30分でできるサイバー犯罪体験――トロイの木馬でPCを乗っ取ってみた

McAfee FOCUS JAPAN 2012:
 マカフィーは11月14日、サイバー攻撃やセキュリティリスクを解説する同社主催のセキュリティカンファレンス「McAfee FOCUS JAPAN 2012」を開催した。その中でちょっとユニークなセッションが行われていたので紹介しよう。

【30分でできるサイバー犯罪体験:トロイの木馬でPCを乗っ取ってみた】

 「MALWARE EXPERIENCE」(マルウェア体験)と名付けられたそのセッションでは、参加者の前に用意されたPCを使って、実際にマルウェアがどのように作られ、どのように動作するのかを学習することができる(参加者は攻撃者と被害者の双方を体験する)。サイバー犯罪の手口を実際に体験することで、被害者にならないための知識を獲得し、セキュリティ意識を高めることが目的だ。

 今回の具体的なシナリオは、RAT作成キットで知られる「SharK」を使ってトロイの木馬を作成し、ターゲットのPCに感染させ、制御下に置いたターゲットのPCを遠隔でコントロールするというものだ。なおこのデモは、1台のPC内で3台の仮想マシンを実行し、1台のサーバと2台のワークステーションで構成される、完全に独立した仮想ネットワーク上で行われる(The-Webが攻撃者、Victimが被害者)。

 ちなみに、記者はこれまでマルウェアの作成に関わったこともなければ、そうした専門知識も持たない、どこにでもいるごく一般的なインターネットユーザーだ。ツールキットの登場によって、「誰もがマルウェアを作成できるようになった」と言われるが、この体験プログラムで用意された時間は約30分ほどしかない。果たして無事(?)にターゲットのPCをコントロールできるのだろうか。

 まずはダウンロード(正確には最初からPC内にあった)したSharK.exeを実行してサーバを設定する。このオプションで、ターゲットに送り込んだトロイの木馬やボットがC&Cサーバを見つけられるようにする(Addをクリックして攻撃者側のサーバのIPアドレスを指定)。なお、SharKは古くからあるツールキットだが、GUIベースの管理画面はシンプルで見やすく、ボタンやチェックボックス、プルダウンメニュー操作で作業が行える。まったく知識がない記者でも画面を見ればなんとなく分かるものだ。

 次に正規のプログラムに組み込むトロイの木馬を作成する。ここでは埋め込み先にStinger(スタンドアロン型のウイルススキャンツール)を用いているが、これはターゲットにマルウェアを実行させる際、正規のウイルススキャンツールをインストールしていると思わせるためだ。

 画面の左にあるメニューバーを見ると、「Stealth」(マルウェア実行時に実行ファイルを削除する、ユーザーに隠れてマルウェアを実行する)や、「Blacklist」(感染したマシン上のセキュリティソフトなどを無効化するリスト)といった項目が並び、作成するトロイの木馬にさまざまな動作オプションを設定できることが分かる。満足のいく設定ができたら、ファイル名にvirusscanなどの"それらしい"名前をつけ、実行ファイルとしてコンパイルする。これでひとまずは完成だ。

 次のステップでは、ターゲットのマシンをトロイの木馬に感染させる。これには色々な方法があるが、今回はソーシャルエンジニアリングを使った古典的な手法を使う。具体的な手順は、正規のWebサイトのURLに似せたURLで、本物そっくりの偽サイトを立ち上げ、第一段階で作成したトロイの木馬を配置し、偽装した電子メールをターゲットに送ってこの偽のWebサイトに誘導、そこでマルウェアをダウンロードさせるという流れだ。

 まず攻撃側のPCでセキュリティベンダーを装ったメールを作成し、ターゲットに送信。今度はターゲット側(被害者)でメールを受信する。体験セッションでは自分が攻撃者と被害者の1人2役を演じるので、「ん? セキュリティベンダーからメールが来たぞ? ほうほう無料のアンチウイルスソフトか。さっそくゲットだぜ!」などと頭の中で小芝居を打ってみたりする。

 あくまで体験会であるこのセッションでは、(被害者が)受信したメールのリンクからプログラムをダウンロードし何の疑いもなく実行する、という攻撃者側とってやや都合のいい想定だが、例えそうしたセキュリティ意識の低いユーザーが実際にはほとんどいなくても、無料のセキュリティソフトを探している人に向けて、何万通のメールが送信されればひっかかってしまう人はいるかもしれない。また、人気のある正規のWebサイトそのものを改ざんして悪意のあるコードを仕込み、そのWebサイトにアクセスしただけで感染させるような場合は、セキュリティソフトを導入せず、アプリケーションのパッチもあてていないユーザーの大きな脅威になる。それこそ、自分の知らないあいだにPCが乗っ取られていても不思議ではないだろう。

●ターゲットのPCを遠隔操作してみる

 うまくターゲットのPC(Victim)にトロイの木馬を仕込むことができた。こうなればSharKの管理コンソールからターゲットのPCをほぼ無制限にコントロールできるようになる。Victimのマシンスペックをはじめ、インストールされているアプリケーションや、現在実行されているプロセス/サービスも確認できるうえ、ファイルはもちろん、レジストリへのフルアクセスも可能だ。

 画面左の「DOS Shell」では、ターゲットのCMDシェルにアクセスできる。試しに「start notepad」「start calc」などと打ち込んでみると、Victim側のデスクトップでメモ帳と計算機が起動する。きちんと動作しているようだ。

 このように、マシンの制御を完全に奪われた状態では、自分(被害者)のPCがさまざまなサイバー犯罪に利用されてしまう。ここでは、オンラインショッピングなどで利用するアカウントを盗むために、キーロガーを使ってみた。Victim(被害者)側でWebブラウザを立ち上げ、架空のオンラインバンキングにアクセスし、アカウントとパスワードを入力。すると、攻撃者のコンソールにはどのキーが押されたのかが記録されていく。このほか、被害者側のPCに表示されている画面をキャプチャしたり、PCにWebカメラが搭載されていれば、使用者のリアルな顔写真を記録することさえできる(今回のデモは仮想環境だったのでWebカメラのドライバがなくて断念)。

 また、ダウンローダーで、いつでもトロイの木馬に新しいウイルスを追加できるのもポイントだ。ソフトウェアがバージョンアップするように、マルウェアもバージョンアップし、常に最新で効果的な攻撃が行える。とりあえず潜伏させておけば、繰り返し預金を盗む、攻撃の踏み台にする、あるいは誰かになりすますなど、攻撃者の目的にあわせてマルウェアを送り込めるというわけだ。

 以上、ここまでの体験プログラムは約30分ほどで終了した。環境の構築などはお膳立てされていたものの、ツールキットを使った操作という点では、通常のソフトウェアを使うのと変わらない印象だ。ブルース・スネル氏は「このようにサイバー犯罪が容易にできるようになったのも、現在の深刻な状況を生んでいる要因の1つだ」と指摘し、ある程度セキュリティへの投資ができる企業ではなく、個人においてこそリスクは高まっていると警鐘を鳴らす。

 こうした被害にあわないためには、「どんなに面倒でもアプリケーションのパッチをあて、Windows Updateを実行し、セキュリティソフトを必ず更新すること。そして何よりも重要なのは、セキュリティ意識を高めるための教育、啓蒙だ」と語った。

Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20121115-00000051-zdn_pc-sci