「PALEVO」は、どのようなワームとして認識されていますか?

「PALEVO」ファミリのワームは、2009年第2四半期あたりからその存在は確認されていましたが、2010年2月、ボットネット「Mariposa(スペイン語で蝶の意味)」に関わったとされる人物の逮捕をきっかけとして、このボットネット形成に関連する「PALEVO」ファミリのワームも、メディアで大きく取り上げられることとなりました。当時の報道によると、このボットネットMariposaは、世界中で数百万もの企業を標的としており、その中には、「フォーチュン1000」に名を連ねる大企業も含まれていたといいます。

「WORM_PALEVO」として検出されるこのワームは、いずれの亜種も、ボットネットMariposaを形成するコンポーネントとして機能します。これら「PALEVO」ファミリのワームが行なう不正活動は、基本的には「他の不正プログラムのダウンロード」ですが、むろん「情報収集活動」も行なう亜種も存在し、感染したコンピュータからユーザのログイン情報、その他のオンライン銀行関連の情報、さらには企業や個人に関連する機密情報などを収集します。また、感染したコンピュータを踏み台にして多数のコンピュータに大量のパケットを送信するという「Distributed Denial of Service 攻撃(DDoS攻撃)」を実行する場合もあります。

また、これら「PALEVO」ファミリのワームは、「ボット用ツールキット」としてもよく利用されます。このワームの各亜種が備えているさまざまな機能がモジュール化され、アンダーグラウンド市場で「商品」として販売されるからです。たとえば、以下のような機能に、それぞれに値段が付けられて販売されています。

商品

価格 (ユーロ)

フラッド攻撃を行う機能

100

「Slowloris」攻撃を行う機能

200

USBを介した感染活動を行う機能

100

インスタントメッセンジャ「MSNメッセンジャー」を介した感染活動を行う機能

100

特定のURLにアクセスする機能

100

「Reverse Socks」プロキシサーバを実行する機能

100

POST HTTPリクエストのデータを収集する機能

200

ネットワークの接続をフックする機能

200

ユーザのコンピュータに広告を表示させる機能

100

クッキースタッフィングをする機能

200
参照:http://malwareview.com/index.php?topic=651.0

なお、「PALEVO」ファミリのワームは、メインとなる実行ファイルを隠蔽させるため、自身のファイル構造に関しても、さまざまな暗号化の手法が用いられているようです。

2010年2月にボットネットMariposaに関わった人物が逮捕されたとはいえ、以下のMalware Blogのエントリでも報告されているように、「TrendLabs(トレンドラボ)」では、2011年5月にも、この「PALEVO」関連の事例を確認しています。 「PALEVO」は、どのようにしてコンピュータに侵入しますか?

「PALEVO」ファミリのワームは、それぞれの亜種がさまざまな感染経路を介してユーザのコンピュータに侵入します。たとえば、「Kazaa」や「BearShare」、「iMesh」、「Shareaza」、「Emule」といった「ピアツーピア(P2P)」のアプリケーションを介して感染する場合もあれば、USBなどのリムーバブルドライブや、「MSNメッセンジャー」などのインスタントメッセンジャ(IM)を介して感染する場合もあります。

「PALEVO」は、どのような不正活動を行ないますか?

「PALEVO」ファミリのワームは、通常、侵入したコンピュータ内で自身のコピーを作成する際、「隠しファイル」・「システムファイル」・「読み取り専用」といったファイル属性で設定します。

「PALEVO」ファミリのワームは、リムーバブルドライブを介して感染活動を行なうのが典型的な拡散方法のようですが、ボットネットにおける「コマンド&コントロール(C&C)」サーバを操作する不正リモートユーザが感染経路を指示する場合もあります。この場合は、「MSNメッセンジャー」などのIMやP2Pのアプリケーションが利用されます。

「PALEVO」ファミリののワームは、コンピュータに侵入すると、まずは、攻撃者が操作するC&Cサーバからコマンドを送受信するため、特定のWebサイトへ接続します。どのようなコマンドによりどのような不正活動が実行されるかは、攻撃者が購入したモジュール(機能)によって異なりますが、通常は、以下のような複数の不正活動が実行されるようです。

  • 不正なファイルのダウンロード
  • IMの初期化
  • P2Pサイトやリムーバブルドライブを介しての感染活動
  • 特定のブラウザからのパスワードの収集
  • 「UDP Flood 攻撃」や「TCP Flood 攻撃」の実行
  • ポートのスキャン
  • (ボットネット上で)感染した他のコンピュータへアドウェアを送り込む
「特定のブラウザからのパスワードの収集」に関しては、特に「Internet Explorer (IE)」や「Mozilla Firefox」といったブラウザをターゲットにしています。収集されるパスワードは、主にソーシャル・ネットワーキング・サイト(SNS)やオンライン・バンキング・サイト、電子商取引(eコマース)関連サイトの個人情報に関するものです。

特に深刻な不正活動は何でしょうか?

「PALEVO」ファミのワームは、C&Cサーバに接続することで、ボットネット全体をコントールするボットマスターからの指示を受けることができます。これにより、上述のようなさまざまな不正活動が可能になり、とりわけ、感染したコンピュータから個人情報の収集が行われます。収集された情報は、サイバー犯罪者により金銭目的の不正行為に利用されるため、ユーザは、深刻な金銭的損害に見舞われる恐れがあります。

ユーザのコンピュータはどのような影響を受けますか?

「PALEVO」ファミリのワームに感染することより、ユーザのコンピュータは、より多くの脅威にされされることになります。感染したコンピュータは、セキュリテイ的にも脆弱となり、ユーザが何の許可をしなくても、あるいはユーザに全く気づかれることもなく、不正リモートユーザのコントール下に置かれ、結果的にボットネットを形成するゾンビPCとして利用されることになります。これにより、感染したコンピュータ上でさまざまな不正活動が実行され、結果的にネットワークトラフィックが増大することにもなります。

コンピュータ内に保存されているログイン情報も、サイバー犯罪者たちの手に渡ることになります。そしてログイン情報を変更しないままで放置しておくと、サイバー犯罪者たちにより不正にログインされ、実際の金銭的被害に見舞われることになります。あるいは、他のサイバー犯罪者たちの間で売買されるなど、他の不正行為にも利用されることになります。

C&Cサーバからのコマンドを介しても、さまざまな脅威がもたらされることになります。「PALEVO」ファミリのワームは、受信したコマンドの指示にしたがい、特定のWebサイトにアクセスして他の不正なファイルや、自身のコピーの更新版などのダウンロードを行ないます。こうして、感染したコンピュータ上では、ダウンロードされた他の不正プログラムによるさまざまな不正活動が実行され、自身のコピーも常に最新化されます。こういったことも、このワームによる被害が無くならない原因の1つともなっています。

また中には、自身が属するボットネットを利用し、DDoS攻撃を実行する機能を備えた亜種も存在します。この攻撃を実行することにより、たとえば、特定のサーバに対する攻撃を行なう場合など、被害をうけたユーえザは、そのサーバを介しての作業に支障ができるばかりか、そのサーバそのものへのアクセスが不能になってしまいます。

「PALEVO」が、Noteworthy(要注意)に分類される理由は何ですか?

このワームによるボットネットに関連した不正活動が一向に終息しないことが大きな理由といえます。事実、2010年初旬にボットネットMariposaの活動停止が報じられたものの、このボットネットに関連するC&Cサーバは、いまなお活動していることが確認されています。これは、「Palevo Tracker」のデータからも裏付けされています。ボットネットMariposaに関連する活動中のC&Cサーバの数は、2011年3月の時点で89が確認されており、それがわずか2ヶ月後には116にも及んでいることが分かっています。

また、さらに改良された亜種により形成された新たなボットネットおよびそれによる不正活動も確認されています。この新たなボットネットによる被害を受けた国は、現時点でも、米国、ロシア、ブラジル、中国、英国、さらにイランをも含み、実に172カ国にも及んでいるといいます。こうした状況を考慮し、ユーザの側も、この新たな脅威に対する警戒が必要です。安全にコンピュータを扱うための各種の注意事項を日頃から実践し、ご使用のコンピュータがこういったボットネットの一部にならないよう十分に注意してください。

なお、上記で述べたような不正活動の他に、「PALEVO」関連の検体のいくつかには、ファイルの構造や圧縮方法の点で大きく異なる亜種も存在するようです。こういった「通常のファイル構造と異なるバイナリ」の場合、検出がより困難となるため、セキュリティ専門家の間でも厄介な存在と見なされています。

今回の脅威による感染を防ぐためには、ユーザ側ではどのような注意が必要でしょうか?

「PALEVO」の亜種に対しては十分に注意しながら、以下の各点を実行することです。

  • Windows ファイアウォールの設定を有効にしておき、インターネット上のあらゆる接続に関する防御を確実にすること。
  • Windowsの自動実行機能を無効にしておくこと。これにより、リムーバブルドライブやネットワークドライブ内の不正な実行ファイルが不意に実行されるのを避けることができます。
  • ご使用のすべてのソフトウェアに関しては、発信元から提供された修正パッチ等をダウンロードして適応し、常に最新化しておくことです。これにより、未修正の脆弱性が悪用されるのを避けることができます。
  • 発信元が不明な疑わしいURLは、決してクリックしないこと。
  • 万が一、ご使用のコンピュータの感染が判明した場合は、直ちにそのコンピュータをネットワークから切り離すことです。これにより、他のコンピュータへの感染を避けることができます。
トレンドマイクロ製品は、どのようにしてこの脅威を防ぐことができますか?

トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、「PALEVO」ファミリのワームによる脅威からユーザを確実に守ることができます。その「ファイルレピュテーション」技術は、万が一、ユーザのコンピュータに不正なファイルが侵入しても、直ちに検知してファイルが実行されるのを未然に防ぐことができます。一方、「Webレピュテーション」技術は、「PALEVO」の亜種が組み込まれた不正なWebサイトへのアクセスを未然にブロックします。