大きなギフトは、トロイの木馬であるかもしれない

  • Pocket
  • LINEで送る

トロイア戦争においてギリシャの英雄オデュッセウスが船を解体して巨大な木馬を作り、イーリオス市に贈った。木馬の中にはギリシア軍兵士が身を潜めていた。

トロイ戦争:絵 【映画】トロイ

コンピュータの世界において「トロイの木馬」と言えば数KB程度で作られた非常に小さな潜入型ウイルスで、古くからある一般的なウイルスだ。プログラムの大半がウイルスで多くは即座に悪質なことを働くために作られており、ウイルス確認数が少ないパソコン黎明期においてはブラックリスト方式で、Windows普及時代にはヒューリスティック分析によって比較的容易に見つけることができた。

そして昨今においては、無料で提供されるユーティリティソフトやオンラインゲームソフトの中に、トロイの木馬としての機能を持ったものがPC Pitstopのマルウェアリサーチチームによって確認されてきている。

従来のトロイの木馬であれば、悪意を働くためだけに稼働するため、被害者も即座に被害に気が付くことができた。しかし、フリーソフトウェアの形態で提供される、特定の機能をもったユーティリティソフトや、無料で楽しく遊べるオンラインゲームの実態がトロイの木馬であるものが増加してきていることに気が付いている人は少ないのではないだろうか。

1990年代後半のパソコン普及機においては、フリーソフトの作者は、掲示板などを通じて利用者から応援の声などが寄せられ、利用者と一体感を持って楽しく開発してきた。またフリーソフトに脆弱性などが見つけられることも稀であった。しかし、最近は、作者の善意によって提供されているのにもかかわらず、不具合に対してクレームを行う利用者がいたり、脆弱性が発見された場合は本業が多忙でも修正をしなければ社会的な責任を問われてしまう時代になってきた。

これでは、作者がフリーソフトウェアの維持管理を負担に感じて当然だろう。そんな時に、「有名なあなたの作品のソースコードを当社が少なくない金額で買い取り、維持していきますよ」と囁かれたら作者はどう思うだろう。

利用者の知らないうちに、また元の作者も知らないうちにある国家の諜報機関や、犯罪組織へ転売され、トロイの木馬にされてしまうケースが増加している。そのフリーソフトウェアは昔から有名であるから誰も新版に対して疑うことなしに更新してしまうからだ。また、フリーソフトを紹介するサイトも喜んで最新版に改定して掲載してくれる。新たな水飲み場攻撃の方法とも言える。

厄介なことにこうしたフリーソフトは、本来の機能を持ったまま動作する。従ってトロイの木馬になっていることに気が付きにくい。従来のセキュリティソフトのヒューリスティックエンジンも判別することが難しいのだ。

利用者にはユーティリティやゲームソフトであるように思わせ、そのような機能も提供しつつ、情報を抜き取るという手法は、Androidスマートフォンが発売されてすぐに開発され、やがてWindowsにも波及するであろうと予想されていたが、やはり存在していたのだ。どうやら2015年頃より増加傾向にあるらしい。情報の送信先がある特定の国のサービスに偏っていることも興味深い。

PC Maticは、善良と事前認定したアプリケーションのみをリスト化した、グローバル・ホワイトリスト方式を採用しているため、バージョンが異なる全てのアプリケーションを多面的にクラウド上でビッグデータを用いて監査を行う。監査にパスした場合のみ世界中のパソコンで起動が許可されるようになる。

クラウド上の分析エンジンの一つに「RHDA:バージョン履歴に伴う差分分析」がある。これは、特定のアプリケーションがバージョンアップした際に、アプリケーションのどの部分が変更されたかを注視するロジックだ。このロジックは特殊なルーチンが組み込まれたことの判別に注視するように作られている。

PC Pitstopのマルウェアリサーチャーは、ある時、まったく異なるアプリケーションの差分にある共通点があることに気が付いた。これを注意深く分析していくと、特定のファイル形式のものもあるポータルサイトのクラウドストレージサービスに転送しているコードだ。このクラウドサービスは、誰でもアカウントを作成して利用ができるた。すなわら、利用者を特定しづらい種類のものだ。誰が何の目的で少しづつ利用者のファイル転送を行うルーチンをゲームソフトやユーティリティソフトに潜ませく必要があるのだろうか。

私達は、これを新しい時代のトロイの木馬ではないかという結論に達し、ブラックリストに追加している。

利用者におかれては、以下のことに注意されたい

  • ビジネスモデル(収益源)の確認
  • 善良な製作者、開発会社なのか
  • 豊富な機能をもつ高度なアプリケーションにも関わらず、いち個人が提供

不審に感じたら以下のことを行って頂きたい

  • VirusTotalなどでウイルスがないかの確認
  • fiddlerで通信内容を分析

対応策としては

  • PC Matic SuperShieldを導入し信頼されたアプリのみを起動許可する
  • 鎖国ルータなどで第三国への通信を遮断する

sourceforge、出版社のサイト、まとめサイトでも、問題のあるアプリケーションが現時点で提供されいることを当社は確認している。

昔は、作者が善意で提供するフリーソフトで溢れていてパソコンの魅力を増してくれた。しかし、いまは残念なことにそのような時代ではなくなってきてしまったようだ。皆様におかれましては、フリーソフトの扱いには十分にご注意されたい。特に動画や音楽のダウンローダ、ディスク関連ユーティリティ、ゲームのチートツールには、おかしなモジュールが組み込まれている比率が高いようだ。もちろん、過去有名であったゲームやユーティリティソフト本体に組み込まれているケースも確認されている。

  • Pocket
  • LINEで送る