【解説】
ネットワーク・セキュリティ――最新の脅威とその対策

巧妙化が極まるクラッキング、増え続ける攻撃の手口

（2008年08月22日）

国内での蔓延も懸念される
スパム型トロイ攻撃

　前項で述べたように、営利を目的とした攻撃者は、エンドユーザーのPCから情報を盗み出すプログラムを、短時間に最小限のリスクで効率よく実行させたいと考えている。このような不正なコードを多数のユーザーに配布する方法としては、前項のほか、スパム・メールを送信する要領で多くのメール・アドレスに対して一斉に不正なプログラムを送りつける方法がある。ただし、不正なプログラムを送りつけるだけではユーザーに実行させることはできないため、何らかの有用なプログラムやデータに見せかけて送信されるケースが多い。

　このようにファイルが本来持つ機能のほかに不正な目的のコードを含むファイルは「トロイの木馬（Trojan Horse）」あるいは略して「トロイ（Trojan）」と呼ばれる。

　トロイにはさまざまな機能を持たせることができるが、営利目的のトロイでは各種アカウント情報を盗み出すスパイウェア機能や、不正プログラムを生成する機能（ドロッパー機能）、インターネット上の特定のアドレスから他の不正なプログラムをダウンロードする機能（ダウンローダ機能）などを有するのが一般的である。また、トロイは自己増殖の機能を持たない点においてコンピュータ・ウイルスとは異なるが、ベンダー情報や報道などではこれらを明確に区別せず記述されることが少なくない。

　このようなトロイをメールで大量送信する攻撃方法が、「スパム型トロイ攻撃（Spam Trojan Attack）」あるいは「大規模トロイ攻撃（Massive Trojan Attack）」などと呼ばれものである（図3）。攻撃に使用されるトロイは実行ファイルの場合もあれば、オフィス・ソフトの文書ファイルやPDFなど特定ソフトのデータ形式の場合もある。データ形式の場合はこれらを使用するアプリケーションの既知または未知（公知ではない）の脆弱性を悪用することにより不正な処理を行う。実行ファイルの場合は、メールの本文に「自己解凍形式の実行ファイルを添付したので、添付ファイルを実行して内容を確認してほしい」などと、そのファイルを実行したくなるようなメッセージが記載される場合が多い。

図3：スパム型トロイ攻撃の概念図

　スパム型トロイ攻撃で使用される不正プログラムは、基本的に使い捨てとなることを前提としている。攻撃が行われた時点において攻撃コードは、ウイルス対策ソフトの観点からは未知のウイルスという位置づけとなるため、ウイルス定義ファイルに基づく検知機能しか持たないウイルス対策ソフトでは検知することが難しい。ウイルス対策ソフトがパターン・ファイルをリリースするころには、新たに改変された別の不正プログラムが使用されることとなる。また、こうした不正プログラムの生成自体が自動的に行われるため、新たな不正プログラムが次々と生成され続けていくのである。

前のページへ < ｜1｜2｜3｜4｜5｜6｜7｜8｜9｜ > 次のページへ