本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
「Shark」ってなんだ?!

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を高めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。今回のテーマ「SharK」はトロイの木馬の作成ツール。様々な機能を持つウイルスをプログラミングの知識なしに作成できてしまうツールの存在は、セキュリティ環境に対する大きな脅威になりかねません!

1. SharK(シャーク)とは?

1-1. GUIのトロイの木馬作成ツール

図1 SharKの設定画面

資料提供:セキュアブレイン

ウイルスなどのマルウェアの作成を補助するソフトウェアは従来から存在し、最近ではボットなどもなにがしかの作成ツールで作成された痕跡が発見されている。SharK(シャーク)は、こうしたウイルス作成ツールのなかでもバージョンアップを重ねてきた老舗ともいえる、トロイの木馬作成ツールである。図1に示すようなGUIのインターフェースで、目的の機能、使用するURLやアドレスなどを入力していくだけで、設定どおりのトロイの木馬を作成することができ、あとはWinnyなどのファイル交換ソフトやウェブを利用して、作成したトロイの木馬を配布することで、不正アクセスなどの目的を達成することができるのだ。

1-2. SharKの配布方法

SharKは、現在も頻繁にバージョンアップがなされており、ソースコードも公開されているという意味ではオープンソースソフトウェアに似ている。しかし、そのソースコードを公式に配布するサイトなどはないと考えられており、流出したコードがウェブ上の掲示板などで販売されている状況だ。開発者がどこの国籍に属するのかなども不明であり、場合によっては多国籍、複数の開発者がウェブでコミュニケーションしながら作成する「裏のオープンソース・プロジェクト」である可能性もあるだろう。

1-3. SharKの動作

結論から言ってしまうと、SharKでは現在作成されているトロイの木馬が備える機能を、ほとんどすべて実装させることができる。SharKで作成したトロイの木馬は、実行してしまったコンピュータを「サーバ」として認識し、作成者が設定した特定のアドレスの特定ポートへと接続させる。この接続を通じて、感染したコンピュータはウイルス作成者の支配下に入ることになる。次に作成されるトロイの木馬に実装できる主な機能を挙げる。

キーロガー機能

SharKで作成されたトロイの木馬は、キーロガー機能を備えており、感染直後から感染PCのキーボード入力をすべて記録し、作成者へと送信させることができる。これによりクレジットカード番号などの各種個人情報はもとより、機密情報などを漏洩させるなど、様々な悪質な被害を及ぼすことができる。

アンチウイルスの無効化

多くのウイルスと同様に、一旦感染したPCのアンチウイルスソフトを無効化し、被害をさらに拡大させる機能を備えている。アンチウイルスのみならず、攻撃者が任意に設定したプロセスの起動を監視し、それに対してプロセスの停止などの対応をウェブ経由で、要求する機能もある。つまり、感染PCでの特定プロセスの実行を監視するのみならず、無効化することもできる。

ウェブダウンローダ機能

一旦感染してしまうと前述の通りアンチウイルスは無効化されてしまう。この無防備な状態で、攻撃者はリモートで任意のファイルをインターネットからダウンロードさせ、さらに実行させることができる。この機能により、実質的に感染PCはあらゆる不正アクセスなどの踏み台として機能してしまう可能性がある。

フィッシングサイトへのリダイレクト

攻撃者の設定したURLへと、正規のURLへのアクセスをリダイレクトし、感染PCのユーザが気づかないままに、フィッシングサイトなどの悪質サイトへと誘導させることができる。

SharKで作成されるトロイの木馬自体は、ワームのような連鎖感染の仕組みは備えていないが、上に挙げた機能を組み合わせることで、ファイルをアップロードするプロセスをダウンロード・実行させ、自己複製を無限に行うなどあらゆる感染拡大の工作が可能であることがお分かりいただけると思う。これらの機能はトロイの木馬として特別なものではないが、問題はこれほど多機能なウイルスを、簡単に自作できるツールが出回っているという点であろう。

2. SharKに有効な対策は?

一旦感染してしまうと、致命的な損害を受けかねないSharK製トロイの木馬だが、これに対抗するのに有効なものとしては、どのような手段があるのだろうか。

アンチウイルスソフトの徹底とウイルス定義ファイルの更新

SharK製ウイルスも原則的に、ウイルス定義ファイルによるマッチングでブロックすることが可能である。ただし、ツールのバージョンアップも頻繁に行われているだけに、新しいウイルスに対してアンチウイルスソフトウェアが対応できるよう、パターンファイルの更新を怠らないことが重要である。新種のウイルスが流行しだした直後には最新のウイルス定義ファイルでも検出できない可能性もあるが、セキュリティベンダ側もSharKのソースコードを入手・解析しているので、SharKによって作成されるウイルスの特徴・共通点を使って新種ウイルスの検出精度を向上させているようだ。

怪しいファイルを実行・アクセスしない

現時点では、SharKはメールによる連鎖的な感染を行わないので、感染の危険はファイルのダウンロードおよび実行に限定することができる。これらのマルウェアは、大抵、フォルダや動画ファイル、コーデックなどに偽装して実行を誘うようになっている。「君子危うきに近寄らず」を徹底することで、感染のリスクを抑えることが可能だろう。

バックアップを取る

あらゆる対策を講じても、ウイルスに感染するリスクをゼロにすることは困難である。一旦感染してしまったPCは、駆除することができるケースもなくはないが、原則的にドライブのフォーマットとOSの再インストールが必要になると考えたほうがよい。したがって、セキュリティ対策における、最後の、そして最強の砦としてバックアップがきわめて重要なのは言うまでもないだろう。

3. 誰もがウイルスを作成できるという脅威

トロイの木馬自体は、その危険性こそ高いものの、従来から存在したもので、特筆すべきセキュリティ上の脅威とまではいえない。しかし、SharKのような作成ツールの登場により、だれでも簡単に作れるようになることは、やはりセキュリティを脅かす大問題だといえるだろう。キーロガー機能だけでも、個人情報や機密情報はもちろん、クレジットカード情報までを盗み出すことができることを考えると、こうしたウイルスを作成しようと考えるものは少なからず存在するはずだ。これまで高度なプログラミングの知識が必要だと考えられてきたトロイの木馬などのマルウェアをだれでも作れるようになってくると、愉快犯の多かったウイルス作者から、より凶悪な金銭目的の組織や個人へと、ウイルス制作の現場が移ってくることも考えられる。

ウイルスを作成しても犯罪にはならない!?
 不正アクセス禁止法や偽計業務妨害など、IT関連の犯罪を取り締まる法律は複数あるが、未だに難しいのがウイルスの作成自体を検挙することである。つい先月、国内初のウイルス作成者の逮捕事例となった原田ウイルスでも、逮捕容疑は、著作権法違反で、ウイルス作成自体を咎められたわけではない。悪用可能なソフトウェアの作成と言う意味では、P2Pソフト「Winny」作者の逮捕理由が著作権侵害行為の幇助であったのも、ほぼ同様の状況だといえる。
 ソフトウェアの作成を、刃物や銃などの作成になぞらえて考えると、ウイルスの作成自体を犯罪と呼ぶことの難しさはわかりやすい。ウイルスは危険なばかりで有用でないソフトウェアだが、どのようなソフトウェアをそれに該当すると認定するのか、セキュリティベンダがウイルスをローカルで作成・動作検証するなどの研究目的についてはどうか、などウイルス作成自体を罪に問うためには、多くの難しい問題が存在している。
 ただし、政府はすでに「犯罪の国際化及び組織化並びに情報処理の高度化に対処するための刑法等の一部を改正する法律案」を閣議決定しており、ウイルス作成を罰する法律の立法化に向けて審議を続けており、近い将来には法的な整備も整うはずだ。ウイルス作成ツールが手に入り、だれでもウイルスを作成できる世界になりつつある現在、それに対抗するためには法規制もやむなしと言わざるを得ないだろう。

取材協力 :株式会社セキュアブレイン

掲載日:2009年3月 4日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2008年2月20日掲載分

検索

このページの先頭へ