セキュリティーベンダーのトレンドマイクロは2019年3月中旬、「Slack」を悪用するウイルス(マルウエア)を初めて確認したことを公表した。Slackとは、ビジネスチャットのWebサービスで、多くの企業で利用されている。今回確認されたウイルスは、攻撃者からの命令の受信や盗んだファイルの送信などに、SlackなどのWebサービスを使うという。正規のWebサービスを悪用することで、ウイルスと攻撃者のやりとりを遮断されることを防ぐとともに、監視の目をかいくぐろうとする。
遠隔操作型が主流
近年出回っているウイルスの多くは、攻撃者が遠隔からインターネット経由で操作できる機能を備えている。遠隔操作が可能なウイルスは、遠隔操作型ウイルスやボット、RAT▼などと呼ばれる。また、ボットに感染した複数のパソコンで構成されるネットワークはボットネットと呼ぶ。
攻撃者は、Webやメールなどを使って、攻撃対象の組織のパソコンにウイルスを送り込む(図1)。そして該当パソコンにウイルスを感染させて乗っ取る。
その後ウイルスは、攻撃者の支配下にあるサーバーに定期的にアクセスして命令を取得。その命令に従って動作する。
例えば、指定された拡張子のファイルを盗んで攻撃者に送ったり、指定されたIPアドレスのコンピューターにDoS攻撃▼を仕掛けたりする。別のウイルスをダウンロードして感染させる場合もある。
攻撃者の命令を中継するコンピューターはC&Cサーバー▼などと呼ばれる。
攻撃者にとっての遠隔操作型ウイルスのメリットは、状況に応じた挙動が可能なことだ。
感染したコンピューターの状況や、そのコンピューターが接続しているネットワークの環境に応じて、攻撃内容や攻撃対象を自在に変更できる。挙動をあらかじめプログラムしたウイルスにはできない業だ。
一方で弱点もある。サーバーのホスティング事業者やISP▼などにC&Cサーバーを使用不能にされると、せっかく感染させたウイルスを操れなくなる。
そこで攻撃者が考えたのは、正規のWebサービスを使って命令を送り込むこと。自前でC&Cサーバーを用意する場合とは異なり、サーバーを停止される心配がない。
Remote Access ToolやRemote Administration Tool、Remote Access Trojanなどの略。
大量のデータを送信するなどして、攻撃対象のコンピューターが正常なサービスを提供できないようにする。DoSはDenial of Serviceの略。サービス妨害攻撃やサービス拒否攻撃などともいう。
ウイルスに命令を送信するサーバーのこと。C&CはCommandand Controlの略。C2サーバーなどとも呼ばれる。
Internet Service Providerの略。インターネット接続事業者のこと。