あらゆる手口を使う悪意を持った攻撃者
また、悪意を持った攻撃者の手口を見ると、なりふりかまわない姿勢が見てとれます。2008年、MAL_OTORUN
が流行すると、USBメモリを悪用した感染方法はすぐさまWORM_DOWNAD
でも使われるようになりました。インターネットに接続していないイントラネットなどでも、WORM_DOWNAD
に感染するという被害が報告されるようになりました。悪意を持った攻撃者は、有効と思われる攻撃方法や感染方法があれば、すぐさまその手口を取り込んだ亜種を作成してきます。
また、脆弱性なども悪意を持った攻撃者にとっては、格好の攻撃手段となります。OSやアプリケーションの脆弱性は、開発元から公開された場合には、すぐさま対応することが必要になります。脆弱性の放置は、非常に危険な状態になります。
さて、高度なテクニックや脆弱性などを悪用する手口もありますが、悪意を持った攻撃者は、もっと単純な手口を使うこともあります。それは、ユーザーのちょっとした油断や心の隙を突くというものです。過去、LOVELETTERというウイルスがありました。
メールソフトのアドレス帳を利用して、登録されたメールアドレスに「I love you」という件名で、メールを送信します。送信されたメールには、添付ファイルとしてウイルスがつけられます。このウイルス入りメールを受け取った人はどのような反応をするでしょうか。「知り合い」であること、そして、「I love you」という件名に思わず中身を読んでしまいます。たいていの人は、このようなメールが届いた瞬間に、「危険なメール」と思うことはないでしょう。「知り合い」と「恋文」というたった2つの要素しかありませんが、注意力が大きく損なわれてしまう例ともいえます。
具体的にいくつかみてみましょう。まずは、アイコンの偽装です。運送業者を騙るスパムメールに添付されていたものです(図1)。
内容は、住所が間違っているので、荷物が配送できない。添付の請求書を印刷してくださいとあります。添付ファイルを開くとZIP形式のファイルがあり、このファイルを解凍すると、「WD6128922.exe」というファイルがでてきます(図2)。
図2 添付ファイルと解凍されたファイル |
図2をみると、アイコンが、Microsoft Word形式のファイルになっています。実際は、拡張子がexeとなっており、実行可能なファイルです(このファイルは、上述したTROJ_RENOSウイルス)。このアイコンに騙されてしまい、ダブルクリックをすると、ウイルスに感染してしまいます。 次の例は、ファイル名に無用に空白文字を入れるものです。具体的には、
bunsho.txt .exe
といったファイル名にすることです。実際にこのファイルをエクスプローラで見ると、図3のようになります。
よく見てみると、アイコンの右側に「...」とあります。しかし、よほど注意深く見ていないと、たいていの場合には、見逃してしまうでしょう。拡張子に「txt」とあるので、文書ファイルと思い、ダブルクリックしてしまうと、実際は実行形式のファイルですので、起動されてしまいます(ウイルスならば感染や破壊活動が行われる)。
最後は、拡張子を変更するという例です。実行形式である拡張子「exe」を「pif」に変更するものです。実際に変更すると図4のようになります。
一見するとショートカットにしか見えません。しかし、「exe」ファイル同様に実行が可能であり、設定で「拡張子を全て表示する」にしても表示できない拡張子となります。このため、ウイルスでは実行形式のファイルに「pif」の拡張子を使うことが多く報告されています(この手口は、MAL_OTORUN
でも使われている)。
いずれも、非常に単純な方法で、ユーザーの注意力をそぐことが目的です。そして、急いでいるときなどは、単純な手口でもひっかかってしまうことが少なくありません。悪意を持った攻撃者は、このような手口も積極的に使ってくるのです。逆をいえば、悪意を持った攻撃者はありとあらゆる手段を講じてくる、ともいえます。
無差別攻撃が行われる
2008年に国内で被害が多数報告されたものに、ワンクリック詐欺というものがあります。アダルト系の会員サイトに加入したかに見せかけて、高額な会費を請求するというものです。これまで、この種の手口では、アダルト系のWebサイトから詐欺を行うWebサイトに誘導されることがほとんどでした。しかし、その様相が大きく変容しています。
最近の報告によれば、「ゲーム」や「アニメ」といった検索結果からそのようなWebサイトに誘導される事例があります。この結果、子供や老人といった本来、攻撃対象とならなかったユーザーまでが攻撃の対象となっているのです。さらに、「有名検索サイトの検索結果ももはや安全ではない」というものがあります。図5は米国のGoogleで、「Keylogger」という単語で検索を行った結果です。
ここでは、ウイルスバスター2009のTrendプロテクトを有効にして、危険なWebサイトは赤く表示されるように設定しています。上位の10件のうち、9件までが危険なWebサイトとして表示されています(2009年2月4日現在)。
もちろん、検索する用語によってはこのようなことにはならないかもしれません。しかし、上述したワンクリック詐欺などでも、検索結果の上位から、一見ごく普通のブログのようなWebサイトに誘導され、そこから詐欺サイトに誘導されるといったことがあります。2008年には、有名検索サイトのトップページの広告から、ウイルスをダウンロードさせるWebサイトに誘導された事例もありました。悪意を持った攻撃者もSEO対策を必死で行っていると推察されます。
かつては、ウイルスをダウンロードさせられるようなWebサイトはいかにも危険であったり、怪しげなWebサイトということが少なくありませんでした。しかし、最近では、一見ごく普通に見えるWebサイトが危険であったり、有名な企業のWebサイトが改ざんされているといったことがあります。もはや「有名だから」とか「検索の上位」といった常識が通用しなくなっているのです。悪意を持った攻撃者は、まさに無差別攻撃をしかけてきている、といっても過言ではない状況といえます。