本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
「エムドロッパー」ってなんだ?!

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を早めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。
 今回のテーマはエムドロッパー(Mdropper)。日常業務で誰もが使う、WordやPowerPointなどの脆弱性を悪用して、企業の情報セキュリティを脅かすウイルスです。毎日、なんの疑問もなくメールに添付してやり取りしている文書ファイルにも、危険が潜んでいるかもしれません!

エムドロッパーとは

エムドロッパー(Mdropper)とは、シマンテックでの正式名称を「Trojan.Mdropper」といい、業務で使うアプリケーション、特にシェアの高いMicrosoft社のWord、Excel、PowerPoint、Accessなどの脆弱性を悪用して、侵入先のコンピュータに有害なファイルを投下するウイルス。2005年の春ごろから登場し、現在もまだ亜種の発見が相次いでいる。

エムドロッパーによる被害のプロセスは、次のとおりだ。

図1 エムドロッパーによる被害のプロセス

(1)文書ファイルが添付されたメールが届く





(2)受け取ったユーザーがこの添付ファイルを開くと、中に埋め込まれたコードが実行され、有害なプログラム(トロイの木馬)がコンピュータ内に作成され、実行される





(3)トロイの木馬の働きによって、そのコンピュータ内の情報が攻撃者に渡される、もしくは攻撃者にコンピュータをコントロールされてしまう

日常、誰もが何の疑いもなく使っているアプリケーションを、スパイウェアをコンピュータに侵入させる手段として用いるという、きわめて巧妙で悪質なウイルスだ。ユーザーは、一見したところ何の変哲もない文書ファイルを開いただけで、コンピュータ内の大切な情報が知らぬ間に盗み出されてしまうのだからたまらない。
 なお、「エムドロッパー」という名前は、最初に登場したエムドロッパーが、WordとExcelに含まれる「Microsoft Word/Excel Macro processing code for macro names length vulnerability」と呼ばれる脆弱性を悪用することから、このなかのmacroの頭文字Mを、トロイの木馬を「投下」するウイルスの総称「ドロッパー」に付けたものだという。

エムドロッパーの巧妙な手口

それでは、エムドロッパーの特徴を詳しくみていこう。

●特徴1. メール経由で届けられる

メール経由で感染するウイルスはこれまでにも多数存在したので、誰もが不審な添付ファイルには十分用心しているだろう。また企業によっては、実行ファイルが添付されたメールをゲートウェイで受け付けないように設定しているケースもある。しかしエムドロッパーの場合、それ自体は普通の文書ファイルに過ぎない。そして、差出人の名前やメールアドレス、メール本文も、業務に関連するような形に偽装されている。そこで、通常のメールと同じように受信されてしまい、ユーザーは不審に思うことなく、つい開いてしまう。それでも、表面上は何も起こらないため、攻撃されていることに気づくことはほとんどない。

●特徴2. Microsoft Officeなどのアプリケーションの脆弱性を悪用しトロイの木馬を投下

WindowsなどのOSのセキュリティホールが悪用されることと、OSのアップデートの必要性は既に広く認知されているところだ。しかし、エムドロッパーが最初に登場した2005年当時には、アプリケーションの脆弱性についてはあまり言及されず、話題に上ることがなかったため、Microsoft Officeのアップデートをしているユーザーはほとんどいなかった。
 現在、既知のエムドロッパーに関しては、ベンダが公開しているパッチを適用し、常にアプリケーションを最新の状態に保っていれば、問題が起きることはない。しかし、2006年には、エムドロッパーによるいわゆる「ゼロデイ攻撃」が急増した。この場合、まだ対応策が公表されていない脆弱性を悪用して攻撃が行われるため、最新のパッチを適用していても被害を防ぐことはできない。
 今まで数多くのエムドロッパーの亜種が発見されているが、いずれもターゲットとしている脆弱性が異なる。OSやブラウザに比べ、セキュリティの観点からこれまであまり注目されてこなかった各種アプリケーションには、未発見の脆弱性がまだ多数残されているとみられ、これからもさらなる亜種が登場すると予想される。

●特徴3. 特定の組織や人物の攻撃が目的

もう1つのエムドロッパーの大きな特徴は、不特定多数のユーザーではなく、特定の組織や人物の攻撃を目的としていることだ。攻撃者は、攻撃対象となる組織の環境を知った上で、それに合わせた添付ファイルやメールの文章を送る。
 例えば、2006年8月、エムドロッパーの亜種が、中央省庁の職員宛てに送信されたメールから発見されたという報道があった。メールに添付された文書ファイルは、ワープロソフト一太郎で作成されており、このファイルを開くとコンピュータ内の情報を盗み出すことのできるプログラムが自動的にインストールされるようになっていた。ワープロソフトの全体のシェアからいえば、一太郎はメインストリームとはいえないにも関わらず、一太郎の脆弱性を悪用した亜種が作成されたのは、一太郎を標準のワープロソフトとして指定している官公庁や一部の企業からの情報を盗み出すことを目的としているからと考えられる。

オフィスアプリケーションに潜む危険と予防策

これまで、RealPlayerやQuickTime、FlashPlayerなど、ウェブサービスと密接な関係のあるアプリケーションの脆弱性を悪用したウイルスの被害が報告されてきた。それに加えて、今回のエムドロッパーのケースのように、デスクトップで毎日使うアプリケーションの脆弱性も、今後ますます攻撃の対象となっていく可能性が高い。特に、添付ファイルとしてやり取りされることの多いPDFファイルなどは、狙われやすいといえるだろう。
 それでは、こうしたウイルスに対し、どのような対策をとればよいのか。

■対策1. アプリケーションをこまめにアップデートし、パッチを適用する

OSだけでなく、アプリケーションのアップデートも現在では欠かすことができない。企業で導入しているアプリケーションについては、ベンダから提供される情報をこまめにチェックしておくことが必要だ。

■対策2. クライアントファイアウォールの導入と適切な運用

インストールされたアプリケーションがインターネットにアクセスしようとする際に、確認メッセージを表示する

インストールされたアプリケーションがインターネットにアクセスしようとする際に、確認メッセージを表示する

クライアントファイアウォール(パーソナルファイアウォール)を適切に運用することも必要だ。クライアントファイアウォールがきちんと運用されていれば、不正な通信は検知され、ポップアップで告知される(図2)。つまり、万が一エムドロッパーの被害にあってしまっても、攻撃者が情報を盗み出そうとする通信は検知されるため、情報漏洩の被害は未然に防ぐことができる。
 アンチウイルスソフトの導入とパターンファイルの更新は、クライアントセキュリティの常識として定着しているが、クライアントファイアウォールについては、導入されていてもきちんと運用されていないケースが多い。LANと外部の通信において、どのポートを使うのかを、きちんとしたポリシー管理の上で運用することは、企業の情報セキュリティ対策の必要条件といえる。

■対策3. ゲートウェイにおけるメールのコンテンツフィルタリング

ゲートウェイで、スパムメール対策を兼ね、メールのコンテンツフィルタリングを行う方法もあるが、一見して無害に見えるエムドロッパーが添付されたメールをポリシーで管理するのは難しい。そこで、もし使っているアプリケーションに対するゼロデイ攻撃が報告された場合、パッチが公表されるまでの間のみポリシーを厳しくし、検疫運用するのも1つの方法だ。

セキュリティの運用ポリシーは、一度決めたら終わりというものではない。日々、状況にあわせて見直し、更新していくという柔軟な対応が必要だ。企業の命綱ともいうべき情報を守るためには、日々の情報収集と素早い対応が求められている。

取材協力 : 株式会社シマンテック

掲載日:2008年11月25日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2007年02月07日掲載分

検索

このページの先頭へ