藤野の散文-私の暗黙知-

毎日の中での気付きについて書いています

過去に戻すしかけ。

光あるところに影がある。
便利さの裏には危うさが。
悪意のソフトウェアからいかにして身を守るか。

例えば。

バックアップを「上書き」ではなく「個別」にしておく。
せめて「1日ごと」にしておけば、昨日の状態には復帰できるわけだ。
「データの流出」にはあまり効果はないが、ランサムウェアなどには有効だろう。

便利に色々とし過ぎた結果「悪意のハッカー」に付け込まれることも多いが、それでも「便利」はやめられない。
大規模ホストのデータが流出する、というのは引き続き「悪意のプログラム」を見張り続けるしかないが、個人の防衛は「個別バックアップ」で事足りるようになるだろう。

「毎日100ギガのバックアップを取る」ための記憶装置も今や現実的だ。
自分の環境は自分で守りましょう。

スマホもそのうちそうなるに違いない。

1回のクリックが命取り!マルウエアの侵入は一瞬だ 操作内容を外部送信するバンキングマルウエア、身代金を要求するランサムウエアを体験
ラック サイバーセキュリティ事業部 ACTR センター長 鷲尾 浩之氏(左)と今回の体験をリポートした森川滋之氏(右)
 この連載では、マルウエア(悪意のあるプログラム)への感染、情報漏洩、不正アクセスなどセキュリティー侵害の本当の恐ろしさを実際の体験を通じてリアルに説明していく。情報セキュリティー対策の専門企業ラックの監修・支援のもと、実験環境を作り、実際に体験させていただいた。今回は「マルウエア」についてライターの森川滋之氏がリポートする。
 コンピューターウイルスなど悪意のあるソフトウエアを総称して「マルウエア」と言う。ソフトウエアを実行してしまう(「感染する」と表現する)と機密情報や個人情報を窃取(せっしゅ)されたり、新たなサイバー攻撃に悪用されたり、ファイルを破壊されてしまったりする。結果として業務に深刻な支障が出るだけでなく、企業の信頼を失墜させる事態に至ることさえある。
 実は気がついていないだけで、あなたのPCもすでにマルウエアに感染し、悪意のある攻撃者にせっせと重要な情報を送信し続けているかもしれない。不安を覚えた方は、ぜひとも続きを読んでいただきたい。
■現在の主流はバンキングマルウエア
 平河町(東京・千代田区)にあるラックの本社を訪れると、サイバーセキュリティ事業部 ACTR(Advanced Cyber Threat Research Center)センター長 鷲尾浩之氏が出迎えてくださった。
 挨拶もそこそこに、今日の体験内容の説明をお願いする。「実際に使用された3種類のマルウエアを使って、感染を体験していただきます」と鷲尾氏は話す。
 3種類とは以下の通り。
 1.バンキングマルウエア(添付ファイル型)
 2.バンキングマルウエア(URL型)
 3.ランサムウエア(添付ファイル型)
 このうち1と2はオンラインバンキングサービスのお知らせなどを偽装したメールで届き、不正送金などに悪用される。最近のマルウエアの多くを占めるようになっているもので、金銭の窃取(せっしゅ)が主な目的だが、いったいどんな巧妙な手口を使うのだろうか?
 一方、3は実行すると、PC内のファイルを暗号化して金銭を要求するプログラムで、今回は2017年末によく見られたものを使った。2018年に入ってから、メールによるランサムウエアの配布は激減しているそうだが、油断はできない。
 感染の体験は、特別な技術で構築した仮想的なウインドウズ環境で行った。ランサムウエアなどでファイルを暗号化されても、この仮想的なウインドウズ環境を削除すればそれで済む。ただ、安全に仮想的なウインドウズ環境を構築するには、専門知識が必要だ。決して、まねをしないでほしい。
 また多くのマルウエアは外部の「C2サーバー」と通信するが、これはダミーを用意している。C2サーバーは「コマンド・アンド・コントロール・サーバー」または「C&Cサーバー」とも呼ばれるインターネット上で稼働するコンピューター。PC内のマルウエアと通信して、PCにコマンドを実行させたり、PC内の不正なプログラムが送るデータを受信したりするために攻撃者が用意する。
 それでは順に説明しよう。
ページ: 2
■バンキングマルウエアは、こなれた日本語のメールに添付、文面での判断は困難
マルウエアを送りつけるメールの日本語が最近は自然になっており、すぐにはわからないことに注意しよう
 最初に、「1.バンキングマルウエア(添付ファイル型)」の感染を体験した。マルウエアが添付されているメールは下の画面のようなごく普通のものだ。
 最近の傾向として、メールの日本語が自然になったことがあげられる。以前のようないかにも外国人が書いたと思われる文章ではなくなったので、注意が必要だ。
 「文章よりも差出人欄を見てください。差出人が知らない相手であるメールは危険です」(鷲尾氏)
 マルウエアにはシステムの脆弱性(ぜいじゃくせい)を悪用する実行ファイル型、オフィスソフトのマクロ実行型などさまざまな種類がある。これは表計算ソフトウエア「Microsoft Excel(エクセル)」のマクロを実行するタイプだ。
 添付されているエクセルファイルを開いてみる。
 エクセルの初期設定ではマクロを実行しない、「警告を表示してすべてのマクロを無効にする」になっている。そのままであれば、意図せずマクロが実行されることはない。しかし、ユーザーがエクセルの設定を変えていたら、ファイルを開いたとたんに実行されてしまうことがある。
 ここでは、「編集を有効に」し、「コンテンツの有効化」ボタンをクリックして、わざと感染した。
 鷲尾氏が、感染している(不正なソフトウエアが実行されている)様子をウインドウズの専門家向けツールを使って見せてくださった。
 PCが実行しているソフトウエアの一覧を表示させると、「Excel.exe」の下でコマンドプロンプト「cmd.exe」が実行され、その下でパワーシェル「powershell.exe」が動いている。つまり、エクセルのマクロを実行しただけなのに、パワーシェルというウインドウズの機能が実行されている。

■バンキングマルウエアは、こなれた日本語のメールに添付、文面での判断は困難

マルウエアを送りつけるメールの日本語が最近は自然になっており、すぐにはわからないことに注意しよう
 最初に、「1.バンキングマルウエア(添付ファイル型)」の感染を体験した。マルウエアが添付されているメールは下の画面のようなごく普通のものだ。

 最近の傾向として、メールの日本語が自然になったことがあげられる。以前のようないかにも外国人が書いたと思われる文章ではなくなったので、注意が必要だ。
 「文章よりも差出人欄を見てください。差出人が知らない相手であるメールは危険です」(鷲尾氏)
 マルウエアにはシステムの脆弱性(ぜいじゃくせい)を悪用する実行ファイル型、オフィスソフトのマクロ実行型などさまざまな種類がある。これは表計算ソフトウエア「Microsoft Excel(エクセル)」のマクロを実行するタイプだ。
 添付されているエクセルファイルを開いてみる。

 エクセルの初期設定ではマクロを実行しない、「警告を表示してすべてのマクロを無効にする」になっている。そのままであれば、意図せずマクロが実行されることはない。しかし、ユーザーがエクセルの設定を変えていたら、ファイルを開いたとたんに実行されてしまうことがある。
 ここでは、「編集を有効に」し、「コンテンツの有効化」ボタンをクリックして、わざと感染した。
 鷲尾氏が、感染している(不正なソフトウエアが実行されている)様子をウインドウズの専門家向けツールを使って見せてくださった。
 PCが実行しているソフトウエアの一覧を表示させると、「Excel.exe」の下でコマンドプロンプト「cmd.exe」が実行され、その下でパワーシェル「powershell.exe」が動いている。つまり、エクセルのマクロを実行しただけなのに、パワーシェルというウインドウズの機能が実行されている。


パワーシェル上で実行されているコマンドの中身を見せていただく。

 画像をマスクした場所にインターネット上のアドレス(URL)がある。これはC2サーバーのURLだ。マクロ内にマルウエアがあるのではなく、C2サーバーからマルウエアを取得して実行するのである。
 これが、ずるがしこい手口の1つだ。マクロ内にマルウエアがあるとウイルス対策ソフトが検知する可能性が高い。そこでこのようにワンクッションおくことで、マルウエアを端末に送り込みやすくするわけだ。逆にいうとウイルス対策ソフトが検知しないからといって安心してはいけない。
 マルウエアは、あとで説明するようなさまざまな手段で、オンラインバンキングの情報をC2サーバーに送る。悪意のある人間がそれを活用して、不正に他人の口座へアクセスするのである。
■クレジットカード会社のお知らせにそっくりのメールで差出人も本物のように見える
 次に「2.バンキングマルウエア(URL型)」を体験した。
 あるクレジットカード会社のお知らせそっくりのメールが表示される。差出人もそれらしくなっている。

バンキングマルウエアに感染させるメール。マスクした部分には実在する会社の名前が書かれているが、ニセモノである。なお、ここでは不審なリンク先であることを示すために画像をマスクしていないが、決してアクセスしないでほしい
 もちろん実物ではない。「ご利用日」「ご利用金額」の欄などは実際とは違うので、チェックすれば怪しいと気づく。しかし、なかにはチェックせずにメールに含まれるリンクをクリックしてしまう人もいるだろう。
 クリックする前に、マウスカーソルをリンクに重ねて飛び先のリンク(URL)を表示させてほしい。表示されたものを見ると、本物のクレジットカード会社のリンク先ではないことが分かる。C2サーバーのアドレスだ。なお、ここでは、不審なリンク先であることを示すために、あえて画像をマスクしていないが、決してこのリンク先にアクセスしないでほしい。
 クリックすると、圧縮したファイルを意味するZIPファイルのダウンロードが通知される。通常は絶対にしてはいけないが、ここではあえて感染するため「OK」ボタンをクリックする。

ここでも不審なリンク先であることを示すために画像をマスクしていないが、決してアクセスしないでほしい
 ZIPファイルが保存されたので、中身を見る。

 これは意味不明でいかにも怪しいファイル名だが、「ご請求書.pdf」などという紛らわしい名前の場合もある。
 鷲尾氏が、「二重拡張子(.PDF.js)となっているのに注意してください」と言う。
 ファイル名の最後についているコンマからあとの文字が「.PDF」と「.js」の2つある。この場合、「.js」が本当の拡張子である。しかし、ウインドウズのエクスプローラーの設定で拡張子を見えないようにしていると、「.PDF」しか見えず、単なるPDFファイルと勘違いしやすい。アイコンをよく見ればニセモノのPDFだと分かるのだが、気づかずについうっかりクリックする人もいる。

クリックすると、JavaScript(ジャバスクリプト)で書かれたプログラムによって、C2サーバーから下図のようなマルウエアを取得し、それをPCが実行すると怪しい実行プログラムファイル(EXE拡張子のファイル、下図のTempleI20.exe)ができ上がり、実行される。これでエクスプローラーに不正なコードが注入(インジェクション)され、不正な動作をするエクスプローラーができあがる。これで感染完了だ。

 感染後の動作は、1の添付ファイル型と同様だ。
■警告などは出ないので感染してもなかなか気づかない
 以上2つのマルウエアは感染してもウインドウズでは何も起こらないように見える。警告さえ出ない。
 PCに詳しい人が使うタスクマネージャーというウインドウズの機能でプロセス(実行中のプログラム)を確認しても分からない。マルウエアがエクスプローラーにインジェクション(注入)されて一体化するからだ。ユーザーから見たら、単にウインドウズの標準機能であるエクスプローラーが実行されているとしか見えない。
 専門家はどうやって感染をチェックしているのだろうか?
 やや専門的になるが、「Process Explorer」や「Autoruns」というツールを使う。これらは、Windows Sysinternalsというマイクロソフトのウエブページから無償でダウンロードできる。詳しくはこのページを参照していただきたい。
 今回の体験では、これらを利用して、下図のフォルダーに怪しい実行ファイルをPCで見つけることができた。ただかなりPCに詳しい人でなければ難しいかもしれない。

 このマルウエアは感染した後、さまざまな手段で情報を取得し、一時ファイルに書き込んでは、C2サーバーに送信し、証拠隠滅のために一時ファイルを削除する。
 例えば、オンラインバンキングサービスでよく使う「乱数表」を入力させる画面を出すという手口がある。PCの利用者は、画面に出てくる日本語が自然なのでつい入力しそうになる。入力された乱数表の数字は、そのまま一時ファイルに書き込まれて、攻撃者が管理するC2サーバーに送信される。
 「最近は、画面操作を動画としてキャプチャーして、送付するという手口もあります」(鷲尾氏)
 仮想通貨取引所など特定のサイトにアクセスすると、マルウエアが検知して、画面入力操作を動画としてキャプチャー(記録)するのだ。このマルウエアに感染すると、PC側はかなり動作が重くなる。最近どうもPCが遅いという方は、感染を疑ったほうがいいかもしれない。
■ランサムウエアは暗号化が始まったらPCを初期化するのが基本
 続いてランサムウエアを体験した。バンキングマルウエアは、自然な日本語で書かれているメールが多いが、ランサムウエアは今のところ英語がほとんどだ。
 今回体験するランサムウエアを開いてみると、“.7z”という拡張子のファイルが添付されている。ファイル圧縮・解凍プログラムの拡張子だ。

 ZIPファイルの中身はJavaScriptという言語で記述されたプログラムになっている。URL型のバンキングマルウエアと同様の方式だ。

このJavaScriptを実行してしまうと、C2サーバーからランサムウエアを取得して実行され、「脅迫メッセージ」が表示される。

 その後、少しずつ暗号化が進んでいく。このランサムウエアでは、暗号化されたファイルの拡張子が“.doc”に変えられる。

 暗号化されてしまうPCのファイルの種類はランサムウエアごとに違う。暗号化は徐々に進んでいくので多くの人はPCの電源を切るが、再び電源を入れて再起動すると暗号化の処理が開始される場合がほとんどだ。
 抜本的には、一度感染したらPCをウインドウズを含めてまるごと初期化して、あらかじめ保存したバックアップからデータのファイルを戻すのが基本だ。一部のランサムウエアについては復号/復元ツールがあり、高度な知識があれば復元可能な場合もあるが、日ごろからデータをバックアップを実行しておくべきだろう。

ランサムウエアによる暗号化は徐々に進んでいくが、もとには戻せない

■基本中の基本の対策は怠りなく
 ランサムウエアのような「脅迫メッセージ」が出るものは確かに驚く。被害も一目瞭然だ。
 しかし、それよりも感染しても気づきにくいタイプのマルウエアのほうが恐ろしい。いつの間にか、銀行の自分の口座からお金がどこかに送金されているかもしれない。個人情報を外部に送信して誰かに迷惑をかけているかもしれない。
 鷲尾氏に対策をうかがったところ、タイプ別に教えてくださった。
オンラインバンキングマルウエアの対策
ウイルス対策ソフトを導入し、パターンファイルを常に最新に更新
・ 基本ソフト(OS)、ウェブブラウザーおよびオフィスソフト製品などを常に最新の状態に更新
・ 金融機関が公表するインターネットバンキングの手続きを確認し、インターネットバンキングサイトにアクセスした際に、確認した正規の手続と異なる入力画面などが表示された場合には、ID・パスワードなどを入力しない
ワンタイムパスワードや多要素認証など、利用している金融機関が推奨しているインターネットバンキングの不正送金対策を導入する
・ 意図しないログイン履歴がないか、自分の口座の入出金明細等を定期的に確認する
・ 不審なメールを見分ける訓練をする
ランサムウエアの対策
ウイルス対策ソフトを導入し、パターンファイルを常に最新に更新する
・ 基本ソフト(OS)、ウェブブラウザーおよびオフィスソフト製品などを常に最新の状態に更新する
・ こまめにデータをバックアップする(ネットワーク上以外の物理的なバックアップを推奨)
・ 不審なメールを見分ける訓練をする
 ウイルス対策ソフトとセキュリティーパッチの適用は基本中の基本。それ以外の対策も怠りなくされることをお勧めする。

鷲尾氏はタイプ別に対策を教えてくれた
(ライター 森川滋之、監修・支援 ラック)

MeasureMeasure