マルウェアから始まる「マルウェア駆動型スキャン攻撃」の“ずる賢い手口”とは：防御をかわす手口に要警戒

セキュリティ専門家は「マルウェア駆動型スキャン攻撃」が活発化しているとみて注意を呼び掛けている。マルウェア駆動型スキャンとは、どのような攻撃なのか。求められる対策とは。

[Alexander Culafi，TechTarget]

　セキュリティベンダーPalo Alto Networksの脅威分析部隊「Unit 42」によると、「マルウェア駆動型スキャン攻撃」が広がっている。この攻撃によってマルウェアへの感染が加速する可能性があるため、企業などの組織はセキュリティリスクを管理する上で警戒しなければならない。マルウェア駆動型スキャン攻撃の仕組みはどうなっているのか。組織はどのような対策を講じればいいのか。

「マルウェア駆動型スキャン攻撃」の“ずる賢い手口”とは

併せて読みたいお薦め記事

脆弱性対策を講じるには

• 新発見の脆弱性どころか「古い脆弱性」が危ない当然の理由
• 無料版もある脆弱性診断ツール「Nessus」とは？　その歴史と機能

　従来の攻撃では、攻撃者が自らスキャンを実施して標的システムの脆弱（ぜいじゃく）性や開いているポートといった攻撃の「入り口」を特定するのが一般的だ。マルウェア駆動型スキャン攻撃は、まず標的システムをマルウェアに感染させ、マルウェアがスキャンを実施するようにする手法だ。Unit 42によると、マルウェア駆動型スキャン攻撃には主に以下の目的がある。

• 痕跡を隠して攻撃を追跡しにくくする
• 標的システムのマルウェア検知機能をすり抜ける
• botネット（マルウェアに感染したコンピュータが形成するネットワーク）を拡大させる
• 標的システムのリソースを利用して多数のスキャンリクエストを生成する

　Unit 42の説明によれば、マルウェア駆動型スキャン攻撃の流れは以下の通りだ。

• 攻撃者が標的システムをマルウェアに感染させる
• マルウェアが攻撃者の制御するサーバにビーコン（信号）を送信して指示を求める
• 攻撃者はマルウェアにスキャン攻撃の実行を指示する
• マルウェアは標的システムに対してスキャンリクエストを開始する

　攻撃者側のサーバから「スキャンを開始せよ」という指示を受けると、マルウェアは標的システムから、ターゲットとなるさまざまなドメインをスキャンする。マルウェア駆動型スキャン攻撃によく使われるマルウェアの一つとして、Unit 42はOS「Linux」で動作するシステムを狙った「Mirai」を挙げる。

　特にUnit 42がマルウェア駆動型スキャン攻撃に関してよく観測しているのは、ファイル転送ツール「MOVEit Transfer」の脆弱（ぜいじゃく）性「CVE-2023-34362」に関連するリクエストの大量送信だという。CVE-2023-34362は2023年6月に公開された。ある攻撃では、CVE-2023-34362に関連するリクエストが7000回以上送信されたとUnit 42は説明する。

　攻撃者がマルウェア駆動型スキャン攻撃を仕掛けるために、それまでに観測されたことのないURLをマルウェア実行プログラムに埋め込んでスキャン攻撃を実施したケースを複数観測した、とUnit 42は説明する。未知のURLを用いるのは、セキュリティ製品によって検出・ブロックされることを回避するためだという。Unit 42は企業などの組織に対し、不正スキャンを監視するとともに、高度なURLフィルタリングツールを利用することを推奨している。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。