IPAは、コンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、すでにご存じの方も多いと思うが、いわゆる"なりすまし"による犯罪予告や脅迫などが、本人の意思と無関係に行われた遠隔操作ウイルスを取り上げている。これまでも、ウイルス感染により、踏み台にされたり、事件の濡れ衣を着せられてしまう危険性を指摘してきたが、まさにそれが現実の脅威となったといえるだろう。
どうして感染したか?
このウイルスは、外部から遠隔操作を行うものである。IPAによれば、図1のステップで感染が行われたとのことである。
ステップ【1】ウイルス配置
攻撃者は、誰でもアクセスが可能なインターネット上のサーバーにウイルスを仕込んだフリーソフトを配置。この際に、追跡を困難にするため、複数のサーバーを経由する。ステップ【2】誘導の書き込み
さらに、多くのユーザーが利用する掲示板(2ちゃんねるなど)に、ユーザーからの要望に応えるふりをして、【1】のアドレスを書き込む。ここでも、追跡を困難にするために、複数のサーバーを経由する。ステップ【3】閲覧、ダウンロード
掲示板の攻撃者の書き込みを読んだユーザーは、リンク先からフリーソフトをダウンロードする。この時点では、感染は発生していない。ステップ【4】実行
ダウンロードしたフリーソフトを実行することで、遠隔操作ウイルスに感染。
遠隔操作の仕組み
上述のように、ユーザーのPCに感染した遠隔操作ウイルスが、実際にどのような活動をするかを説明したのが、図2である。こちらもステップごとに解説しよう。
ステップ【1】指令の書き込み
攻撃者が別の掲示板に、ウイルス感染PCへの指令となる文字列を書き込む。ここでも攻撃者は、追跡を困難にするために複数のサーバーを経由していると推察される。ステップ【2】指令の読み取り
遠隔操作ウイルスは、定期的に指定された掲示板をチェックする。ステップ【3】指令の実行
攻撃者からの指定の文字列を発見すると、指令を実行する。
IPAによるウイルスの簡易調査
IPAでは、同じ遠隔操作を行うウイルスchikan.zipを入手し、その解析を行った。その結果が、図3である。
chikan.zipであるが、文字置換を行うソフトとしてアップロードされていた。ダウンロードして解凍すると、
- chikan.exe
- data
の2つのファイルが現れる。ここで実行形式のchikan.exeを実行すると、さらに
- iesys.exe
- cfg.dat
の2つのファイルが生成される。ここで、2つの活動を行う。
- 解凍されたchikan.exeを削除
- 解凍されたdataをchikan.exeにリネーム
iesys.exeが、遠隔操作ウイルスの本体である。iesys.exeは、cfg.datに記録された掲示板を読みにいく(図2のステップ【2】を行う)。当然のことながら、攻撃者はiesys.exeが参照する掲示板を知っているので、掲示板に書き込みを行うことで、感染したPCが犯罪予告や脅迫文を書き込む(図2のステップ【3】)。
さらに、注目したいのが、cfg.datは、攻撃者によって任意に書き換えることができることだ。つまり、参照先を変更しウイルスを別のユーザーにダウンロードさせることで、攻撃者は対象者を特定した形で、用途と目的に応じて指令を出すことが可能となる。また、リネームされたchikan.exeは、文字変換を正しく行う。これにより、ユーザーがウイルスに感染したことを気付かせないようにしている。
ウイルスに感染しないための対策は?
IPAでは、今月の呼びかけの冒頭で「ウイルス感染から身を守るための対策を、原点に立ち返って改めて呼びかけます」としている。実際の被害、そして感染経路などを分析すると、まさに基本的な対策こそが求められているといえよう。では、その具体策である。
- 出所不明なファイルはダウンロードしない
- 安易にURLなどのリンクをクリックしない
改めて、これらについて説明することもないであろう。しかし、再度、図1に戻ってほしい。掲示板で「こんなソフトはないですか?」という質問に対し、攻撃者の「これでどうですか」という答えとリンク先に騙されてしまったのである。誰しも親切に回答をもらえば、疑いを持つことは難しいであろう。しかし、そこが落とし穴であり、IPAが「原点」という理由が存在するのである。さらに、
- 脆弱性の解消
- セキュリティ対策ソフトの導入し、つねに最新の状態に保つ
といったことも行うべきである。また、パーソナルファイアウォールを設定することで、このような攻撃者からの指令を防ぐこともでき、ウイルスの存在に気が付く可能性もあるとのことだ。また、iesys.exeは自身を消去する機能を持っていた。消去することで、外部からの遠隔操作である証拠すら残さないのである。逆にいえば、ユーザーが犯行予告や脅迫を行ったと判断されてしまうのである。これについては、Windowsファイアウォールや、セキュリティ対策ソフトのログ機能などを用いることである程度の記録を残すこともできる。可能な限り対策をしておきたい。