2016年06月14日 08時00分 UPDATE
特集/連載

6時間ごとにコードを自動更新検知困難なマルウェア「Qbot」が攻撃に失敗した残念な理由

短期間にコードを改変することで検知を困難にしているマルウェアが活発化し、多くのコンピュータが感染しているという。ただし、ある組織は意外な理由で攻撃を防ぐことができた。

[Warwick Ashford,Computer Weekly]
Computer Weekly

 BAE Systemsのインシデント対応チームは、伝染力の高いマルウェア「Qbot」について警告を発している。

 このマルウェアは「Qakbot」とも呼ばれる。2009年にその存在が確認され、2010年4月まで、民間企業や公共機関のコンピュータから盗んだ2GBの機密データを毎週FTPサーバにアップロードしていた。この中には、英国のNHSネットワークのコンピュータ1100台も含まれていた。

Computer Weekly日本語版 6月8日号無料ダウンロード

本記事は、プレミアムコンテンツ「Computer Weekly日本語版 6月8日号」(PDF)掲載記事の抄訳版です。本記事の全文は、同プレミアムコンテンツで読むことができます。

なお、同コンテンツのEPUB版およびKindle(MOBI)版も提供しています。

ボタンボタン

 このマルウェアが形を変えて再び出現した。全世界5万4000台以上のコンピュータに感染し、乗っ取ったコンピュータをボットネットに追加したといわれている。感染したコンピュータの85%は英国のコンピュータだ。

 BAE Systemsのホワイトペーパーによると、このマルウェアはバックドアを備えたネットワーク認識型のワームで、資格情報の入手を主な目的としている。さらに、エクスプロイトキット「Rig」を使って拡散される。

 公共機関はQbot攻撃に対する緊急対応を行った。BAE Systemsはこの対応から、新しくなったQbotがどのようにホストに感染し、自身を更新し、一部を除くウイルス対策およびマルウェア防御から身を隠すのかについて洞察を得た。

 ある組織が2016年初頭に攻撃を受け、500台以上のコンピュータが感染。重要なシステムの運用に支障を来した。BAE Systemsのアナリストは、多数の変更がオリジナルのQbotに施されており、検出と妨害を難しくしていることを突き止めた。

 これには例えば「変容的」なコードやポリモーフィックなコードが含まれる。つまり、マルウェアのコマンドと制御サーバによってコードが発行されるたびに、追加のコンテンツと共に新たにコンパイルされ、全く異なるソフトウェアに見えるようになる。

動作を変えるQbot

 さらに、6時間ごとに自動更新され、そのたびに暗号化されたさまざまなバージョンのQbotが生み出される。ウイルス対策ソフトウェアが更新される頻度はその速さに追い付かないため、マルウェアの拡散が促される。

 Qbotはサンドボックスで実行されていることも察知し、状況に応じてその動作を変えて検出されるのを防ぐ。

 サンドボックスとは、ユーザーの受信トレイに届く前にマルウェアを検出するためのツールのことだ。サンドボックスは、悪意のあるメールコンテンツの防御対策として広く普及している。マルウェア作成者がサンドボックス対策を必死で立てようとしていることがうかがえる。

 BAE Systemsによると、サイバー犯罪者はQbotの標的を警察、病院、大学などの公共機関に絞っているという。防御の回避と自動感染という2つの要素を組み合わせているため、自衛を怠ればQbotが拡散し続けるリスクがあると同社は話している。

 「多くの公的機関には重要なインフラやサービスを運営する責任があるが、予算が限られることが多い。主な標的となる理由がここにある」と話すのは、同社のサイバー脅威インテリジェンス担当部長エイドリアン・ニッシュ氏だ。

仕損じた犯罪者

 ニッシュ氏が語った同社インシデント対応チームの調査によると、標的の中にある特長を持ったコンピュータが数台含まれていたことが攻撃の成功を妨げたという。

この記事を読んだ人にお薦めの関連記事

この記事を読んだ人にお薦めのホワイトペーパー

Loading

注目テーマ

ITmedia マーケティング新着記事

news134.jpg

Oracle、IBM、Adobeが語るデジタルマーケティングの新潮流
主要マーケティングツールベンダーは現在のマーケティングトレンドをどう見ているのか。...

news112.jpg

KDDI、ショッピングモール「Wowma!」出店店舗の中国向け越境EC参入をサポート
KDDIは、越境ECプラットフォーム「豌豆 (ワンドウ) プラットフォーム」を運営するInagora...

news064.jpg

シャノンの「イベント受付来場認証」がPepperと連携
シャノンは、MAツール「SHANON MARKETING PLATFORM」において、展示会・イベントの来場者...