分析結果の考察

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1

0 10 20 30 40 50

Percentage

Unique IP Number

Dp (N=255) Dm (N=250)

図3.5: HTTP^{通信における}IPアドレス数の累積度数分布

名の種類と，出現した通信データ数の上位5件を示している．大部分のパスや変数名は全て の通信データにおいて1度しか出現していない．最も多くの通信データで出現しているルー トディレクトリを示す "/" ^{も全ての通信データの}33%程度であり，受動攻撃型マルウェア に共通した動作であるとは言い難い．

HTTPの要求におけるパスや変数名は，マルウェア作成者がネットワーク監視によるマル ウェア検知を防ぐために，一般的に使用される頻度が高いパスや変数名を多用していると考 えられる．特徴的な要求パスや変数名を利用した場合，ネットワーク型侵入検知システムの シグネチャに記述することで，セキュリティ管理者は容易にマルウェアを検知できる．しか し，受動攻撃型マルウェアは悪意のないWeb^{サイトで多用される}HTTP^{の要求パスや変数名} を利用することで，マルウェアの活動の検知を困難にしている．

表3.4: HTTP通信で出現した要求パス(^上位5^件) HTTP^{要求のパス 出現した通信データ数}

/ 86 (33.72%)

/cgi-bin/index.cgi 61 (23.92%)

/forum.php 47 (18.43%)

/in.cgi 29 (11.37%)

/soft3/common/16.gif 22 (8.63%)

*割合は小数点第3位以下を四捨五入

表3.5: HTTP GET要求で出現された変数名(上位5件) 変数名 出現した通信データ数

id 109 (42.75%)

v 39 (15.29%)

t 37 (14.51%)

ad 35 (13.73%)

ver 28 (10.98%)

*^{割合は小数点第}3^{位以下を四捨五入}

ルや侵入防止システムによるセキュリティ対策が運用されていない場合が多い．このような ネットワークでは，ネットワーク監視によるセキュリティ対策も適切に運用されていない可能 性が高く，定常時と異なる通信が発生してもネットワークインシデントに関するイベントと して検知されない．そのため，IRCによるC&Cサーバとの通信や，他ホストへの感染活動，

迷惑メールの大量送信など，通常と異なる傾向の通信をしても検知・駆除されにくく，マル ウェアとしての活動を継続できる．

一方，本論文で調査対象とした受動攻撃型マルウェアはWebブラウザの脆弱性を利用した 感染方式であり，一定以上のセキュリティ対策が導入，運用されているネットワークでも感 染する可能性がある．マルウェアによるIRC通信や独自プロトコルによる通信を防ぐために，

ファイヤウォールによって外向きの通信を遮断する運用方法もあるが，HTTP^とHTTPS^によ るアクセスは全面的に許可している場合が多い．そのため，ネットワーク監視などのセキュ リティ対策が運用されているものと仮定し，一般的なクライアントに見せかけることで，マ ルウェアが検知・駆除されるのを回避していると見られる．

通信の隠蔽化

受動攻撃型マルウェアは大部分の通信がHTTPであり，一般的なWebブラウザなどによる 通信との区別を困難にしている．Dpは複数ホストに対する感染活動や感染後のSMTP^通信 を実施するグループ(G1)^とHTTP^，DNS，一部のインスタントメッセージサービスの通信の みを実施するグループ(G₂)に分類できる．G₁は48件，G₂は207件である．G₁はマルウェ アとしての特徴が見られるのに対し，G2は一般的なクライアントと同様の振る舞いをするた め，ネットワーク監視による検知が難しくなっている．

G1はマルウェア独自のプロトコルによる通信も見られるため，検知が容易である．例えば

Mydoom[30]に感染したホストは独自プロトコルによってWindowsの実行形式ファイルを受

信し，実行する．Mydoomのプロトコルは現在も利用されており，表3.3^におけるDaの独 自プロトコルによる転送は，大部分がこのプロトコルによるものである．このプロトコルは

Emerging Threats[20]などでネットワーク型侵入検知システムのシグネチャとして登録されて

いる．

しかし，G2はマルウェアとしての特徴が少なく，検知が難しい．第3.2.2^節や第3.2.2^節で示 した通り，HTTPによる通信は一般的なクライアントと類似する傾向がある．さらに，HTTP の要求に含まれるパスや変数名もマルウェアとしての特徴が見られず，検知のてがかりにす るのは難しい．これは，マルウェア作成者がマルウェアの検知・駆除を防ぎ，生存時間をの ばすための実装であると考えられる．

受動攻撃型マルウェアに対する既存検知手法の有効性

ボットを中心としたマルウェアの検知手法の研究では，他のホストへの感染活動やIRC^に

よるC&Cサーバとの通信など，能動攻撃型マルウェアによる通信の特徴や傾向に着目してい

る研究が多い．そのため，既存研究で提案されているネットワーク監視型の検知手法は，受 動攻撃型マルウェアに対して有効性が低いものが多い．

Binkley^{らの検知手法}[31]はあるホストが送信するパケットの種類の割合を調べ，他ホスト

への感染活動を検知する手法である．しかし，第3.2.2節の分析結果ではTCPパケットの送信 傾向に違いが見られ，[31]の有効性は低い．また，他のホストへの感染活動が発生しやすい能 動攻撃型マルウェアではフロー(^送信元IP^{アドレスと宛先}IP^{アドレスの組})^{が大量に発生する} ため，フローの傾向分析によってマルウェアの活動を検知するNetwork Behavior Analysis[32]

が有効であった．しかし，受動攻撃型マルウェアの多くはHTTP^{のみの通信であり，}HTTP^の フローも一般的なクライアントの通信と類似しているため，受動攻撃型マルウェアの検知は 難しい．

BotHunter[33]はボットの活動の状態遷移をモデル化し，汎用的な検知を実現する手法であ

る．BotHunterの状態遷移モデルでは，ボットの動作をマルウェア本体の転送，C&C^サーバ

との接続，悪意ある活動など，抽象化した状態を定義しており，各状態に該当するイベントを

検出することで状態遷移を発見する．この状態遷移モデルを利用した検知ではイベントの種 類や発生順序が変化しても汎用的にマルウェアを検知できるという利点がある．しかし，分 析結果で示した通り，受動攻撃型マルウェアが発生させる個々の事象はC&Cサーバとの接続 や悪意ある活動が一般ユーザによる通信に類似しており，マルウェアの通信であると判断す るのが困難である．また，BotHunterの実装では迷惑メールの送信や，他ホストへの感染活動 などを検知のよりどころとしているが，受動攻撃型マルウェアではこのような動作が少なく，

状態遷移モデルが有効に機能しないと考えられる．