This post is also available in: English (英語)
はじめに
この10年でマルウェアに新たに取り入れられたイノベーションのうち、最も重要なものの1つにあげられるのが、いわゆる「ドメイン生成アルゴリズム (Domain Generation Algorithm、DGA)」です。DGAは攻撃側の使う自動化手法の1つで、これを使われた防御側は、防御が難しくなります。DGAはこれまで10年以上使用されてきましたが、防御側にとってはいまだに対抗が困難な強力な手法です。幸い現在はDGAに対抗する技術が登場してきています。
DGAに対抗する技術
ドメイン生成アルゴリズムは、ドメイン名を特定形式で生成するよう設計されたプログラムを指します。攻撃者は、マルウェア側で迅速にドメインのリストを作成できるよう、DGAを開発しました。ここで生成されるドメインがいわゆる「コマンド&コントロール(C2)」と呼ばれるもので、これらのドメインから指示を受けたマルウェアが、指示に従って情報をC2に受け渡します。
攻撃者はDGAを使ってマルウェア攻撃に使用するドメインを次々切り替えていきます。ドメインを切り替える理由は、マルウェアが使用する悪意のあるドメインをセキュリティソフトウェアやベンダがすばやくブロックして削除するためです。攻撃者はこうした措置に対抗するためにDGAを開発したのです。
以前の攻撃者は悪意のあるドメインを静的なリストとして保持していたので、防御側がこのリストを入手してブロック・削除をすることも容易でした。攻撃側がアルゴリズムを使用してドメインのリストを作成するようになると、シンプルにドメインを静的なリストとして保持していたときよりも防御側は使用されるドメインを把握・予測しにくくなりました。マルウェアが使用するドメインのリストを取得するには防御側がアルゴリズムを復号する必要があって、それは難しかったのです。
仮にドメインが予測できても、DGAを使用したマルウェアのサイト削除はかんたんではありません。というのも、防御側はISPと協力し、これら悪意のあるドメインを1つずつ削除する手順を踏まねばならないからです。DGAは何百、何千ものドメインを使うようにされていることが多いですし、生成されるドメインもごく限られた期間のみ稼働するようになっていることがほとんどです。このような環境でDGA関連ドメインをブロック・削除する作業はいたちごっこの骨折り損になりがちです。
DGAに注意が必要な理由とDGAによる影響
DGAそのものが直接的損害をもたらすことはありません。ただしDGAは最新マルウェアがセキュリティ製品や対応策を回避する重要要素です。少なくとも2008年から定期的・継続的に使用されているという事実は、DGAの重要性と有用性をよく表しているといえます。DGAは2008年と2009年のConficker攻撃でも重要な役割を果たしましたし、攻撃成功の一つの要因にもなっています。
DGAへの対策
DGAによってマルウェア攻撃はより促進されるので、マルウェアからの防御のために取る対策がそのままDGAを利用したマルウェア攻撃からの防御にも役立ちます。
- 予期せぬ添付ファイルや送信元不明のメールの添付ファイルは開かない。
- 添付された文書のマクロを有効にするのは、送信者とIT部門に有効化しても安全であるという確認をとれた場合のみにする。
- マルウェア攻撃からの防御に役立つセキュリティソフトウェアを実行する。
このほか、とくに企業を対象として、DGAを利用する攻撃に直接対抗できる新技術も開発されています。具体的には、セキュリティベンダが攻撃者による自動化に対抗するための自動化を進めています。機械学習とビッグデータを活用した新たなDGA対策技術により独自の予測機能を自動化し、これによってDGA側の自動化に対抗しています。これにより、悪意のあるサイトを予想し、ブロックし、削除するまでを支援することができます。くわえて、そもそもそうした悪意のあるサイトが使用されることじたいを防止できるケースもあります。こうした新技術について詳しく知ることで、新たな保護対策として導入をご検討いただけるでしょう。
結論
この「脅威に関する情報」は、お忙しいお客様が現実の脅威を把握し、実生活のなかでどう防御を行っていけばよいかを理解する一助として作成されています。
本稿はパロアルトネットワークスUnit 42脅威リサーチチームによってまとめられたものです。本稿をお読みになった皆様は、ご家族やご友人、同僚の皆さんと本稿に記載した情報を共有し、安全にデジタル世界でビジネスを進めていただければと思います。
パロアルトネットワークス Unit 42 チームに執筆してほしいトピックがあれば、ぜひu42comms@paloaltonetworks.comまでメールをお寄せください。