フォーティネットウイルス対処状況レポート　（2007年5月度）

● 5月の脅威の状況
フォーティネットのFortiGateが発見した脅威トップ10
1 W32/Dialer.PZ!tr 　 9.66
2 W32/Bagle.DY@mm 7.43
3 W32/Netsky.P@mm 7.15
4 HTML/BankFraud.E!phish 6.54
5 HTML/Iframe_CID!exploit 5.97
6 W32/Sober.AA@mm 5.52
7 W32/Stration.JQ@mm 4.15
8 W32/ANI07.A!exploit 3.68
9 W32/Grew.A!worm 3.20
10 W32/Bagle.GT@mm 2.73


今月は、下記に概説する通り、情勢の変化がいくつかありました。
またもや大量メール･ワームが目立ちはじめました。先月（※１）のハイライトではフィッシングのHTML/BankFraud.E!phishが大活躍し、Bagle.DYおよびNetsky.Pをしのいで、当社のマルウェアランキングのトップへ躍り出ました。そして今月はこれまで上位にはあがらなかったW32/Dialer.PZ!tr.の順位が急上昇（※２）するという新しい現象を目の当たりにしています。このダイヤラーは活発な散布活動により、5月のトップ・リストを簡単に制覇してしまい、下記の図1でわかる通り、ベンチマークであるNetsky.Pの上を行く活動ぶりを示しました。
※１：リンク
※２：リンク

図1：2007年5月のW32/Dialer.PZ!trの活動。ほぼ7日おきに活発な活動が繰り返されています。
リンク


Soberの活動が再び目立っています。今月は有名な大量メール･ワームのSoberが、W32/Sober.AA@mmの形で大暴れすることから始まりました。図2に示す通り、Sober.AAの急上昇は月初めの3日間に発生し、次第に衰え、その後は鳴りをひそめています。2006年1月以来、Soberがここまで活発に活動したことはありませんでした。


Strationは一定のペースを保っています。今月もW32/Stration.JQが非常に活動的で、月末に向かって大幅な急上昇があり、とりわけ24日の上昇が顕著です（図2）。これは先月、Strationが示したトレンド（前回のレポート（※３）で説明した通り、4月19日に活動ピークがあった）と同様です。

※３：リンク

図2：W32/Stration.JQ@mmおよびW32/Sober.AA@mm。どちらも急激な活動の上昇を示しています。
リンク


W32/Dialer.PZ!trによって作戦を監視

いまどきダイヤラーの盛んな活動を目撃するとは、ずいぶん奇妙な話です。そこで、このW32/Dialer.PZ!tr現象について、掘り下げて観察をしてみましょう。4月以来、大量の（図3参照）W32/Dialer.PZ!trが、主にメキシコと米国の全域で報告されています。上記の図1からわかる通り、5月を通して伝染の流れは大量かつ安定していました。7日ごとに繰り返される顕著な急上昇は、このマルウェアの作者たちが自分の「製品」を週次ベースで循環させ、市場の流れを保持するとともにボットネットのサイズを微調整しようと試みていることを暗示しています。


工場より

生産の波が週次ベースで認められるため、この作者が利用したマルウェア製造プロセスが詳しくわかります。世の中に出回っているW32/Dialer.PZ!trはすべて、有名な実行パッカーであるUPXを使って圧縮されていますが、少しだけアレンジされているため、鋭い目がなければ観察が困難です。フォーティネットSecurity Researchエンジニアのデレク・マンキーによると、今までのところ、世の中で見つかった変種はどれも種別され、製造情報が付けられているといいます。この情報は暗号化され、UPXで圧縮したマルウェアの末尾に「おんぶ」されています。暗号化された情報に含まれるのは、コンタクトサーバのURL、マルウェアのID、組み立て工場から飛び出したサンプルの製造時期を示すタイムスタンプ、そして任意のダウンロード･リンクです。このリンクは別のファイル（通常はトロイの木馬）に向けられており、そこでダウンロードと実行が行われてしまいます。この「おんぶ」方式は多くの場合、製造組み立てラインや暗号化、そしてマルウェアが散布される前の新情報の追加をスピードアップするのに使われています。これにより、コンタクトサーバやマルウェアIDといった属性を新しくした多数の変種を、時間を掛けずに簡単に伝染できます。これは、作者たちが初心者とはかけ離れた存在であることを示しているといってよいでしょう。集中化したボットネット（そこではボットが、ピアツーピアの通信プロトコルを利用するのではなく、マスターサーバから注文を受ける）の効率性と復元力は、その柔軟性と、急速に進化できる能力に密接に関連しており、その一方で新しいマスターサーバが着実にこのゲームに参加していることを、彼らは完璧に理解しています。


指令についての報告

被害者のコンピュータ上でいったんW32/Dialer.PZ!trが実行されると、指令の順に従い活動を開始します。それは上記で言及したコンタクトサーバに接続し、報告を行うことです。面白いことに、このマルウェアは接続に失敗すると自分自身を消去し、その存在を示すあらゆる痕跡を消します。ひとたび接続が完了すると、様々なパラメータがサーバに送信されます。それらは、マルウェアID、構築時間、VMWareの有無、感染したマシンのローカルID（地域を割り出すため）、日付、時刻、およびバイアス（UTC時間フォーマットを割り出すため）、最後に成功したコールの日付と時刻、その月にダイヤル／接続を行った合計時間、接続を試みた回数の今までの累計と当月の累計、確立したコールの今までの累計と当月の累計。5月に確認されたその後の変種には、さらなるフィールドが含まれており、感染したマシンの固有IDを報告することでマルウェア製造業者がマシンを追跡できるようになっています。パラメータが改訂され、時間とともに拡張しているという事実は、先ほど言及した「おんぶ」システムの柔軟性を示しています。


動的な命令

報告がひとたび完了するとW32/Dialer.PZ!trはサーバから暗号化された応答を読み出し、解析します。この応答は動的で、データを含むこともありますが、マルウェアが被害者のマシン上でそのデータを実行する場合としない場合があります。マルウェアIDを追跡することで、サーバは感染したクライアントに最適な応答を確実に行え、その結果プロトコルに後方互換性が導入できることは特筆に価するでしょう。


典型的な集中化ボットネットの例にもれず、マスターサーバからの応答には目当ての感染マシンの情報および活動が含まれています。読み出された情報には、ダイヤル先である特有の国際電話番号（報告されたマシンの場所に基づき、動的に作成される）、接続を有効にしておく時間、特別に作成したユーザ名、およびパスワードが含まれています。また、応答に組み込まれたEXEを実行および編集する指令、あるいはDLL（これも応答にあるバイナリ･フォームに組み込まれている）を登録し、その国際電話番号にダイヤルし続ける指令といった、その他のフィールドが存在する場合もあります。


ダウンロードされたEXE/DLLの実行あるいは登録の後で、マルウェアは固有のダイヤル信用証明を含む電話帳エントリーを作成し（システム・デフォルトのrasphone.pbkを使用）、ダイヤルアップ･モデムがある場合は、このエントリーを使用しようと試みます。


組み立てる

このシステムの枠組みは、マルウェア作者たちに大きな支配力を持っています。地域やマルウェアIDといった情報を感染マシンから読み出すことで、このたくらみの陰にいる犯罪者たちは自分たちの製品（そして固有のマシンIDがある場合には、個別ユーザも）の指紋採取が行えます。この指紋採取に基づいて、彼らは自らが作成した変種、行動、散布方法を微調整できます。そしてもちろんのこと、サーバ応答は動的であるところから、特定の電話番号や指令を含む一定の地域に対して、インテリジェントに応答を返すことが可能です。


現在、このマルウェア作者たちは、自分たちの製品を米国およびメキシコで大量配布しています（図3を参照）。この枠組みによって彼らができることを、次のように説明することが可能です。彼らが特定の実行ファイルを米国およびメキシコにだけ送付したい場合は、米国とメキシコの地域情報に対してだけ動的に応答を行い、ダウンロードおよび実行する実行ファイルを返すだけでいいのです。同時に、日本から来る要求は地域情報が違うので、同じ実行ファイルを受け取ることがありません。


マルウェア作者たちは、すでに自らの失敗から学習しているようです。4月に目撃された初期の変種では、「おんぶ」されたファイル・データにハードコードされたリンクが含まれていました（工場より※４）。これは変種自体に含まれていたため、それを解読しダウンロードするファイルのロケーションを探すことは容易で、このファイルの存在が一目瞭然でした。その後、製造者たちはこの方式を改訂し、他の変種との後方互換性は保ちつつ、ハードコードされたリンクを取り除き、ダウンロードおよび実行のためにサーバからのファイルを動的に返すようになりました。この裏返しの手法により、彼らは単に「スイッチを入れ」て、期間内にさらなるEXE/DLLを散布し、またスイッチを切ることで、こうしたファイルの存在を目立たなくさせます。図1で示したように、それはおそらく7日ごとに行われています。

※４：リンク


図3：2007年4月20日以来の、国別のW32/Dialer.PZ!tr報告数
リンク


図3で示された通り、マルウェア製造業者たちは主に北米を散布の標的としています。実際のところ、その他の国での活動はとても些少なものだったため、この図では確認することができません。図を観察すると、メキシコには明らかに米国より多くの対象者がいます。これは高額な長距離電話の通話を行うように設計されたボットですが、あらゆるボットの例にもれず、コンポーネントのダウンロード、実行、アップグレードも行います。もちろん、ダイヤルするには、急速に時代遅れとなってしまったテクノロジーであるモデムが必要です。おそらく、メキシコはまだダイヤルアップ･モデムの利用者が多いところから標的にされた一方、米国は人口が多いためにターゲットとなったものと思われます。


現在のところ、返された電話番号は起点の地域情報を考慮していません（国際電話をかけるための正確なコードを先頭に追加することは別として）。これはマルウェア作者が全世界に存在する特定のダイヤルアップ･サーバ群を指定していることを意味します。面白いことに、その大多数は海外にあり、首位の欧州をアフリカが僅差で追いかけている形です（下記の図4を参照）。通信衛星利用の電話番号のいくつかも返されています。国別に目を移すと、欧州ではリヒテンシュタインが電話番号の92.6％を占める一方、アフリカでは中央アフリカ共和国、カメルーン、マダガスカル、ニジェール、サントメ･プリンシペ、そしてトーゴ共和国に分散しています。


図4：W32/Dialer.PZ!trで電話番号を返したサーバの大陸別分類
欧州（EU）、アフリカ（AF）、北米（NA）および通信衛星利用の携帯電話（Other）
リンク


またダイヤルの信用証明には、サーバが返したユーザ名（特別に作成）およびパスワードが含まれています。こうしたユーザ名およびパスワード（現在のところ、パスワードは静的なままです）は、返された国際電話番号にダイヤルするのに使われますが、こうした国際電話は上記で説明した通り、同じ大陸内ではなく、海外への通話であることが多いのです。こういったあらゆる事実、とりわけ海外のコールバック・サーバで使うパスワードおよびユーザ名をサーバが返すことを考慮すると、確実に何らかのつながりが存在します。このようなたくらみは、通常単独犯ではなく、複数の人物によって全世界的なスケールで組織された悪党集団により、悪意を持って楽しまれています。


このように、ダイヤラーを組み込むボットに依存したビジネスモデルは、ことさらにまれであることは特筆に価します。実際のところ、ボットネットとダイヤラーの有害な結び付きは、今まで発生したことはありませんでした。簡潔に説明すると、全世界的にDSL化が進む個人のインターネット接続に対応したボットが勢力を拡大したことと、それによるダイヤラーの衰退が原因です。


しかし今日では、サイバー犯罪者達は「大量散布効果」に頼ることで、開発の骨折りに見合っただけの利益を生み出すことに挑戦することを決意したかにみえます。たとえ後世の人が「彼らの悪名高いビジネスモデルは、どれだけ有効なものか疑わしい」といったとしても、一つだけ確実なことがあります。メキシコと米国の電話料金請求書は、いささか高額なものになるでしょう。


当然のことながら、当社はこのたくらみに関与している国々の当局に通知し、必要な情報を提供しました。