悪意のあるリンク

添付ファイルからの感染がなくならない理由

メールに悪意のあるファイルを添付するという手口は何年も前から使われており、セキュリティ企業もメールプロバイダーも対策を打ち出していますが、いまだに被害が出ているのはなぜなのでしょうか。

Brian Donohue
2013年11月25日

メールに悪意のあるファイルを添付して送信するという手口は、マルウェアを拡散してデバイスを感染させる上で非常に大きな効果があり、多くの犯罪者が利用しています。

その効果は実証済み。コンピューターを無差別にボットネットに追加する、スピアフィッシングで企業ネットワークに侵入する、トロイの木馬を使ってオンラインバンキングの口座を乗っ取るなど、さまざまな攻撃で長年にわたって悪意のあるドキュメントが利用されてきました。Word文書であれ、PDFファイルであれ、写真であれ、怪しいメール添付（問題なさそうに見えたとしても）を開くと危ないという認識は、コンピューターユーザーやインターネットユーザーの間でこれまで以上に高まっています。アンチマルウェア業界も、メールサービスプロバイダーも、Webブラウザーメーカーも、添付ファイルからの感染を防ぐ新技術を開発してリリースしています。その上、ソフトウェアベンダーが以前よりも効果的かつ効率的にぜい弱性パッチ管理を処理できる環境になりました。

にもかかわらず、毎日無数のコンピューターが、悪意のあるドキュメントを開いたために感染しています。IT業界の聡明な人々が全力で取り組んでいるというのに、烏合の衆とも言える攻撃者に対処しきれていないのはなぜでしょうか？

概してその理由は単純です。攻撃者の多くは単独で行動するか、小さなグループに所属して自分たち専用のカスタムツールを使用しており、すばやく行動できるからです。ブラウザーメーカー、メールプロバイダー、IT大手、そしてアンチウイルス企業も、新たな脅威に可能な限り迅速に対処していますが、ある程度大きな組織というのはどうしてもお役所的になり、動きが遅くなってしまうものなのです。

しかし、企業側にだけ問題があるわけではありません。大半のユーザーは更新のインストールを嫌がり、開くべきでない添付ファイルを開いてしまうユーザーも多いのです。

企業側にだけ問題があるわけではありません。大半のユーザーは更新のインストールを嫌がり、開くべきでない添付ファイルを開いてしまうユーザーも多いのです

一応擁護しておくと、攻撃者は頭の悪い人たちではありません。自分たちの攻撃手法に企業がどう対応しているかを観察し、それに応じて手口を変えます。パッチが適用されたぜい弱性と、未適用のぜい弱性を記録して、ベンダーがまだ修正していないセキュリティホールを標的にします。また、アンチウイルス企業がまだ検知シグネチャを開発していない、新しいペイロードを作り出します。狙いをつけたユーザーのソーシャルネットワークや目につく活動を監視してその人に関する情報を集め、メールや悪質添付ファイルに信憑性を持たせて、ユーザーをだまそうとします。

私はかつて、攻撃者がどんなにがんばっても、フィッシング詐欺で私をだますことはできないと高を括っていました。しかし、Kaspersky Labのプリンシパルセキュリティエキスパート、コート・バウムガートナー（Kurt Baumgartner）が私の考えを正してくれました。誰でも（どんなに賢い人でも）、自分が信頼する人から来たと思われる添付ファイルは開いてしまうのだと教えてくれたのです。この現実のために、人間の直感ではなく測定可能な行動に基づく自動的な防御が必要になります。

たとえば、Microsoftの前回の月例パッチでは、Internet Explorerのぜい弱性が修正されましたが、Microsoft Officeのゼロデイの（まだ公表されていない）ぜい弱性の1つが修正されませんでした。したがって、このぜい弱性を知っていれば、エクスプロイトを作成して、ぜい弱性の影響を受けるユーザー（つまり、Microsoft Officeのほぼすべてのユーザー）に悪意のあるドキュメントを送信することができます。もちろん、使用されたマルウェアが、ユーザーのアンチウイルス製品の定義データベースに登録されていれば、その攻撃を防ぐことはできます。しかし、攻撃者はとても簡単にマルウェアのコードやドメインを変更することができ、検知を逃れようとします。

攻撃者を褒めるのはこれくらいにしておきましょう。結局のところ、善人は少し動きが遅いものの、だいたいは頭がいい人たちです。収入も多く手当もつき、普通は刑務所行きを心配する必要もありません。善人は悪人を見て彼らのやり方から学びますが、悪人も同様に善人を観察しています。

このことはKaspersky Labの開発者についても言えます。当社の研究者たちは、攻撃者が進化していくのを何年も観察してきました。以前のアンチマルウェア製品はマルウェアのシグネチャを検索するだけでしたが、シグネチャの検知だけでは十分でないことがこの数年で明らかになりました。このようにして開発されたのが「ぜい弱性攻撃ブロック」などの技術です。ぜい弱性攻撃ブロックはユーザーのシステム内で、ぜい弱性や既知のマルウェアのふるまいをスキャンします。不自然なコードを実行しているアプリケーションや、ぜい弱なソフトウェアの不具合をエクスプロイトしている可能性のある怪しいアプリケーションが検知されると、被害が出る前にその動作をブロック。このように、ゼロデイのぜい弱性を含め、ほぼすべての既知の脅威を防ぐことができます。