『マルウエアの教科書 増補改訂版』2023/8/18
吉川 孝志 (著)
マルウエア全般からランサムウエア、生成AI悪用まで サイバー攻撃にどう備えるべきかについて、分かりやすく総合的・具体的に解説してくれる『マルウエアの教科書 増補改訂版』で、内容は次の通りです。(なお、マルウエアとは、コンピュータ・ウイルスのことです。)
はじめに
第1章:マルウエアの概要
第2章:様々なマルウエア
第3章:暴露型ランサムウエアの脅威
第4章:マルウエアの巧妙な手口
第5章:ChatGPTなど生成AIの悪用リスク
第6章:マルウエアの検知回避術
第7章:マルウエアの難読化
第8章:実攻撃でのマルウェア
第9章:マルウエア解析の手法
第10章:マルウエア解析の始め方
おわりに
索引
折込 ランサムウエア攻撃グループの変遷とつながり
*
「第1章:マルウエアの概要」では、マルウエアに関する基礎知識を教えてもらえます。
マルウエアには次の4種類があります。
1)トロイの木馬:ひそかに潜伏し不正活動
(例:RAT、キーロガー、ダウンローダー、バックドア、ボット、ルートキット)
2)ウイルス:宿主をもち、寄生することで自身を拡散
(例:PE感染型、ブートセクター感染型、マクロ感染型)
3)ワーム:媒体を利用し、自分自身のコピーを拡散
(例:リムーバブルメディア感染型、ネットワーク感染型)
4)暗号化/脅迫/破壊系:感染したパソコンのファイルを暗号化・破壊・身代金要求、パソコン自体の破壊
(例:ランサムウエア、ワイパー、スクリーンロッカー、スケアアウエア、ワンクリックウエア)
*
「第2章:様々なマルウエア」では、マルウエアの手口などが具体的に紹介されます。
最近のマルウエアは、「通常のブログに命令を紛れ込ませる」、「企業のWebサイトの脆弱性を利用する」、「SNSに命令を隠した画像を投稿する」、「掲示板経由で遠隔操作」など、Webサービスを利用するものが多く、防ぎにくくなっていることがよく分かりました(涙)。
また金銭目的で脅迫するマルウエア(ランサムウエア)は……
「ランサムウエアに感染すると、ユーザーのファイルは暗号化され、復元と引き換えに身代金を要求される。」
……支払いには仮想通貨が要求されることが多いのですが、身代金を支払っても復元が確約されるわけではなく、何度も狙われるようになることもあるそうです。
さらに「第3章:暴露型ランサムウエアの脅威」では、「身代金を支払わない場合はデータを公開する」と脅すものまで現れ、「リークサイト」(Webサイト)に実際に公開されているものがあるそうです。
この章では、「ランサム攻撃のマニュアルを読み解く」という記事がすごく興味津々でした。
なんと「2021年8月初頭、ロシアのハッカーフォーラムで攻撃グループ「Conti」の攻撃マニュアルが流出した。」そうです! 攻撃に用いるツールの使い方のドキュメントとツール複数が流出したそうですが……助言やノウハウ関連のドキュメントもあって……彼らの手口が詳細に分かる内容のようでした。このグループは、かなりきちんとした、企業のような組織構造になっているようです。
侵入後のランサムウエア攻撃のフェーズは、「初期侵入→遠隔操作・接続性維持→権限昇格→隠蔽・無効化→資格情報の窃取・悪用→環境探索・調査→情報窃取・データ流出→横展開・ランサムウエア配布」のように進んでいくようです。
またこの章では、「暴露型ランサムウエア攻撃への対策」も、次のように説明されていました。
1)外部接続可能な経路の点検と更新プログラムの適用
2)脆弱性があった外部接続経路の認証情報の変更
3)多要素認証の導入
4)アクセス制限の導入
5)以前からのマルウエア対策
6)定期的なバックアップ
7)ネットワーク内のセグメント化
8)監視体制の整備
9)事前の準備(担当者の選定/連絡体制/対処手順/定期的訓練など)
10)脅威の正しい理解と意識の底上げ
11)関係組織全体での取り組み(海外関係会社も含め))
*
またこの増補改訂版で追加された「第5章:ChatGPTなど生成AIの悪用リスク」では、ChatGPTの有能さに戦々恐々!
なんと「ChatGPTに日本語で尋ねるだけで、ランサムウエアを数分もかからずに作れてしまった。」そうです! しかもChatGPTへの依頼方法を工夫するだけで、ChatGPTが作ってくれるランサムウエアはどんどん高度化して実用化レベルにまで至ったのだとか……。
ChatGPTの悪用というと、詐欺メールの文書作成が気になっていましたが……マルウエアを作らせることも簡単にできてしまうんですね……。
「こうした手口は、マルウエア作成だけでなくビジネスメール詐欺(BEC)や不正目的での脆弱性調査、攻撃ツールの作成など様々な悪用につながりかねない。新たな脅威の出現といえる。」と書いてありました。
その一方で「AIは防御側の対策にも有益」で、「LockBit」攻撃グループのランサムウエアの暗号化処理に関わる逆アセンブルコードをChatGPTに渡して解析を依頼したら、即座かつ正確に解析してくれたそうです。またChatGPTは、ランサムウエアの脆弱性も検出してくれるのだとか。
「(前略)生成AIには様々な脅威がある一方で、多岐にわたる領域で大きなプラスの可能性も秘めている。」と書いてありましたが……まったくその通りですね!
そして第6章以降は、さらに具体的な手法を、技術的に解説してくれます。難読化などの隠蔽工作も高度化していっているようで、マルウエアの解析は困難だということがよく分かりました(涙)。
最後の「第10章:マルウエア解析の始め方」では、マルウエア解析チュートリアル<マルウエア解析のはじめかた編>の解説もあります。ここでは、「いきなりマルウエアをさわるのではなく、自分で作成したプログラムの解析から始めること」というアドバイスが、とても参考になりました。
『マルウエアの教科書 増補改訂版』……まさにタイトル通り、マルウエアについて総合的に詳しく学べる本で、とても勉強になりました。基礎から学びたい一般の方、最新の脅威の手口や仕組みを理解したいIT担当者、さらにはこれからマルウエア解析を始めようというセキュリティーエンジニアの方まで、ぜひ多くの方に読んで欲しいと思います。お勧めです☆
* * *
なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>