「すべてのモバイル機器はマルウェアに感染する。例外はない」：カスペルスキー説明会

[ITmedia]

2011年上半期のセキュリティリスクを総括

カスペルスキー情報セキュリティラボの前田典彦氏

　カスペルスキーは8月2日、2011年上半期のセキュリティリスクを総括するプレス向け説明会を実施した。トピックは、今も猛威を振るうドライブバイダウンロード型の攻撃と、現在急増中のモバイル端末に感染するマルウェアについてだ。

　カスペルスキーの情報セキュリティラボでチーフセュリティエヴァンゲリストを務める前田典彦氏は、2011年上半期のインターネットにおける脅威の総括として、まず初めにPegel（Gumblerに類するドライブバイダウンロード型の攻撃）と、Fake AV（偽アンチウイルスソフト）の2点を挙げた。

Webサイトを媒介にアプリケーションのぜい弱性をついてダウンローダーを送り込み、その後ユーザーの環境にあわせて次々とマルウェアをダウンロードさせる

　Pegelはアプリケーションのぜい弱性をついて不正なダウンローダーを送り込み、そこからユーザーの環境にあわせて“最適な”マルウェアを散布する仕組みだ。Webサイトを閲覧しただけで感染してしまうのが特徴で、ユーザーを不正なサイトへ誘導するために、サイバー犯罪者は正規のWebサイトを改ざんしたり、検索結果の上位に不正なサイトが表示されるように検索エンジンの最適化（SEOポイズニング）を行うなど、さまざまな手法がとられている。後者のSEOポイズニングでは、画像検索に対応した例もあったという。同社の調査結果として示されたスライドをみると、日本においても日々相当数のユーザーが不正サイトにリダイレクトされているのが分かる。

　なお、感染後に送り込まれるマルウェアとして最も多いのは“偽のアンチウイルスソフト”だという。いわゆるFake AVは、「ウイルスを検出した」という架空の警告でユーザーに有償版ライセンスの購入を迫り、クレジットカード番号などを登録させるなどして個人情報や金銭を詐取するものが多い。現在はMac OS向けのFake AV（Mac Defender）も登場するなど、その数は年々増加し、進化している（2010年にはチャットや電話によるユーザーサポート機能を持つものも登場した）。

KSN（Kaspersky Security Network）を通じて収集された、日本のユーザーが不正サイトにリダイレクトされた統計（写真＝左）。Fake AVは年々増加している（写真＝中央）。2011年1Qの傾向として、Fake AVの配信元は.ccドメイン（インド洋に浮かぶココス諸島に割り当てられている）が多いようだ（写真＝右）

　もう1つ、モバイル向けOSを取り巻く脅威についても総括した。モバイルOSに感染するマルウェアの総数は、全体の割合で見るとまだ少ないものの、2004年にSynbian OS向けのマルウェアが登場して以降、確実に増加傾向にある。特に近年ではAndroidを含むすべてのプラットフォームでマルウェアが発見され、2011年7月22日の時点でその数は3420にのぼるという（特にAndroid向けマルウェアは、この4月に累計の5％に達するなど急速に増加している）。前田氏は「世の中に出ているモバイル向けのプラットフォームは、すべてマルウェアに感染する。多い少ないはあっても、感染しないものはない」と強調した。

　ちなみに、モバイル向けマルウェアで現在最も多いのは、プレミアムSMSを発信して金銭を詐取するSMS trojan（ロシア、東欧などで流行した）だが、最近では端末のroot権限を奪取する「DroidDream」や「DroidKungFu」といった高度化したもの出現している（後者はroot権限で動作するプログラムを削除不能領域に書き込むため、1度感染してしまうと削除するのは難しい）。前田氏は「問題はDroidDreamが正式のAndroid Marketで流通してしまったこと」と語り、Android端末におけるマルウェア対策の難しさを指摘するとともに、PC向けのマルウェアと連動してオンラインバンキングのアカウント詐取を試みるZitMo（ZeuS in the Mobile）の存在を挙げて、「モバイル向けマルウェアの目的は収益化の段階に入っている」と警告した。

モバイルデバイス向けのマルウェアは急速に増えつつある（写真＝左）。Android Marketで流通したDroidDream。Android 2.2のぜい弱性を突いてroot権限を奪取し、SIM情報や端末情報などを送信する。3つのコンポーネントにはダウンローダーも含まれている。ただ、現在のところ使用された報告はない（写真＝中央／右）

カスペルスキーの最新保護技術を解説

カスペルスキープロダクトマーケティング担当部長の長門慶悟氏

　続いて登壇したプロダクトマーケティングの長門慶悟氏は、現在カスペルスキーが取り組んでいる2つの保護技術を紹介した。

　秒単位でマルウェアの亜種が発生している現状において、定義ファイルベースの“伝統的”な保護では、マルウェアの発見から定義ファイルを配布するまでの数時間は危険な状態にさらされやすい。セキュリティソフトの多くは、アクセスするWebサイトの安全性判定（URLフィルタリング）や、プログラムダウンロード時のスキャン、プログラム実行時の振る舞い検知、システムファイルの改変監視など、多層的な保護機能を備えているが、現在カスペルスキーが注力しているのがクラウドと仮想化だ。

　仮想実行スペース機能は、隔離された論理空間をメモリ上に作成し、そこでデスクトップやアプリケーションを実行する仕組みで、悪意のあるプログラムによってレジストリやシステムファイルなどが改変されても、通常の環境は影響を受けずにすむ。万が一マルウェアに感染した場合に、被害を最小限に抑えられるのがメリットだ。一方のクラウド機能は、KSNに参加するユーザーからメールやファイル、URLなどを、シグネチャに変換して収集し、これを定義データベースのように運用する。これにより、定義ファイルが配信されるまでの危険な時間帯を短縮できるという。

定義ファイルベースの保護では間に合わないリスクに対し、クラウドや仮想化を使った技術を組み合わせることで、隙のないハイブリッドな保護を提供する

　長門氏は、定義ファイルベースの保護に加えて、これらの技術を組み合わせることにより、「ハイブリッドなアプローチを意識した製品開発を行っている」と語り、カスペルスキーの技術をアピールした。