確認せずにインストールする人には見分けがつかない（写真＝左）。攻撃者は正規のアプリを改ざんして、Android Marketやサードパーティのマーケットで再配布する（写真＝中央）。マルウェアとは別に、スマートフォン向けのワンクリック詐欺サイトが登場したのも2011年のトピックだ（写真＝右）

　最後に浜田氏は、2012年以降のセキュリティ脅威について予測した。1つ目のトピックとして挙がった高度なマルウェアについては「Duquに続くものが引き続き出てくるのではないか」としたうえで、“サイバー戦争”に備えた各国政府の投資が進むだろうと展望を語った。2つ目の標的型攻撃は、その発生数が増加するとともに、「日本は技術力を持つ（知的財産を持つ）企業が多いので狙われる可能性がある」（浜田氏）と指摘。中小企業も同様に防御が必要だと訴えた。スマートフォンを狙う脅威については、Android向けマルウェアの出現からまだ2年しか経っていないことに触れて、「数も当然増えるが、今後は急速に巧妙化していくだろう」と述べ、マルウェアが自分自身を隠ぺいする仕組みが発展していくとともに、「決済できる端末を狙って直接的に金銭を盗む攻撃が主流になっていくのではないか」と警告している。