スーパーマーケットに向かう途中でカーラジオから流れてきたやかましい曲が耳について離れない。冷凍食品の売り場を探しながら、ふと気が付くとその曲を口ずさんでいて驚くやら恥ずかしいやら。そんな経験が誰にでもあるものです。そうなったらもう、80 年代の定番ロックを歌って、連れにも聞かせてあげるしかありません。そうやって、いつの間にか、その曲は人から人へと伝染していきます。この流れはウイルスによく似ています。ウイルスは、コンピュータにも人にも次から次へと感染して拡散していきます。シマンテックから、「80 年代ロック対策製品」が出ていないのが残念です。
冗談はさておき、音楽を通じて拡散したりコマンドを受信したりするマルウェアがあると言ったら、まるで SF 映画から飛び出てきた話のようだと思うでしょうか。ところが、アラバマ大学バーミンガム校(UAB)の研究者が最近発表した「Sensing-Enabled Channels for Hard-to-Detect Command and Control of Mobile Devices(モバイルデバイスの検出困難なコマンドおよびコントロールに感知可能な経路を利用する方法)」(英語)という論文によれば、そうでもないのです。この論文では、音声、光、磁気、振動といった、インターネット以外の経路でモバイルデバイス上のマルウェアを起動して制御する方法を検証しています。マルウェアの制御は従来、ネットワークベースの経路(たとえば TCP/IP ベースの経路)に頼っているので、検出も遮断もファイアウォールやウイルス対策ソフトウェアで簡単に行えます。一方、UAB の研究者が検証している方法では、不可能とは言えないまでも検出するのは非常に困難です。
スマートフォンやタブレットなどのモバイルデバイスには現在、カメラやマイクのほかに、加速度センサーや磁気センサーまで搭載されています。こうした機能は、元々写真を撮ったり音声を録音したりする目的で搭載されたことは言うまでもありませんが、最近では本来の用途以外の機能を実装するためにアプリケーション開発者によって採用されるようになりました。たとえば、デバイスに内蔵されているカメラを使って脈拍を測定するアプリや、加速度センサーを使って地震の検出に役立てるアプリもあります。モバイルデバイスのユビキタス性と組み込みセンサーが、攻撃者にとってもさまざまな可能性を切り拓くと、UAB の研究者は述べています。この論文で詳しく述べられているのが正にこの可能性で、概念実証用の Android アプリを作成してそのアイデアを披露までしているほどです。
研究者は、特定の信号によって起動されるまで潜伏し続けるように設計されたマルウェアを Android デバイスにインストールし、人通りの多い廊下で、17 メートルほど離れた音源から聞こえてくる音楽を使ってこのマルウェアを起動しました。また、音楽ビデオ、テレビの光や照明、磁気、そしてサブウーハースピーカーの振動によってマルウェアを起動することにも成功しています。
この攻撃方法を使えば、攻撃者は状況に応じて以下のような標的型攻撃を実行できることになります。
- 分散サービス拒否(DDoS)攻撃。たとえば、特定の場所にあるデバイスを使って Wi-Fi ネットワークを停止させる。
- 迷惑攻撃。たとえば、会議の出席者全員のデバイスで音楽を再生したり、相互に発着信させたりする。
- いやがらせ攻撃。たとえば、恥ずかしいコンテンツをデバイスに表示する。
- 危険誘発攻撃。たとえば、ユーザーが運転中にデバイスの電源を入れる。
- 妨害攻撃。たとえば、病院でデバイスの電源を入れ、医療機器に支障をきたす。
- かく乱攻撃。たとえば、デバイスで音楽や着信音を鳴らして、何らかの活動中のユーザーの気を散らす。
このような攻撃はきわめて高度であり、現時点では実行も困難であると研究者は認めていますが、技術が進歩するほど実行は容易になるでしょう。この種の研究が重要であると研究者が考える理由は、正にこの点にあります。セキュリティ業界やデバイスメーカーが犯罪者の先手を取ることができるからです。
研究者が論文で展開した仮説上の攻撃では、マルウェアがデバイスに侵入する際の方法は従来と同じです。従来と異なるのは、攻撃者がマルウェアと通信する方法として、新しい経路を使う点です。この研究は確かに注目に値しますが、音声などの放送に信号を隠して埋め込むのは、ステガノグラフィーの一形態にすぎません。ですから、シマンテック製品を実行しているデバイスであれば、通信の受信方法にかかわらず、マルウェアの存在や動作は検出されるのでご安心ください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
We’ve all heard a really annoying song on the radio on the way to the supermarket and then are shocked and ashamed to find ourselves humming the tune while perusing the frozen foods isle. All it takes then is for a fellow shopper to overhear your…
This week the Federal Government scored a major victory over a massive worldwide network of cybercriminals by shutting down Liberty Reserve, a criminal business venture disguised as a bank that was fronting a secret money system for everyone from credit card and identity thieves to Ponzi scheme peddlers, hackers for hire, and money launderers. Liberty Read more…
Das Certificate Authority/Browser Forum hat alle Zertifizierungsstellen aufgefordert, die Unterstützung für RSA-Zertifikate mit 1024-Bit-Schlüsseln bis zum Ende dieses Jahres (2013) einzustellen. Hiervon sind sowohl SSL- als auch Code-Si…
A estas alturas, seguramente ya sepa que el Certificate Authority/Browser Forum ha ordenado a las autoridades de certificación que dejen de admitir certificados RSA con claves de 1024 bits para SSL y firma de código de aqu&…
Tightly targeted cyber-espionage attacks designed to steal intellectual property are hitting the manufacturing sector and small businesses with ever greater venom, with the latter, highly vulnerable, organisations the target of 31% of such attacks &nda…
HTTP session hijacking, better known as “sidejacking”, poses a major threat to all internet users. This is due to the common use of Wi-Fi networks, which are inherently unsecure, but also because of the wide-spread misplaced trust in the sa…
金融機関を狙ったマルウェアの様相は常に変化しています。サイバー犯罪者は金融業界についてますます詳しくなり、攻撃も巧妙になる一方です。最近シマンテックは、「The World of Financial Trojans(金融機関を狙うトロイの木馬の状況)」(英語)と題するレポートを公開し、オンラインバンキングを狙うマルウェアの特徴や手口を紹介しました。マルウェアの作成者がどのような手口や機能を選択するかは、資金力や市場に関する知識によって異なるようです。
金融機関を狙うマルウェアでは、ほとんどの場合、感染経路として悪用ツールキットが好んで利用されます。過去数カ月の間シマンテックが監視を続けてきた悪用ツールキットは Gongda と呼ばれ、主として韓国を狙っています。この悪用ツールキットによる拡散が確認されている Castov というマルウェアには要注意です。韓国の特定の金融機関とその顧客を標的としていますが、Castov を使うサイバー犯罪者は、韓国のオンライン金融サービスの状況について調べ尽くしているからです。
図 1. 2013 年 5 月における Gongda の IPS 検出の分布図(分布の 98% が韓国)
この脅威の第 1 段階に当たるのが Downloader.Castov です。Delphi でコンパイルされており、ウイルス対策ソフトウェアを停止させる機能を持っています。ひとたびコンピュータに侵入すると、コマンド & コントロール(C&C)サーバーに感染を報告し、暗号化されたファイルをダウンロードします。このファイルが、第 2 段階に当たる Infostealer.Castov です。
Infostealer.Castov は正常な DLL のリスト(いずれも韓国のオンラインバンキングのソフトウェアとセキュリティに関係しています)で特定のオフセットを調べて OP コード(演算コード)命令があるかどうか確認し、その命令を書き換えます。このときインジェクトされるコードが、パスワードや口座情報、取引情報などと思われる文字列を調べます。見つかったデータは収集され、リモートサーバーに送信されます。
表 1. 狙われる DLL と、実行される処理
さらに Infostealer.Castov は、侵入先のコンピュータの NPKI ディレクトリ(%ProgramFiles%\NPKI)に保存されているデジタル証明書も収集します。これは韓国で広く利用されているデジタル証明書で、銀行やクレジットカード、保険などの金融サービスで汎用的に(個人、法人とも)発行されています。ユーザーごとに重複がなく、有効期間は 1 年間です。
スクリーンショット、パスワード、デジタル証明書を組み合わせれば、サイバー犯罪者はユーザーの金融口座にアクセスできるようになります。
図 2. 2013 年 1 月から 5 月にウイルス対策で検出された Castov の分布図
シマンテックは、Castov と Gongda への対策として以下の検出定義ファイルを提供しています。
ウイルス対策:
侵入防止シグネチャ:
保護対策として、シマンテックの最新技術と最新のウイルス対策定義をお使いいただくことをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
The financial malware landscape is constantly evolving, cybercriminals are becoming more knowledgeable about the financial sector, and attacks are becoming more sophisticated. We’ve recently released a report, “The World of Financial Trojan…