標的型攻撃ウイルス概要

1

標的型攻撃ウイルス概要 (Targeted Threat Virus)

宮西洋太郎

2015 年 6 月 18 日

近未来研究会 NF 研 （第 3 回）

於 機械振興会館

標的型攻撃ウイルスとは

Wikipedia から

http://ja.wikipedia.org/wiki/%E6%A8%99%E7%9A%84%E5%9E%8B%

E6%94%BB%E6%92%83

• 標的型攻撃（英 Targeted threat もしくは Targeted attack ）は、

特定の組織内の情報を狙って行われるサイバー 攻撃の一種であり、

その組織の成員宛てにコンピュータウイルスが 添付された電子メールを送ることなどによって開 始される

。

以降も持続的に潜伏して行われる標的型攻撃は

APT 攻撃（ advanced persistent threat ）と呼ばれて

いる。

3

標的型攻撃ウイルスとは

日経 IP プロから

http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/060500029/?ST=attack

標的型攻撃ウイルスとは

日経 IP プロから

http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/060500029/?ST=attack

• 標的型攻撃は、特定の企業や組織を狙ったサイ バー攻撃。企業や組織が保有する、金銭的価値 の高い情報を盗むのが主な目的である。

• 標的型攻撃の典型的な手口では、ウイルス（マ ルウエア）添付メールを使う（図）。攻撃者はウイ ルスファイルを添付したメールを、攻撃対象とし た企業の従業員宛てに送付。従業員がウイルス ファイルを開くと、パソコンにウイルスが感染し、

攻撃者に乗っ取られる。

5

標的型攻撃ウイルスとは

日経 IP プロから

http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/060500029/?ST=attack

•

攻撃者はその感染パソコンを踏み台にして社内ネットワークに侵入 し、その企業が保有する機密情報や知的財産、顧客情報などを盗 み出す。

•

不特定多数を対象にしたウイルス攻撃と大きく異なるのは、メール やウイルスをカスタマイズしている点だ。従業員が添付ファイルを疑 いなく開くように、メールの件名や本文を工夫して、関係者から送ら れたメールに見せかける。例えば、その企業の部署名や従業員名、

会合名、資料名などを件名や本文に記載する。

•

添付するウイルスファイルも工夫する。従業員に疑われないように、

文書ファイル形式のウイルスを使う場合もある。従業員が脆弱性の

あるソフトを使っていると、文書ファイルを開くだけで、中に仕込まれ

たウイルスが実行される。

標的型攻撃ウイルスとは

日経 IP プロから

http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/060500029/?ST=attack

• 標的型攻撃で使われるウイルスは、その企業向けに新 たに作られているので、ウイルス対策ソフト（セキュリティ ソフト）で検出するのは難しい。攻撃者は、市販のウイル ス対策ソフトやサービスでは、そのウイルスを検出できな いことを確認してから攻撃に使用する。

• ウイルスファイルを添付する代わりに、ウイルス配布サ イトのリンク（ URL ）をメール本文に記載する場合もある。

従業員がリンクをクリックすると、ウイルスがダウンロード

される。この場合のウイルスも、メール添付の場合と同

様にカスタマイズされているので、ウイルス対策ソフトで

検出するのは難しい。

7

標的型攻撃ウイルスとは

（自分の理解）

• 攻撃者：ウイルスを作りこんだ添付ファイルを開かせたい

（または、不正サイトをクリックさせたい）

• そのために様々な、だましのテクニックが駆使される。

• 被攻撃者：だましについつい乗っかって、添付ファイルを 開いてしまう、または不正サイトをクリックしてしまう。

• 添付ファイルまたは不正サイトからダウンロードされた

ファイルにはウイルスが仕込まれていて、それが実行さ

れると、バックドアが形成され、攻撃者が遠隔からバック

ドアを通して、その PC に入ることができる。

標的型攻撃ウイルスとは

IPA から

https://www.ipa.go.jp/files/000043331.pdf

• 標的型攻撃メールの例と見分け方

• 添付ファイルの開封や本文のリンク先にアクセスす ると、遠隔操作ウイルス（RAT :Remote Access

Trojan／Remote Administration Tool）に感染し、

• 新たなウイルスの感染、組織システム内へのウイル ス拡散、情報収集、機密情報の外部への漏えい、シ ステムの破壊といった大きな被害へ発展することに なる。

• トロイの木馬、バックドア

9

トロイの木馬とは

Wikipedia から

http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E 3%81%AE%E6%9C%A8%E9%A6%AC_(%E3%82%BD%E3%83%95%

E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2)

•

バックドア型

編集

•

バックドアは被害者の認識を経ずにインストールされ、実行される遠 隔操作のためのプログラムである。バックドアは最も危険なトロイの 一種とされている。クラッカーやハッカーの間ではしばしば

"RAT"(Remote Administration Tool

の略

と呼ばれている。

の 管理者権限を持っているかのように振る舞うため、他のトロイに比べ、

比較的検知率が低い。公正な遠隔操作プログラムと異なるのは、被 害者に無断かつ秘密裏にインストール、実行されるという点がほと んどであり、プログラムの機能自体は、公正なそれと大した差はない。

代表的なバックドアは以下のような機能を持つ。

•

外部からのあらゆるシェルコマンドの実行

•

被害者のスクリーンの撮影

•

プログラム、データファイルの実行、停止、削除

•

被害者のハードディスクへのファイル、プログラムのアップロード

ダ

ウンロード

トロイの木馬とは

Wikipedia から

http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E 3%81%AE%E6%9C%A8%E9%A6%AC_(%E3%82%BD%E3%83%95%

E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2)

•

パスワード窃盗型

編集

•

パスワード窃盗型トロイ、

以下

は、被害者のマシン上のあら ゆる種類のパスワード、

アドレス、被害者のマシンの詳細な情報 などを収集し、電子メール、

、

を用い、攻撃者へ送信するト ロイである。

は、主に以下のような情報を盗むことが多い。

•

オンラインショッピング、オークション、オンライン電子メールのアカウ ント情報、

• OS

の

パスワード、

の管理者権限のパスワード

を 搭載しているマシンであればルート権限

、被害者の

アドレス、

ローカル

アドレス、 グローバル

アドレス

•

上記のような極めて重大な情報を盗むため、被害に遭うと、中には

マシン全体の支配権を完全に奪取されてしまう場合もある。この種

類のトロイは比較的ファイルサイズが少ないものが多い。

11

トロイの木馬とは

Wikipedia から

http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E 3%81%AE%E6%9C%A8%E9%A6%AC_(%E3%82%BD%E3%83%95%

E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2)

•

クリッカー型

編集

•

トロイのクリッカー（以下クリッカー）は、起動すると、レジストリを改変、

追加もしくは、ウェブブラウザのセキュリティーホールを悪用するエク スプロイトを使用し、ブラウザの、本来管理者権限でしか変えること のできない設定を改変する。そして、被害者のマシンが起動、もしく は、インターネットに接続した瞬間に、常時攻撃者が指定した特定の ウェブサイトへ接続させるトロイである。 目的としては、

•

特定のウェブサイトのアクセス数を上昇させ、広告収入を上げる。

•

特定のサイトに接続要求を集中させることにより、

、

攻撃 を実行させる。

•

悪意あるソフトウェアをダウンロードさせるために接続させる。

•

のようなものが挙げられる。この種類のトロイのファイルサイズは、

概してかなり小さい

場合がほとんどである。

トロイの木馬とは

Wikipedia から

http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E 3%81%AE%E6%9C%A8%E9%A6%AC_(%E3%82%BD%E3%83%95%

E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2)

• ダウンローダ型 [ 編集 ]

• ダウンローダ型のトロイは、起動する攻撃者が意図した 特定のウェブサイトへ接続し、悪意あるプログラムをダウ ンロードしようと試みる。ダウンロードに成功すると、次に それらの悪意あるプログラムを被害者の同意を得ずに順 次実行する。実行の手続きと同時に、悪意あるプログラ ムが OS の起動時に自動的に起動するよう、レジストリ情 報の改竄、ミューテックスオブジェクトの作成などを行う。

この種のトロイも、概してそのファイルサイズは小さい場

合が多い。

13

トロイの木馬とは

Wikipedia から

http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E 3%81%AE%E6%9C%A8%E9%A6%AC_(%E3%82%BD%E3%83%95%

E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2)

• ドロッパー型 [ 編集 ]

• ドロッパー型トロイは、元から内包された悪意あるプログ

ラムを秘密裏にインストール、実行するために使用され

る。 従って、ダウンローダのように、ネット上から実行さ

せるプログラムをダウンロードしない。そのため、ほとん

どのドロッパー型トロイは、実行役のプログラム、そして

いくつかの実行させるための悪意あるプログラムという

複数のファイルで構成されている。

トロイの木馬とは

Wikipedia から

http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E 3%81%AE%E6%9C%A8%E9%A6%AC_(%E3%82%BD%E3%83%95%

E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2)

• プロキシ型 [ 編集 ]

• トロイのプロキシは、実行されると被害者のルータや

DNS の設定を無許可で改変し、被害者のマシン上にプロ

キシサーバを構築する。攻撃者のインターネットへのアク

セスは全て、このトロイを実行したマシンを経由して行わ

れるようになるため、攻撃者は、匿名性を上げることが可

能となる。一方で、被害者は、自分の IP アドレスをハイテ

ク犯罪に乱用されるため、知らず知らずのうちにハイテク

犯罪の加害者となってしまう場合も少なくない。このよう

に、攻撃者がプロキシサーバとして悪用するマシンのこ

とを、ボットネットとも言う。

15

トロイの木馬とは

Wikipedia から

http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E 3%81%AE%E6%9C%A8%E9%A6%AC_(%E3%82%BD%E3%83%95%

E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2)

• 対策

• 既知のトロイの場合 [ 編集 ]

• 既知という意味は、アンチウイルス会社やセキュリティー

の専門家により既にそのトロイに関する詳細な情報、例

えばその行動、ファイルサイズ、書かれた言語等が判明

している場合である。このような場合、主要な最新状態に

更新されたアンチウイルスソフトウェアによって容易に検

出、削除可能な場合が多い。ただし、完全には削除出来

ない場合がある。

トロイの木馬とは

Wikipedia から

http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%AD%E3%82%A4%E 3%81%AE%E6%9C%A8%E9%A6%AC_(%E3%82%BD%E3%83%95%

E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2)

•

対策

•

未知のトロイの場合

編集

•

トロイに限ったことではないが、悪意あるプログラムは毎日、莫大な 数の新種

その大半は既知で有名なトロイの一部分をわずかに改変 した亜種

が生み出されている。そのため専門家などに発見されるま でにはどうしても一定の分析時間が掛かる。その期間中の、未知の トロイに被害者が感染してしまった場合、その検出には詳細なコン ピュータやネットワーク、使用している

の特徴、及びその脆弱性 等に関する知識が必要とされる。また、仮に検出できたとしても、そ の削除には更に深い知識が要求される。そのため、一般的ユーザ は、ほとんどの場合、アンチウイルスソフトの更新によってその存在 を知ることになる。

•

ただし、一部ではあるが、未知のものであってもアンチウイルスソフ

トがヒューリスティックスキャン機能を持っていると、これによって「未

知のトロイ」などという形で検出する場合がある。

17

脆弱性を狙った攻撃

Trendmicro から

http://about-

threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Gateways+

to+Infection%3a+Exploiting+Software+Vulnerabilities&tab=vulnerability

脆弱性を狙った攻撃

総務省から

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html

• ウイルスの感染経路

– ホームページ閲覧

– 信頼できないサイトで配布されたプログラムのインス トール

– 電子メールの添付ファイル

– USB メモリからの感染

– ファイル共有ソフトによる感染

– 電子メールの HTML スクリプト

– ネットワークのファイル共有

– マクロプログラムの実行

19

脆弱性を狙った攻撃

総務省から

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/risk/11.html

• ウイルスの主な活動

– 自己増殖

– 情報漏洩

– バックドアの作成

– コンピュータシステムの破壊 – メッセージや画像の表示

– ボットネットの構築

脆弱性を狙った攻撃

メカニズムの理解

• 不十分、不明

• いかにして、ウイルスが脆弱性を利用して、バッ クドアを作りこむのか？

→ メカニズムは？

「バックドアの作り方」で Goole 検索

http://www.atmarkit.co.jp/ait/articles/0212/25/new s001.html

http://root99.blogspot.jp/2008/03/backdoor.html

• ともかく、脆弱性（セキュリティホール）はうめてお

く必要がある

21

悪意あるコード（ malicious code ）

上原孝之「情報セキュリティアドミニストレータ」

翔泳社 情報処理技術者試験学習書

• 悪意あるコードの種類

– ウイルス（宿主あり）

– ワーム（宿主なし）

– トロイの木馬 – スパイウエア

– 悪意あるモバイルコード

– ボット

悪意あるコード（ malicious code ）

上原孝之「情報セキュリティアドミニストレータ」

翔泳社 情報処理技術者試験学習書

• 悪意あるコードの検出手法

マルウエア（ malicious software ）とも呼ばれる – コンペア法

– パターンマッチング法

– チェックサム法／インテグリティチェック法 – ヒューリスティック法

– ビヘイビア法

http://www.ipa.co.jp/security/fy15/reports/uvd/index.ht

ml

23

不正コードの実行

• 例（アクションしてもどこかで阻止できないか？）

メール受信

不正コード添付 またはリンク先

不正コードを含む 添付ファイル

不正コード実行 開く

不正コードを含む ページをダウンロード

ウイルスに感染

アクション

リンク先クリック

アクション

不正サイト このメカニ

ズム不明

ここに関門を？

不正コードの実行を防止する方法は ないのか？

•

考察

•

そもそも不正コードを添付したメールを排除できないか？または警告 できないか？

→IPA

の「怪しいメールの見分け方」をプログラム化、機械学習でき ないのか？

https://www.ipa.go.jp/files/000043331.pdf http://medqa.net/archives/000010.html

•

添付ファイルまたはダウンロードファイルの

実行前に、真正コードと不正コードの区別がつかないのか？

→

最新のウイルスチェックをいれていれば

なのか？

→

年金機構の場合、どうであったのか？

•

コード作成元の身元保証（認証）ができないのか？

（例：添付ファイルが

の場合、当然ながら、作成元が

で はなく、文書を作った作者の身元）

•

セキュリティホールは埋めておく

→

年金機構の場合、どうであったのか？

•

不正コードの実行を思いとどまった場合、

組織で共有

25

不正コードが実行に入った後、停止する方法 はないのか？

• 考察

• ウイルス感染の途中（不正コード実行中）

– 仮想マシンでの監視機能みたいなもので不正

コードの実行を強制停止できないのか？

不正コードが実行されてしまった後、

事後対策はないのか？

•

考察

•

決められた組織、部門への報告

•

開けられたバックドアをふさぐ

•

居ついたウイルスの駆除

•

ログインできるユーザの変更

•

被害をできるだけ小さくとどめるには？

•

機密データ（年金情報など）のアクセス動態

・通常の利用状態

・全体を盗み出すときの利用状態 利用タイミング（短時間に大量）

利用するアプリケーションソフトの特定 これを区別できないか？

•

ログイン時、真正ユーザと不正ユーザの区別ができないのか？

ワ ンタイムパスワード、生体認証など

（バックドアから入ってくる不正ユーザの排除）

•

トラフィックの監視（ユーザの意図しないトラフィックの存在）

27

今回の日本年金機構について専門業者

• トレンドマイクロ

• http://blog.trendmicro.co.jp/archives/11682

• ラック

• http://www.lac.co.jp/security/report/pdf/20150609_apt_j00 1t.pdf

• http://headlines.yahoo.co.jp/hl?a=20150609-00000103- zdn_n-sci

• ブログ

• http://www.japan-

secure.com/entry/the_targeted_attacks_against_Japan_Pen

sion_Service.html

今回の日本年金機構について専門業者

• トレンドマイクロ

• http://blog.trendmicro.co.jp/archives/11682

• ラック

• http://www.lac.co.jp/security/report/pdf/20150609_apt_j00 1t.pdf

• http://headlines.yahoo.co.jp/hl?a=20150609-00000103- zdn_n-sci

• ブログ

• http://www.japan-

secure.com/entry/the_targeted_attacks_against_Japan_Pen

sion_Service.html

29

今回の日本年金機構について専門業者

• ラックから

• 日本年金機構は、何らかの目的をもって攻撃を繰り返す犯 罪者により、個人情報の窃取という被害を受けました。攻撃 は執拗かつ巧妙であると見られ、その手法は標的型サイバー 攻撃という、限られた攻撃対象に対して特化された電子メー ルやウイルスを仕込んで行われたものでした。

• 本来は情報系システムとは切り離された基幹系システムで管 理されている個人情報が窃取された原因は、日本年金機構 内で行われていた業務手順により、情報系システムに個人情 報がコピーされていたためでした。

• 情報を守るために切り離された２つのネットワークの使いにくさ

が、逆にセキュリティの弱さにつながったのです。

今回の日本年金機構について専門業者

• ラックから

•

• この事件から我々が取るべき行動は

• 1. 事件・事故前提の組織体制構築

• 2. 社員や職員の意識改革と教育

• 3. 事故対応チームの組織化

• 4. セキュリティ監視と不正通信の洗い出し

• 5. 事件発生を見越した演習

• ではないか、と考え本資料にまとめました。

31

今回の日本年金機構について専門業者

今回の日本年金機構について専門業者

33

今回の日本年金機構について専門業者

組込みシステム

IPA から

http://www.ipa.go.jp/files/000013968.pdf

• 組込みシステムへのセキュリティへの取り

組みガイド 2009 年 6 月

35

組込みシステム

IPA から

http://www.ipa.go.jp/files/000013968.pdf

• 組込みシステムへのセキュリティへの取り

組みガイド 2009 年 6 月