携帯電話ネットワークを所有するモバイルボット

McAfee Labsでは、モバイルボットネットに関する研究を行っています。セキュリティ研究者のコリン・ミュリナー(Collin Mulliner)とジャン・ピエール・ザイフェルト(Jean Pierre Seifert)は、堅牢なコンセプト証明のiPhoneボットネットを作り上げました。具体的には、携帯電話会社のネットワークでボットネットのコマンドアンドコントロールを確立する、様々な方法を検証しました。

研究は、ボットネットがラボから逃げ出すことが無いよう、拡散機能を実装せず、分散コンピューティングネットワークを維持する最善の通信方法がSMS、http、P2Pのうちのどれなのかを確認することに専念して行われました。また、一般的なPCセキュリティの研究とは異なり、EDGE、3G、Wi-Fiなどといった、ネットワーク接続が途切れる場合がある、性能の低い、CPU/RAMが限定されたデバイスに対応した、ボットネットの開発の課題について検証は実施されました。

テキストメッセージを使用してコマンドをボットに送信するSMSの手法は、他のモバイル対応のスパイウェアやボットネットで一般的に使われています。また、より高度なマルウェアは、ユーザーに感染を気づかせないよう、コマンドSMSメッセージを傍受、削除します。今回の実証研究では、他のモバイル対応のマルウェアのように、単純なテキストベースのSMSメッセージを使用する代わりに、バイナリモードのSMSを使用しました。これらは、受信箱に痕跡を残さないシステムSMSメッセージや「フラッシュ」SMSメッセージではなく、単なる約140バイトのSMSメッセージです。バイナリで送信することで、より少ないスペースでコマンドをコード化し、コマンドアンドコントロールメッセージを検出されにくくすることができます。同時に、SMSに加えて、P2Pとhttpの2つのプロトコルを組み合わせることで、ボットネットの堅牢性を高められることが判明しました。

一般的に、マルウェアの作者はセキュアな開発、ソフトウェアのテストプロセスに従っていません。今回の研究では、ファジング用のSMSハンドラーが使用されており、実際にボットネットのSMSコマンド処理コードをファジングしました。電話会社のネットワークを乗っ取る準備を整えてしまえば、不正な形式のコマンドSMSを受け取ることになるため、ボットネットが不成功に終わることはないと推測されます。

バイナリSMSメッセージが使用されているため、ボットネットのコマンドはテキスト形式のプロトコルほど簡単には解読されません。以下の表には、コマンドSMSの概要が示されています。ミュリナーとザイフェルトは、リプレイ攻撃(最後のコマンドよりも数字の大きいシーケンス番号を持つパケットだけに応答)やコマンドエミュレーションによる乗っ取り(コマンドメッセージの暗号化とデジタル署名)を防ぐため、慎重に通信プロトコルを設計しました。

シグネチャーの長さ ECDSAシグネチャ シーケンス番号 コマンドタイプ コマンド
1 <変数> 4 1 <変数>

図1 – バイナリコマンドSMSメッセージはいくつかの部分に分解されます。各コマンドSMSは、ボットネットの乗っ取りを防ぐため、デジタル署名されています。シーケンス番号により、リプレイ攻撃を防ぎます。また検出を防ぐため、すべてのパケットを任意で暗号化することもできます。

以下は、今回の実証研究で実装したコマンドの概要です。

コマンド 機能
Add phone number(s) 電話番号を転送リストに追加します。コマンドがリストに掲載されているすべてのボットに転送されます。
Set sleep interval P2Pネットワークでコマンドを検索するまでのクライアントの待ち時間を設定します。
Execute shell sequence コマンドをシェルで実行します(ls、pingなど)
Download URL ボットマスターからコマンドファイルをダウンロードします。

図2 – 人間が読める、ボットネットで使われるバイナリコマンドのリスト。コマンドを実行して、WebサイトにDDoS攻撃を仕掛けることができます。

安定した耐障害性のあるモバイルボットネットでの試験を見ると、このような脅威から身を守るにはどうすればよいか知りたいと思うことでしょう。確実にいえることは、携帯通信事業者は、SMSベースのボットネットの監視・対応を検討すべき、ということです。SMSベースのボットネットの監視・対応を施すことは、ネットワーク上の脅威に対して非常に有効な対策であり、個人レベルでは、複数の方法で攻撃者を防ぐことが可能になりなります。同時に、スマートフォンの最新の正式なOS/ファームウェアの修正プログラムをインストールすると同時に、海賊版のソフトウェア、信頼できないソースからのソフトウェアをインストールしないようにすることも重要です。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速