TOPセキュリティ > マルウエアの種類と特徴(上)

セキュリティ

マルウエアの種類と特徴(上)

2020/12/07

Roger A. Grimes CSO

 ワームが時に猛威を振るう理由は、エンドユーザーの操作がなくても拡散できる点にある。ウイルスの場合は、まずはエンドユーザーが実行しないと、他のファイルやユーザーへの感染動作を始められない。ワームは、何らかのファイルやプログラムを悪用して動作する。例えばSQL Slammerは、Microsoft SQL Serverのバッファオーバーフローの脆弱性を利用する仕組みだった。既にパッチがリリース済みの脆弱性だったが、パッチを未適用のままでインターネットに接続されていた世界中のSQL Serverに、10分程度で感染を広げた。今も残るスピード記録だ。

3:トロイの木馬

 ワームに代わり、ハッカーが好んで利用するようになっているのがトロイの木馬だ。正規のプログラムに見せかけているが、その中には悪質な処理が含まれている。ウイルスよりも昔からあり、現在のコンピューターに入り込むマルウエアはトロイの木馬が特に多い。

 トロイの木馬は、ユーザーの実行によって動作を開始する。メールでユーザーのもとに届いたり、感染したWebサイトの閲覧時に送り込まれたりすることが多い。特に目にするのは、ウイルス対策ソフトに見せかけた偽プログラムだ。パソコンが感染したという嘘のメッセージを表示して、駆除のためのプログラムを実行するよう促す。これを信じたユーザーは、トロイの木馬を迎え入れることになる。

 トロイの木馬の中でも、現在のサイバー犯罪で特に広く使われているのが、リモートアクセス型トロイの木馬(RAT)だ。侵入したコンピューターをリモートから制御できるようにする機能を持つ。ラテラルムーブメントや、ネットワーク全体への感染拡大を狙いとしていることが多く、検出を免れるように作られている。サイバー犯罪者は、RATを自分で一から開発しなくても、さまざまなキットや既製のツールを闇市場で手に入れて使うことができる。

 トロイの木馬は、こうしたキットで簡単に作成できることに加え、エンドユーザーをだまして拡散することから、パッチやファイアウォールなどの典型的な防御手段で食い止めるのが容易ではない。毎月、膨大な数のトロイの木馬が新たに出現している。マルウエア対策ツールのベンダーは、全力で対処を試みてはいるものの、あまりに多くのシグネチャに対応していかなくてはならない。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ