カスペルスキーは2日、2011年前半の脅威総括を発表した。多くの脅威が検出されるなか、同社では、Pegel型攻撃と増大するAndroidへの脅威について、分析を行った。カスペルスキーラボのチーフセキュリティエヴァンジェリストの前田典彦氏がその内容を紹介した。

Pegel型攻撃と偽アンチウイルスソフト

図1 チーフセキュリティエヴァンジェリスト 前田典彦氏

まずは、Pegel(「ピーゲル」と呼ぶ)型攻撃について説明しよう。2009年秋に猛威をふるったマルウェアにGumblar(ガンブラー)の亜種があった。日本でも大手企業のWebサイトが改ざんされ、さらに危険なWebサイトへと誘導されるものである。Pegelは、Gumblarの亜種同様に、Web誘導型のマルウェアである。Gumblarの亜種との違いをあげるとすると、対象となる脆弱性は、Adobe ReaderやActive X以外にJREなども悪用する。改ざんされた正規サイトから、*.ru:8080などへリダイレクトされ、感染後の被害では、以下が想定される。

  • FTPアカウント情報の奪取
  • ボットネットへの参加
  • 偽アンチウイルスソフトのインストール(インストールされた偽アンチウイルスソフトは、クレジットカード情報などを奪取)
  • スパムメールの送信
  • マルウェア自身のアップデート
  • ルートキットによる隠ぺい

図2 Pegel型攻撃のイメージ

このようすを示したものが、図2である。Gumblar同様に、Pegelでは、Webサイトを閲覧しただけで、不正なスクリプトが実行される、もしくは脆弱性が悪用されて、ドライブバイダウンロードにより、マルウェアに感染してしまうという、かなり危険度の高いものである。カスペルスキーの日本のラボでは、Pegel型攻撃について、詳細な分析を行っているとのことである。そこでわかったことであるが、ドライブバイダウンロードされるマルウェアで、もっとも多かったものは、偽アンチセキュリティソフトであった。図3はダウンロードさせられる偽アンチセキュリティソフトのファイル名で分析を行ったものである。

図3 偽アンチセキュリティソフトのファイル名による分析(色で分類される)

この図をみると、ファイル名は異なるが、同じような軌跡をたどるものが見られる。まったく別のWebサイトからダウンロードされるのだが、このような傾向があるとのことだ。また、これは、2010年末から2011年初頭までの統計であるが、この後は非常に数が増大しているとのことである。そして、どこから、ダウンロードされるかについても分析を行った。図4は、その分析結果である。

図4 偽アンチウイルスのダウンロード先の分析

これを見ると、「.co.cc」というドメインからのダウンロードが突出している。.ccドメインは、オーストリア領ココス(キーリング)諸島に割り当てられている国別コードトップレベルドメインである。.comドメインに代わる覚えやすいドメインとして、大々的に売り出されている。その一方で、.ccドメインには、マルウェアを配布したり、フィッシング詐欺に悪用されるものも多く、一部の検索サイトでは、検索結果から除外するといった動きもみられた。

2011年の初頭にかけて、この分析結果はそのことを如実に示すものとなった。前田氏によれば、その後は拡散の傾向があるとのことである。このような不正なダウンロードサイトでは、アクセスしてきたブラウザ(IEかFirefox)、OSは何か(WindowsかMacOSか)といった解析を行い、それぞれを対象としたマルウェアがダウンロードさせられる仕組みとなっているとのことである。

この時期、MacOSを攻撃対象とした偽アンチウイルスもこれを悪用しているとのことだ。さらに、カスペルスキーのようなベンダーにマルウェアを採取されないような工夫もみられる。具体的には、1度しかダウンロードできないようにしたり、IPアドレスも頻繁に変更されるとのことだ。さらに同じ偽アンチウイルスでも、5分ごとに異なるバイナリがダウンロードされる。これはシグネチャーベースでの検知を逃れるために行われているとのことである。

増大するAndroidをとりまく脅威

2011年前半の脅威傾向として、やはり大きな流れとなったのは、スマートフォンなどに代表されるAndroid OSを搭載したデバイスへの脅威の増大であろう。2004年にSymbianを攻撃目標とするマルウェアが検知されて以来、確実に増加傾向にあり、特に今年になってから急増している。2011年4月にはシグネチャーベースで2,000くらいであったマルウェアが、2011年7月21日時点で、3,420と急増している。

図5 モバイルOSに感染するマルウェア

そして、攻撃対象となるモバイルOSであるが、去年までは、J2ME、Symbianが上位であった。それが、Android OSを対象としたマルウェアが5%と急激な増加が見られるとのことである。

図6 プラットフォームごとの統計

実際に、Android上のマルウェアであるが、2011年3月に検知された「Droid Dream」が有名である。Droid Dreamは、公式のAndroid Marketで配布され、Andriod 2.2までの脆弱性を悪用し感染する。実際には、

  • Exploit.AndroidOS.lotoor
  • Backdoor.AndroidOS.Rooter.*
  • Trojan-Downloader.AndroidOS.Rooter.*

という3つのコンポーネントで構成される。root権限を奪取し、lotoorに感染後、バックドア経由でIMEI(端末識別番号)/IMSI(国際移動体加入者識別番号)を送信することが確認されている。ダウンローダも機能としてあるが、現時点では、使用された形跡はないとのことだ。

前田氏によれば、現時点でもっとも多いモバイルOSを攻撃対象としたマルウェアは、SMSを使ったトロイの木馬であるとのことだ。SMSを勝手に送信し、有料のサイトなどに勝手にアクセスさせる、そこで発生した課金を狙うというものである。国やキャリアによって、請求方式なども異なるので、具体的な被害についてはさまざまであるが、比較的多いとのことである。また、最近、ZitMO(Zeus In The Mobile)がAndroidにも対応した。

ZeusはもともとはPC向けのマルウェアで、オンラインバンキングなどで口座番号やパスワードなどの個人情報を狙うものである。それが、モバイル端末に対応したものがZitMOである。2010年の秋から、Symbian、Windows Mobile、BlackBerryなどで発見されてきたが、ここにきてAdroid版が発見された。ここでもSMSを使ったトロイの木馬が使われている。

図7 ZitMOもAndroidを対象に

また、上述したDroid Dreamでは、IMEIやIMSIを盗もうとしている。これが、悪意を持った攻撃者にとって、なんのメリットがあるのか、現時点でははっきりしない部分もあるとのことだ。これらの情報を利用したサービスなど、まださほど多くはないし、具体的にどのように利用されるかも不明な点が多い。他にも、GPS情報などを盗み出すことも不可能ではないが、これも個人情報を取得する以外にどんな目的があるかは、現時点では、明確な理由はわかっていないとのことである。 PCなどでは、クレジットカードなどの個人情報が売買されるブラックマーケットが存在する。

近いうちに、モバイルOSでもこのような市場が形成される可能性も否定できないであろう。IMEIやIMSIの奪取は、その布石との可能性を示唆していた。急増しているとはいえ、PCなどの脅威全体と比較すれば、その規模は大きくはない。しかし、悪意を持った攻撃者にとって収益性が見込まれるとの認識は広がりつつある。より一層の対策が求められるだろう。