PR

 今更で恐縮だが、ビジネスチャットツールの「Slack」が人気である。国内でも導入企業は増える一方だ。例えばAIベンチャーのPreferred Networks(PFN)は最も重要なビジネスツールとしてSlackを挙げた。これだけ人気なので人だけではなく、「ウイルス」君まで使い始めた。ウイルス君は流行に敏感だ。

 近年出回っているウイルスの多くは、攻撃者が遠隔操作できる。攻撃者はWebやメールなどを経由して攻撃対象の組織のPCにウイルスを送り込む。そして該当PCにウイルスを感染させて乗っ取る。その後ウイルスは定期的に攻撃者の支配下にあるサーバーにアクセスして命令を取得。それに従って動作する。例えば指定された拡張子のファイルを盗んで攻撃者に送ったり、特定のIPアドレスのコンピューターに攻撃を仕掛けたりする。新しいウイルスも送り込める。命令を中継するコンピューターはコマンド・アンド・コントロールサーバー(C&Cサーバー、C2サーバー)と呼ぶ。

 遠隔操作型のメリットは状況に応じた挙動が可能なことだ。感染したコンピューターやネットワーク環境に応じて攻撃内容や攻撃対象を絶えず変更できる。挙動をあらかじめプログラムしたウイルスにはできない業だ。

 一方で弱点もある。サーバーのホスティング事業者やISP(インターネット接続事業者)などにC&Cサーバーを落とされる(使用不能にされる)と、感染させたウイルスを操れなくなる。そこで攻撃者が考えたのは、正規のWebサービスを使って命令を送り込む手法だ。自前でC&Cサーバーを用意した場合とは異なり、サーバー自体を落とされる心配はない。

 例えば2010年にはTwitterを悪用したウイルスが出現。感染したウイルスはあらかじめ指定されたTwitterアカウントのツイートを定期的にチェック。命令がツイートされている場合、その命令に従って動作した。

GitHubとfile.ioも使う

 そして今回、命令伝達にSlackを使うウイルスが確認された。トレンドマイクロが2019年3月中旬、同社の公式ブログで明らかにした。同社によるとSlackの悪用が確認されたのは初めてだという。このウイルスはGitHubとfile.ioも使う。GitHubはソフトウエア開発のプラットフォーム、file.ioはファイル共有サービスである。

 ウイルスはSlackとGitHubを使うことから「SLUB」と名付けられた。SLUBはWebサイトを経由して感染させられる。攻撃者は一般のWebサイトを改ざんして攻撃コードを仕込んでおく。このような攻撃を「水飲み場型攻撃」と呼ぶ。多くのユーザーがアクセスする一般のWebサイトを動物が集まる水飲み場に例えた名称だ。

 攻撃者は水飲み場型攻撃サイトに、Windowsの脆弱性を突く仕掛けを施す。この脆弱性のあるWindows PCでアクセスするとダウンローダーが実行され、SLUBがダウンロードおよび実行される。感染したSLUBはGitHubから命令を取得。命令の実行結果などはSlackに作成されたワークスペースのプライベートチャンネルに投稿する。また、盗んだファイルなどはfile.ioにアップロードする。

 外部との通信を記録するプロキシサーバーなどのログはウイルス感染を検出する有力な材料になる。ウイルスの多くは外部と通信するからだ。見慣れないドメインのサーバーと通信している場合は、組織内のPCがウイルスに感染している可能性がある。ただ今回のようにTwitterやSlackといったまっとうなWebサービスからも、命令が送られてくる恐れがある。「見慣れないドメインとの通信はないから大丈夫」と早合点するのは禁物だ。

勝村 幸博(かつむら・ゆきひろ)
勝村 幸博(かつむら・ゆきひろ) 1997年日経BP入社。主にセキュリティーやインターネット技術に関する記事を執筆。ITpro(現日経 xTECH)、日経パソコン、日経コンピュータなどを経て、現在は日経NETWORK編集長。