遠隔操作型マルウェアに関連した最近の事件をうけて

※本ブログは、McAfee Labs東京 主任研究員 本城 信輔によるものです。

遠隔操作による不正な行為が発覚し、それがバックドア型のトロイの木馬であったことは、すでに報道によりご存知だと思います。マカフィーでは、これらのバックドアをDAT 6861 (米国時間2012/10/10リリース)でBackDoor-FITと検知します。その後、いくつか亜種が見つかっていますが、それらも同様にBackDoor-FITとして検知されます。

なお、バックドア型のマルウェアは、マルウェアの中でももっとも種類の多いタイプであるといっても過言ではありません。亜種の数が多いものだけをあげても、GrayPigeon、Haxdoor、や、標的型攻撃に使われるPoisonIvyなどは非常に多く存在しています。こういった亜種の多いファミリー以外にも、マイナーなバックドア型が無数に存在しているわけです。純粋なトロイの木馬だけでも非常に多いわけですが、感染機能をもったものも含めると、バックドアの機能をもつマルウェアは膨大な数になるでしょう。

今回話題になった種類は、.NETで書かれており、またコーディングからは日本語の習得者によるものと思われる特徴が見られました。例えば南米や東南アジアなど、マルウェアの作成者の言語が特定できる例は珍しくありませんが、日本語は過去に数件見られた程度であり、極めて珍しいケースと言えるでしょう。今後、今回出てきたタイプのバックドアの亜種がたくさん作成されて活発になっていくのか、あるいは、これで収束するのかは、注視していかなくてはなりません。マカフィーでは、すでにそれに備え、より一般的な検知であるBackDoor-FIT.genを準備しています。

バックドアは非常に危険なマルウェアです。今回のケースからも明らかなように、一度、感染してしまえば、どんな被害に遭ってもおかしくないのです。今回は、攻撃者が自分の存在を誇示しているような傾向が見て取れますが、多くの場合は、被害者が感染に気付くような行動をとることはありません。可能な限り感染を秘匿した方が攻撃者の利益になるのは、言うまでもないでしょう。
話題になっているとはいえ、このバックドアだけに注目するのは、あまり賢明とはいえないでしょう。多くのユーザーにとってみれば、今後、感染するのは、これ以外のバックドア型やその他のマルウェアである可能性の方が高いかもしれません。遠隔操作の機能をもつマルウェアが非常に多いことを念頭に置き、ぜひ対策を講じていただければと思います。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速