全2832文字
PR

正規サービスを悪用する

 ところが、通信相手のドメインやIPアドレスで判断するのも困難になっている。正規のWebサービスを悪用するマルウエアがあるからだ。それが今回解説する手口である。

 攻撃者とマルウエアのやりとりを仲介するC&Cサーバーは、攻撃者が独自のドメインやIPアドレスを用意して運用するのが一般的だ。攻撃者が自由に設置できて、いくらでもカスタマイズできる。

 だが「不審な通信」しかしていないのでC&Cサーバーであることがばれやすい。その結果、セキュリティー製品やサービスで検知されて遮断される可能性が高い。また、通常の業務では絶対にアクセスしないサーバーなので、遮断しても何の問題もない。

 そこで編み出されたのがWebサービスを悪用する手口だ。攻撃者は正規のWebサービスを使ってマルウエアに命令を送信したり、窃取した情報を取得したりする(図2)。TwitterやFacebook、ブログといったSNSやGmail、Dropbox、AWSといったクラウドサービスを悪用する。一般企業のWebサイトや掲示板などを使うこともある。

図2●正規のWebサービスを経由して命令などをやりとりする
図2●正規のWebサービスを経由して命令などをやりとりする
攻撃者はSNSサービスやクラウドサービス、企業のWebサイトなど、正規のWebサービスを悪用してマルウエアに命令を送信したり、窃取した情報を取 得したりすることがある。この場合、セキュリティー機器は通信の宛先だけではマルウエアの通信を検知できない。
[画像のクリックで拡大表示]

ブログに命令を紛れ込ませる

 正規のサービスを悪用する具体例を見ていこう。

 1つ目に紹介するのはブログサービスを悪用する事例だ。攻撃者はまず一般的なブログでアカウントを作成し、適当な内容の記事をいくつか投稿して通常のブログを装う。

 マルウエアに指令を送るときは、記事の本文内にマルウエアへの命令を書き込む(図3)。攻撃とは関係のない文章の中に紛れ込ませるので、一見しただけではマルウエアへの命令とは分からないようにしている。

図3●ブログサービスを悪用した例
図3●ブログサービスを悪用した例
攻撃者はブログの本文に、攻撃とは関係のない文章を命令と一緒に書き込んで、一般的なブログの文章に見せかけている。
[画像のクリックで拡大表示]

 マルウエアはこのブログを定期的に読みにいくようにプログラミングされている。そして記事の本文に埋め込まれた命令を見つけると、その内容を実行する。