写真提供:マイナビニュース

写真拡大

●飛行機で隣り合わせた人が自分のことを知っている?
カスペルスキーは12月5日、セキュリティに関するプレスセミナーを行った。これまでにも毎年GReAT(Global Research & Analysis Team)メンバーによるプレスセミナーを行っていたが、今年から「サイバー セキュリティ フォーラム」と名称を変えて意見交換の場にするという。今回はシンガポールと日本から2人が登壇した。

○飛行機で隣り合わせた人が自分のことを知っていたら?

まず、Kasperkey Labからグローバル調査分析チーム APACディレクターのヴィタリー・カムリュク氏が登壇。予定では「世界のサイバー驚異の総括と2017年の予測」だったが、今回は実験的趣向であらかじめ用意された15の事例と記者自身の経験に対してヴィタリー氏がコメントを行うものとなった。

ここではすべてを紹介しないが、たとえば「飛行機で隣り合わせた人が何故か私がどこで働きどこで暮らしたかを知っている。彼はその場所からできるコンサルタントの仕事をパートタイムでやらないかと誘ってきた」という事例に関しては、JTBの標的型攻撃を例にあげ「(旅行会社や航空会社への)攻撃が成功すれば、ターゲットがどこの飛行機のどの席に乗るかわかる」とコメント。隣の席に勧誘者をアサインすればコンタクトが容易になるという。

また「停電が何日も続いている。明かりも電気もないし、店も皆閉まっている。エアコンも動かないし、温かい食事もできない。政府は緊急事態を宣言した」という事例に関しては実際にウクライナの東部でサイバー攻撃が発生し、しかも電力会社に侵入したマルウェアは、動作後に自動消去されており、アナリストが調査できなかったという。

ここでは電力の話だが水道プラントにも攻撃事例があり、サイバー犯罪が社会生活に大きな影響を及ぼす事が現実になっているという。

○アカウント情報の入力ミスにも注意

記者自身のストーリーとして「たとえば、多くのパスワードを持っており、まったく異なるサイトに他サイトのアカウント(IDとパスワード)を入れてしまうミスがある。他社にそのアカウントを知らせてしまうことになるが、元のパスワードを変えるべきか?」という質問に、ヴィタリー氏はfacebookのザッカーバーグ氏の例を紹介。

LinkedInから漏えいしたパスワードハッシュから、本来のパスワード("dadada"とたったの6文字)が分析され、TwitterやPinterestが一時乗っ取られたという。

教訓としては同じパスワードを他のサービスでは使わないこと。そのためにはツールを使ったり、サービス名とルールを決めてパスワードを変える事を推奨していた。また、サービスによってIDは異なるがパスワードが同じという場合、ソーシャルハッキングテクニックでIDが関連付けられると、同じパスワードでは問題があるとコメントしていた。

●特定環境でのみ動作するマルウェアが見つかる
カスペルスキーの情報セキュリティラボ セキュリティリサーチャーの石丸傑氏は、特定環境下しか動作しない≒解析環境で動かないマルウェアについて解説した。

マルウェアは解析や検知を回避するために難読化処理を行っており、これがここ数年のマルウェア数の爆発的増加の一因となっている。

○PCの固有番号を暗号鍵にするEmdivi

標的型攻撃と呼ばれる特定の業種や企業に狙いを付けた攻撃では、ウイルスベンダー目線で見た場合「検体がない」ことが大きな問題になっているという。特に標的型攻撃を行うマルウェアによって、追加で組み込まれる「二次・三次検体」は感染した端末のみが取得するので、より入手が困難となる。

石丸氏は、日本を狙った標的型攻撃のマルウェアを解析している最中に「特定環境下でしか動作しない」検体を発見したという。紹介されたのは日本年金機構の漏洩事件で使われた「Emdivi」と呼ばれるマルウェアと、JTBの漏洩事件で使われた「Elirks」と呼ばれるマルウェアの一部だ。

Emdiviで使われていた手口は、基本的にはPCごとに異なるSID(セキュリティ識別子)を暗号の鍵としており、Elirksでは特定ディレクトリ下での実行フォルダ名を鍵にしている。このため、前者はSIDを合わせた、後者は解析フォルダを合わせた解析環境でなければマルウェアの解析もできず、検体入手の困難さも加わって、検知を非常に難しくしている。

ちなみに、攻撃者は標的のSIDをどのように取得したのかという質問があったが、このケースでは二次・三次検体で、事前にインストールしたマルウェアがSIDを通知して、それに合わせたカスタマイズプログラムを用意したのだろうという回答だった。

特定環境下でしか動かないマルウェアはもちろん、.exeを叩けば起動するマルウェアと異なり、感染するユーザーが限られるというデメリットがある。

カスペルスキーが、これらの検体をVIRUSTOTAL(注:各社のアンチウイルスエンジンを持っており、チェックを同時に行えるサイト)に入れてみたところ、一度検知数が上がってから、再度下がる状態になったという。これは「チェック環境で動かないのでブラックリストから外したと想定される」ことであり、これらのマルウェアがベンダの検知を免れ、ターゲットのPCに侵入しやすくする狙いがあると説明された。

(小林哲雄)