| JSSEC技術部会 スマートフォン・サイバー攻撃対策ガイド 第5回 マルウェア・bot対策 |
| JSSEC技術部会マルウェア対策WG |
| 本間 輝彰(KDDI株式会社) |
攻撃の概要
bot(ボット)とは、コンピュータウイルスの1つでコンピュータに感染し、そのコンピュータを外部から操作することを目的に作成されたマルウェアです。botに感染したコンピュータは外部からコントロールされることから、ロボット(Robot)をもじってbotと呼ばれています。
botは2000年代初頭に出現し、PCが主な攻撃対象になっていたが、最近ではルーターなどのIoT機器も攻撃対象として増えており、さらには、Androidでも2010年12月に最初のbotの報告が上がっています。なお、iPhoneについてが、App Store以外からアプリの入手が出来ないことから、botに感染する可能性は限りなく低くなっています。したがって、本解説では、Androidのマルウェア・botを中心に説明を行っています。
botの活動の多くは利用者本人に対してではなく、外部に対して行うことが多く、利用者はbot感染に気付かないことが多いという課題があります。一方、botに感染したスマートフォンでは活動時に携帯ネットワークで通信をすることもあり、気づかない内に、月のネットワークの利用制限に達することがあります。さらには、SMSを大量に送信した場合、その通信料が請求されることもあり、さらにその送信先が海外であった場合、国際SMSとなり高額な請求をされる可能性もあります。
技術解説
攻撃者は、botに感染したデバイスをC&C(コマンド&コントロール)サーバ経由で命令を行うのが一般的な方法となります。また、C&Cサーバとbotに感染したデバイスをボットネットと呼ばれています。
botに感染したコンピュータは攻撃者の指示にしたがい、下記図に示すような攻撃を行います。
・ターゲットとなったサーバなどにDDoS攻撃を行うことで、サイバー攻撃に加担させられる。
・端末内のアドレス情報や外部からの受け取った情報に対して、フィッシング詐欺など不正なメールや
SMSを送信の配布手段に利用されます。
また、ウイルスを拡散させるために、ウイルス感染したファイルを送信することもあります。
・仮想通貨のマイニング処理に利用されます。
・クリックされる数によって支払いするサービスの広告を何度もクリックさせ、不正に報酬を手にいれる
手段に加担させられます。
・検索結果や画面に不正に広告を表示させ利用者自身に広告をクリックさせ不正に報酬を手に入れる手段
に加担させられます。
図1. ボットネットと攻撃事例
また、Android(スマートフォン)におけるbotの主な感染経路は以下の通りになります。
・OSメーカーやキャリア提供以外の非公式なアプリマーケットなどの野良アプリから感染する
・メールに添付されたアプリ(apkファイル)から感染する
・フィッシングなどの不正なメールやSMSのリンクのフィッシングサイトなどでダウンロードしたアプ
リから感染する
・不法なサイトからの偽警告などにより、その指示にしたがいマルウェアをインストールし感染する
さらに、Android OSのマルウェアの特徴は、マルウェアアプリの初回設定(初回起動時)に各種パーミッション(利用権限)を取得してくること多く見受けられます。その理由は、Android OSはバージョンアップに伴いセキュリティ機能を強化しており、アドレス帳など重要情報へのアクセスやSMSの送信機能などは、利用者許諾が必要となっており、マルウェアであっても、この許諾を得ないことにはその機能を使えないため、利用者を巧みにだまして、その権限の許諾を得ようとします。
ここでは、Chromeを騙った例を下記図と合わせて説明します。
①はじめにChromeのアップデートを騙った通知を表示します
②マルウェアのダウンロードを実施します
③Chromeを騙っているが、実際は提供元不明なアプリなため、インストールさせるため設定変更を促
します
④提供元不明アプリの設定画面を表示します(デフォルトではOffになっています)
⑤提供元不明アプリをOnに変更させます
⑥Onに変更したことでインストール可能になり、インストールを実施させます
⑦インストールが完了します
⑧アプリを起動すると、アドレス帳にアクセス、不正なSMSを送信するために、各種権限を有効にさせ
ます
以上操作により、本マルウェアはアドレス帳に自由にアクセス可能となり、アドレス情報の搾取が可能となります。さらには、SMSの送信も可能となり、スミッシングのような不正SMSの送信も可能となります。
図2. マルウェアインストールから権限取得
また、アプリ情報で確認するとChromeというアプリが、正規なChromeアプリとChromeを詐称したマルウェアの2つが存在しているのがわかります。ただし、スマホ画面にはマルウェアのChromeのアイコンは存在せず、利用者には気づかれないような対応をしているのも特徴となっています。
図3. 正規アプリと詐称された正規アプリ
対策
botに限らずマルウェアの対策は、どうやってマルウェアをインストールさせないかにつきます。Android OSはオープンな仕様である為に、デフォルトでは提供元不明なアプリのインストールを許可していませんが、利用者が設定変更することで、提供元不明なアプリのインストールが可能になり、結果としてマルウェアの感染経路を作ってしまいます。したがって、提供元不明なアプリのインストールを許容しないことが最大の対策となります。
なお、Android OSのバージョンによって、提供元不明なアプリの許可方法が異なっています。バージョン4.0~7.1まではセキュリティ設定から提供元不明なアプリのインストールの許可設定を行うようになっていますが、バージョン8以降はアプリインストール時(APKファイルを開く際)に個別に設定するようになっていますので、自分が使っているOSのバージョンが何かを理解し、どのように表示されるかを理解しておくことが重要になります。
図4. Android OSのバージョンごとの提供元不明アプリの許可方法
前述の通り、最大の対策はマルウェアをインストールしないこととなりますが、攻撃者はいろいろな手段を使い利用者を騙し、なんとかマルウェアをインストールさせようとしてきます。したがって、それぞれの攻撃手段に対して、騙されないようにする必要があり、以下にいくつかの対策の説明をします。
OSメーカーやキャリア提供以外の非公式なアプリマーケットなどの野良アプリインストールは、(アプリマーケット提供元の管理問題もありますが)あくまでも利用者の自己責任であり、これと言った感染対策は残念ながらありません。強いて言えば、アプリインストール時にはそのアプリの提供元や評判を確認の上、インストールすること位が出来る確認になります。ただし、評判については、偽装した評判が書き込まれている場合があるので、高評価を確認するのではなく、低評価なものを確認することが重要となります。
不正なメールやSMSのリンクからフィッシングサイトに誘導してマルウェアを感染させる対策については、JSSEC技術部会 スマートフォン・サイバー攻撃対策ガイド 第1回 SMS認証の悪用、スミッシング(SMS+フィッシング)で解説していますので、こちらを参照するようにしてください。
メールに添付されたアプリからの感染については、一般的な利用においてはメールでアプリを提供するということが考えられないため、絶対に開かないことが最大の対策となります。なお、メールの送信元を友人・知人を偽って送信してくるケースもありますので、送信者が誰であっても疑ってかかり、開かないことが重要となります。
最近多く見受けられるケースとして、HP閲覧中にセキュリティ警告を表示させ、その警告のリンク先から対策アプリなどと偽ってマルウェアをインストールさせるケースがあります。
Chromeブラウザやセキュリティ対策ソフトなどの機能で、危険なサイトにアクセスすると警告画面を表示させるセーフブラウジングの機能がありますが、これら機能を模倣し、偽の警告を表示しあたかもウイルス感染したと思わすことで利用者を不安にさせ、結果としてマルウェアをインストールさせる方法となります。
セキュリティ警告が表示された場合は、慌てずに行動することが重要となります。セーフブラウジング機能による正規な警告の場合は、リンク先に誘導して対策ソフトをインストールさせることはありません。したがって、アプリのインストールを要求してきた時点で、マルウェアをインストールが目的と理解し、以後のアクションをしないことが重要となります。
なお、偽の警告はウイルスに感染しましたなどのセキュリティの警告に加え、アプリのバージョンアップを促す、ハードウェアの改善を促すものなど多種多様な攻撃が存在しています。ただし、これらの攻撃の最終ゴールはアプリをインストールさせる(場合によっては個人情報を搾取してくる場合もあります)ことなので、どのようなケースでもアプリをインストールしないことが重要となります。
攻撃者はマルウェアをインストールさせるために、創意工夫を行いなんとかインストールさせようと試みます。また、これら攻撃の多くは技術的な脆弱性をつくのではなく、利用者の心理面をついてくるのが大半となります。したがって、これら攻撃を防ぐには、攻撃手段を理解し、少しでも不審に思ったら問題ないか十分な確認を行う、さらには、周りの人に相談や確認を行うなどを行うなど、常日頃から心がけることが対策の第一歩となります。