close

Enter

Log in using OpenID

スパイウェア・ボットの特徴,『トロイの木馬』的攻撃パターンとは

embedDownload
攻撃パターン(その2)
スパイウェア・ボットの特徴
「トロイの木馬」的攻撃パターンとは
「暗号とセキュリティ」(第10回目)
今井慈郎([email protected])
外部からの攻撃とは?その1
• DoS攻撃
DoS(Denial Of Service):システムが提供するサービス
の「妨害」や「機能停止」を図る攻撃.
サービス妨害の代表:(1)過負荷をかけるもの,(2)例外
処理ができないもの等.
• DDoS攻撃
DDoS(Distributed
Denial Of Service):DoS攻撃を行うマ
シンが単独であれば,そのマシン(IPアドレスは既知)か
らのパケットを遮断することも可能.しかし,DoS攻撃を
行うマシンがネットワーク上に分散している場合をDDoS
と呼ぶ.これは防御が難しい攻撃手法の代表.
DDoS:千台∼数万台といった多数のホストから
「一斉攻撃」を受けるため,サービスやネットワークが
停止.しかも,DDoS攻撃の原因と攻撃したホストを特
定しようとしても,攻撃側は第三者のホストに操られ
ているだけで,特定が非常に難しい.また,「踏み台」
となったホストの管理者もDDoSのモジュールが埋め
込まれ踏み台にされていることを気づかない場合もあ
る(攻撃側の特定は困難).
出典
http://www.ipa.go.jp/security/fy14/contents/soho/html/chap1/dos.html
外部からの攻撃とは?その2
• ポートスキャン
本来の目的:管理者が,ネットワークで使用したいポートの
状態を確認する行為.・・実は某先生も「研究」として実施
クラッキング手法:サーバに対して多様な手段で接続を試
み,弱点を探して攻撃のためのデータを取得(パッケージ化
されたソフトが流通).
少しでもPCがポートスキャンを受けている恐れがある場合,
一般ユーザ:OSやアプリケーションの(既知の)脆弱性の問
題を悪用される前に,アップデートやアンチウィルスソフト導
入が必要.
システム管理者:ルータやファイアウォールといったネット
ワーク機器を適切な設定が必要. ポートスキャン後の被害
(の危険性)を低減することが望ましい.
外部からの攻撃を分類すると・・
① サーバやPCのサービスや操作(活動)を機能不
全に貶める目的の攻撃パターン
② サーバやPCへの侵入を目的として,その侵入経
路や対象を探る目的の攻撃(というより「斥候」or
調査)パターン
どちらも攻撃を受ける側は困難に直面するが,後者
は以下でも説明するように,より深刻なダメージを受
ける危険性が高い.特に後者は「侵入」されることの
危険性が問題.では「侵入」されると・・・
外部からの攻撃の後,侵入を
受けるとどうなるか・・
内部からの攻撃とは?その1
• トロイの木馬
被害者(となるユーザ)が自ら,ダウンロードしたプログラム
実行形式のファイル(Windowsであれば.exe)を実行し,悪意
ある動作を開始するプログラム(自己増殖機能がない場合も
あるので,ウィルスとは呼ばない).
ギリシア神話に登場する「トロイの木馬」に由来.
• バックドア型:被害者の認識を経ずインストール・実行される
遠隔操作のためのプログラム(ワーム).最も危険なトロイの
一種.RAT(Remote Administration Tool)と呼ばれ,OSの管
理者権限を有するかの振る舞いで,比較的低い検知率.
• パスワード窃盗型:被害者のマシン上のあらゆる種類のパ
スワード,IPアドレス,被害者のマシンの詳細な情報などを
収集.電子メイル等の通信手段を用い,攻撃者へ送信.
「トロイの木馬」の物語
(出典:ギリシャ神話「岩波新書」)
ギリシャ軍はトロイ軍と10年間消耗
戦を続けてきたが、ある日、トロイ軍
がギリシャ軍陣地を見ると、ギリシャ
軍は巨大な木馬を残して全部退却し
てしまった(ように見えた)。
トロイ軍は自軍の勝利と思い込んで、
木馬を戦利品として城内に引き入れ、
盛大な戦勝の宴を催した。しかし、実
はこの木馬の中にはギリシャ兵が隠
れており、トロイ軍が酔い潰れた夜中
に木馬から出て城内からトロイ軍を
総攻撃し、かくてトロイは滅亡させら
れてしまったという。
2009年4月9日:音楽ファイルに寄生
するトロイの木馬.ネットにつながら
ない(ウイルス対策ソフトが出す警
告が消えない).
2009年9月7日:Firefoxを狙う偽
FlashPlayerが,実はトロイの木馬.
Flashだと思ってインストールすると,
ユーザがGoogleで検索した内容を
記録し,外部のサーバに送信する.
内部からの攻撃とは?その2
スパイウェア(spyware):ユーザの行動や個人情報などの収
集,マイクロプロセサ空き時間借用(予め設定された)による計算
実行などを行うアプリケーションソフト.実行結果より取得データ
はスパイウェア作成元(マーケティング会社や個人など)に送付.
狭義のスパイウェア:知らないうちに勝手にPCにインストー
ルされ,スパイ活動を行うプログラム.スパイ活動とは,PC内に
存在する情報・アクセス情報・PCに対する操作の情報(パスワー
ドなど)を許可無しに第三者に送信する行為.
広義のスパイウェア(マルウェアという呼称あり):知らない
内に勝手にPCにインストールされ,ユーザに「害」を与えるプロ
グラム全般.ウィルス等も含む広義のスパイウェア.
狭義のスパイウェア(No1)
狭義:入力情報・閲覧履歴などユーザ行動履歴(個
人情報)を外部に送信するソフトウェア
次も「スパイウェア」に含む場合あり
• ユーザ操作の監視(キーロガーKeylogger)
• コンピュータ内特定ファイルの検索・無許可での
転送(「Winnyを悪用した情報流出」を参照)
• ブラウジング中に特定サイトの強制的表示(ブラ
ウザハイジャッカ)
狭義のスパイウェア(No2)
「 あなたのブラウザ、乗っ取られていませんか? 」
― 見知らぬページが勝手に開くようになったら即対処! ―
出典: http://www.ipa.go.jp/security/txt/2009/09outline.html
情報処理推進機構 セキュリティセンター(IPA/ISEC)
狭義のスパイウェア(No3)
(a) 無断で特定広告を画面表示(アドウェアAdware,
ポップアップ広告)
(b) 無断で国際電話・ダイヤルQ2へダイヤルアッ
プ接続(ダイヤラ)
(c) 無断で特定プログラム等のダウンロード(ダウ
ンローダ,自動インストールの場合も)
(d) ユーザのサーバ・PCに重大欠陥ありと偽りメッ
セージの表示・ソフト購入の要求
これってスパイウェア?
• ソフトウェアベンダーによる「不正使用を防
ぐ目的での情報取得」(reading)
• ツールバーによる「検索キーワードの送付」
(writing)
• ツールバーによる「検索結果に対するアク
ションのデータ送付」(writing)
• 動画再生ソフトによる「対象調査のための
統計データ送付」(writing)
(正当?な)スパイウェアが読出す情報
① 個人情報 (メイルアドレス,本名,住所,電話番
号・・)
② Web上での秘密情報 (クレジットカード番号,ID,
パスワード・・)
③ PC使用履歴 (どのような情報を入手したか,ど
のようなソフトがインストールされているか・・)
④ ブラウザ使用履歴 (閲覧サイト情報,クリック対
象の情報・・)
③④は主として情報取得のため・・ もちろん許可無く実行するのは犯罪
Cookieとスパイウェアの「悩ましい」関係
• まず「Cookie」について:ウェブブラウザのユーザに関す
る情報をクライアント側に記録する技術.
• 電子商取引等を利用する際,既入力情報の繰返し入力
を簡単化できる利点あり(メモリ機能を活用)
• Cookieを利用すれば,ユーザに無断で,複数サイトにま
たがって同じCookieの内容を追跡する手法が可能.
• 複数サイトに広告を配信するWebサーバでは,閲覧ユー
ザ毎にユニークなIDをCookieとして発行,「いつ・どこの
サイトの,どのバナー広告を見たか」を広告配信用Web
サーバで情報収集可能.
• Cookieの有効期限が切れるかユーザが削除しない限り
このIDによる記録は可能
Cookieとスパイウェアの「悩ましい」関係2
• Cookieの行為自体に問題なし.しかし,一部には
ウェブサイトの閲覧履歴そのものを記録するトラッ
キングクッキー(tracking Cookie)として利用できる
場合あり.
• その仕組みを使い,スパイウェアでは自身で用
意したCookieを使用し,ブラウザに導入,サイト
閲覧の際にサーバに送信することで,巧みに個
人情報を送信(スパイウェア側が送信or受信・格
納)するメカニズムを実現可能.
スパイウェア侵入(感染)経路
• 他の有用プログラム中に,スパイウェアコンポー
ネントを隠しておく方法:スパイウェア含有プログ
ラムは無料ダウンロード可能という場合も多い.
利便性をユーザにアピール.
• OSやブラウザのセキュリティホールを利用する
方法:ウェブサイト閲覧中に欠陥や安全上の問
題をついて,コンピュータ内に侵入.
• ウィルス・電子メイルに添付されたプログラムを
不注意などで実行,ダウンロード:配信元を匿名
とし,迷惑メイル中継機能など含む場合あり.
スパイウェアを敢えて分類すると
① サーバやPCに侵入し,ユーザ情報などを「秘密裏
に」取得する窃盗型.情報取得が第一の目的.
② サーバやPCに侵入後,サーバやPCを破壊・遠隔
操作などを行う乗取り・破壊型.ウィルスやボット
などがこのパターン.・・マルウェアと分類
どちらも被害は大きいが,②はより直接的
http://www.higaitaisaku.com/spyware.html
http://ja.wikipedia.org/wiki/スパイウェア 参考
マルウェア(Malware)
• 「悪意のある(Malicious)」「Software」的な合成語.ウィ
ルス・ワームが代表例.クラックツール,スパイウェア,
悪質なアドウェアなどを含む場合あり.
• サーバ・PCの処理を妨害し,データやシステムの改
竄(ざん)によりマシン内部に悪影響を与えるもの多数.
• マルウェアの中には,システムの設定ファイルなどを
書き換え,利用者の処理をあまり妨げずに潜伏し続
けるものあり.インターネット接続時には,マルウェア
自体の二次頒布・クラッキング許容などバックドアとし
て機能する場合も少なくない.情報漏洩などの二次
被害の危険性あり.
ハッキングとクラッキング
• ハッキング(hacking) :コンピュータのハードウェ
ア・ソフトウェアの仕組み等を研究・調査する行
為.ハッキング自体は「高い技術レベルを必要と
するコンピュータ利用」といった意味あいで使用.
善悪の要素を持たない.
• クラッキング(cracking) :破壊などを伴い他者に
迷惑をかけるもの,秘匿されたデータに不正にア
クセスするものなど,悪意・害意を伴う行為.「ク
ラッキング」という表現は,「ハッキングの能力を,
悪意・害意を伴って使用」する好ましくない行為と
考えられる.
内部からの攻撃とは?その3
ボット
PCなどに「害」をもたらす悪意的なプログラム(マル
ウェア)の中で,感染したPCに対して害を与えること
を主な目的としたプログラムの総称.
ネットワークを通じて侵入し,害をもたらすという点で,
広義のウィルスに該当.
2002年頃から顕在化.
サーバやPCを遠隔で自在に操作する(ロボット制御)
意味で「ボット」と呼称.
内部からの攻撃とは?その3−2
ボットのプログラムは既存ウィルスの活動パターンの組
み合わせが主体.
ウィルスが広く感染することを目的に動くのに対して、
ボットは感染したPCに深く関わり(害を集中し),そのPC
を悪用することを主眼としているところがこれまでのウィ
ルスとの相違点.
ボットは侵入したPCの内部から,外部クラッカ*と通信
し,遠隔操作する.
*クラッカ(ー):攻撃が主体であるためハッカ(ー)と区別
内部からの攻撃とは?その3−3
感染後の動きとして,サーバやPCが乗っ取られた結果,
①他のサーバ(PC)などに対してDoS攻撃を仕掛ける
②スパムメイルの踏み台となり,スパムメイルの発信 元(転送・中継を含む)となる
③新たに感染元になって他のサーバやPCを攻撃する
など,サーバやPCのユーザが,知らず知らずの内に加
害者になってしまう点が大きな特徴.
(外部からみれば,当該マシンが犯行に及んでいると認
識されるので.③はウィルス系の特徴とも言える)
ボットネットワークの脅威
• ボットウィルスに感染したコンピュータ(群)は,攻撃
者が用意した指令サーバなどに自動的に接続され,
数十∼数百万台のボットウィルス感染コンピュータ
群を従えた「ボットネットワーク(BotNet)」と言われ
る巨大ネットワークを形成.
• 感染コンピュータは,攻撃者からの命令を待機し,
命令により,攻撃者の意のままに数十∼数百万台
の感染コンピュータ群が操作され,フィッシング目
的などのスパムメイル大量送信,特定サイトへの
DDoS攻撃などに利用され、大きな脅威.
「フィッシング」「スパムメイル」は次回
ボット侵入(感染)経路
• ネットワーク感染型:Windows等の基本ソフトや、その他のプ
ログラムのセキュリティホールや設定の不備を悪用し感染.
インターネット等のネットワークに接続するだけで感染する.
• メイル添付感染型:メイルの添付ファイルをクリックし感染.
• Web閲覧感染型:ブラウザで閲覧したホームページに埋め
込まれたウィルスをダウンロードして感染.ホームページを
見ただけで感染する場合あり.
• Web誘導感染型:迷惑メイルのURL等をクリックしアクセスし
たホームページからウイルスをダウンロードして感染.
• 外部記憶媒体感染型:USBメモリ,デジタルカメラ,ミュージッ
クプレーヤーなどの外部記憶媒体を介在して感染.
ボットの特徴(No1)
• ボット感染後も従来のウィルス・ワームと比較し
て特別な症状が現れないことが多い.感染前と
の差異を感じることなくコンピュータを使用.感染
をユーザに気付かせない場合も多い.
• ボット自身を自動的にアップデートする機能を使
い,新機能の追加,自身の不具合修正が可能.
アップデート周期は短かく(数週間程度か),ボット
の発見が困難な要因.
https://www.ccc.go.jp/bot/
ボットの特徴(No2)
• ボットのソースコードやボットを簡単に作成するツー
ルがインターネット上で公開.あるボットをモデル
にした亜種が数多く作成可能.亜種の多さがウィ
ルス対策ソフトによるボット駆除を困難する要因.
• 従来,ウィルス作成者は愉快犯が多かったが,
ボット作成者の場合,ボットネットワーク構成する
と,時間単位で迷惑メイル配信会社への貸出し
や,盗んだ個人情報の販売など,ボットの犯罪利
用で,利益を得ることを目的.
ボット感染後の活動(破壊行為)1
• 迷惑メイル送信:感染コンピュータを踏み台にし,迷
惑メイルの中継送信を実行.ユーザに気付かれな
いよう,1つのコンピュータからは少量メイルが送信
されるだけだが,数万台規模のボットネットを利用す
るため,大量メイルを送信可能.
• DoS攻撃:特定のWebサーバに大量パケットを送信
し,サーバ機能を麻痺させる(利用不能DoS)ことで,
サービスを妨害.迷惑メイルの送信と同様,1つのコ
ンピュータが送信する攻撃データは少量ながら,ボッ
トネットによって数十万台∼数百万台から攻撃デー
タを送信可能なため,大規模なサーバであっても攻
撃は脅威.
ボット感染後の活動(破壊行為)2
• ネットワーク感染(二次頒布):迷惑メイルやDoS攻撃
に利用するコンピュータの増員(ボットネット構築)の
ため,他のコンピュータのセキュリティホールを狙っ
た感染拡大活動を実行.ボットはセキュリティホール
を持つコンピュータを乗っ取り,ボットに感染させる
ためのプログラムを送付.
• ネットワークスキャン:ネットワーク感染を進めるた
め,セキュリティホールを持つコンピュータの情報を
インターネット上で収集.ポートスキャンによって収
集された情報を使い,次の感染対象とする(二次頒
布する)コンピュータを選出.
ボット感染後の活動(破壊行為)3
• 機能変更:自身を自動的にアップデートする機能を
使い,新機能の追加,自身の不具合修正を実行.
攻撃者からの命令を仲介する「指令サーバ」がウイ
ルス駆除などで使用不可となる場合に備え,新しい
指令サーバへの変更・準備も実行.
• スパイ行為:キーボードの操作履歴や、コンピュー
タに保存されている情報を外部へ送信します。この
ため、クレジットカード番号やID、パスワード等を盗
み出し,メーラのアドレス帳に登録しているアドレス
や個人情報の収集,その後,指令サーバの命令を
受け,コンピュータ内情報が外部流出.
「Winny」とこれを悪用した情報
流出・著作権侵害
• WinNYという名前:開発当時に流行していたファイル交換ソ
フト「WinMX」の次を目指すという意味合いに由来
• 2002年5月6日,電子掲示板サイト「2ちゃんねる」のダウンロー
ドソフト板でベータ版が公開
• 元・東京大学大学院情報理工学系研究科助手の金子勇(氏)
が開発・配布者.後に、著作権侵害行為幇助の疑いで逮捕
• Winny は、ファイル共有に中央サーバを必要としないピュア
P2P方式で動作.
• それ以前の「P2Pファイル交換ソフト」では,各クライアントの
情報をサーバに集積する様式(ハイブリッドP2Pモデル)が主
流であったため,サーバ非稼動時には利用できないという問
題あり.
「Winny」とこれを悪用した情報
流出・著作権侵害(その2)
• 従来問題の改善により,Winnyは稼動性が高く,一度稼働を
始めたネットワーク(サービス)は止められないことが特徴.
• Winny の高度な機能:
①通信の暗号化
②転送機能(一定確率で複数コンピュータを仲介させ,各コン
ピュータ上にキャッシュを残し,データ拡散を支援)
③クラスタ機能(類似ファイルを要求するノード同士の接続支
援)
④匿名での電子掲示板機能
⑤高い匿名性と効率の良いファイル共有の2点を高レベルな
バランスにおいて実現
ここまではむしろ良い特徴が顕著!
「Winny」とこれを悪用した情報
流出・著作権侵害(その3)
• Winny の匿名性:著作権法・わいせつ物頒布罪(児童ポルノ
規制法)・個人情報保護法などに抵触する違法なファイル交
換を行う場合に好都合(利用者数の急速拡大)
• それに乗じ Winny で流通するファイルに Antinny などといっ
たウィルスが仕組まれる.それによってファイルをダウンロー
ドした者の個人情報が Winny を媒体としてネット上にばらま
かれるという問題を引き起こす(このウイルスは亜種も数々
出現.必ずしもWinnyを感染媒体とせずネット上でも感染被
害が発生・増加) ・・ 本学でも被害(ある意味で加害者)
「Winny」とこれを悪用した情報
流出・著作権侵害(その4)
• 2003年11月27日,著作権法違反(公衆送信権の侵害)容疑
で Winny 利用者が,京都府警察ハイテク犯罪対策室によっ
て逮捕(2名)
• 2004年5月9日,開発・配布者もこの事件の著作権侵害行為
を幇助した共犯の容疑を問われ逮捕
• 著作権侵害行為幇助の疑いに関わる裁判では公開・提供行
為の方法が罪に問われており,技術開発の是非については
はっきり言及されず(「裁判所が判断を避けた」のではなくど
んな技術を開発しようともそれを自分の頭に秘めておく限り
思想・良心の自由の範疇に含まれるので技術開発の是非自
体は論じる必要なし.一方,技術を何かに使用した時点で、
「使用法」が問題視)
Winny(正確にはAntinny等暴露ウィ
ルス)による情報流出事件
• Antinnyなどの「暴露ウィルス」は勝手になどのファイル交
換ソフトを媒介とし,個人情報・(政府や各企業の)機密
情報をネットに流出させ(ファイル共有によって)社会問
題を発生.
• Antinnyの実行ファイル,あるいはAntinny同梱ファイルを
実行することにより感染.Antinnyファイルを所有していて
も,Antinnyファイルを実行しなければ感染せず(感染し
たとしてもWinnyを起動させなければ)情報流出もしない.
• このウイルスに感染すると,PC自体には大した害はない
ものの,個人情報・保存してあるデータおよび画像などが
Winnyなどを通じてネット上に流出し,Winnyとは無縁の
人々までもが社会的に二次被害を受けるケースが多い.
Winny(正確にはAntinny等暴露ウィ
ルス)による情報流出事件2
• 事例:自衛隊情報漏洩被害では,武器庫情報など軍事
機密情報がAntinnyにより流出(対策とし,2006年には40
億円で隊員用にPCを供給し、私物PCの持込みなどを禁
止.その後も流出が続き,2007年7月に日本が購入を検
討している次期主力戦闘機導入計画(F-X)についてアメ
リカ議会調査局が報告書で懸念していると記載されてい
る。
• 事例:2007年5月に警視庁による大規模な情報漏洩が発
生(暴力団や少年犯罪などの被害届詳細,暴力団と関係
がある人物一覧などの個人情報が1万人規模で流出.
ネット上で騒然)
Winny(正確にはAntinny等暴露ウィ
ルス)による情報流出事件3
• 初期の暴露をウィルス(ワーム)はデスクトップをキャプチャして
アップロードする程度の働きに限定
• その後,暫時改変され,デスクトップ上のデータの共有・電子メ
イル(Outlook Expressの保存データ)の共有などの機能増強.
• ワームの1つ「山田オルタナティブ」は,感染PC自体をHTTPサー
バとして立ち上げ,PCに保存されているデータ総てをインター
ネットを通じて世界中に公開し,なおかつワームに感染した者
同士をHTTPリンクで相互接続する機能が付加.
• ワーム被害は個人・民間企業・地方自治体・官公庁でも流出事
件が続発.社員・公務員が機密情報や職務上知りえた個人情
報などを自宅に持ち帰り,ファイル交換ソフトをインストール・利
用中のPCに入れて使用するずさんな管理実態が露呈し,不用
意にWinnyなどを使用しているという実態が暴露(社会問題)
Winny(正確にはAntinny等暴露ウィ
ルス)による情報流出事件4
• 嫌がらせのために個人情報を盗み出して故意にWinny
に流出させるという手口も発覚.
• ウイルスバスターなどのウィルス対策ソフトを提供してい
るトレンドマイクロからも社員がAntinnyに感染しWinnyへ
個人情報を流出させる事故を発生
• 住基ネットに関する情報(パスワード・使用手順)も流出し
ていたことが確認
• ひとたびWinnyで流出した情報は、キャッシュを保持する
コンピュータが存在する限り継続的にWinnyのネットワー
ク上にとどまり続けることが分かっており、それを削除す
ることはWinnyの利用者の全端末のデータをすべて削除
しない限りは不可能
Author
Document
Category
Uncategorized
Views
3
File Size
131 KB
Tags
1/--pages
Report inappropriate content