MITF について
MITF (Malware Investigation Task Force) は、2007年5月に開始したマルウェア対策のための活動です。IIJ 網内に一般利用者と同様に見えるハニーポットを設置し、インターネット側からの攻撃やマルウェアの活動状況を観測します。そして、攻撃の記録や検体の捕獲、検体解析をすることで得られた情報を元に対策を行います。
MITFハニーポット
ハニーポットとは、攻撃者の動向を把握するために用いられるシステムの一種です。MITF では、マルウェアの活動を観測し検体を捕獲するために使用しています。マルウェアとは、コンピュータウイルス、ワーム、ボット、スケアウェア、 クライムウェア等、悪意のあるプログラムの総称です。
MITF では、Windows のファイル共有機能 (SMB)、RPC 等の動作を模倣するハニーポットを用いて、脆弱性を悪用して攻撃しようとするマルウェアの活動を監視しています。ハニーポットから能動的に通信を行うことはなく単にインターネットに接続しただけの状態であるため、それと通信しようとする試みは攻撃、あるいは攻撃の前兆である探査行為等の可能性が高いと考えられます。
つまり、ユーザから意図せずハニーポットへの通信が試みられた場合、使用している機材へのマルウェア感染が疑われます。このような通信を検出したときには、感染が疑われるユーザへ連絡することがあります。
Web クローラ
Web クローラは、ブラウザやそのプラグインの脆弱性を悪用して感染するマルウェアの観測システムです。
この種のマルウェアは、近年話題になった Gumblar や ru:8080 等に見られるように、Exploitkit 等を用いて構築された悪性 Web サイトを閲覧することで感染します。
このような Web サイトには、マルウェアによって盗み出されたアカウント情報を悪用する、SQL インジェクション攻撃等で不正に内容を書き換える等の方法で、元々は無害であった Web サイトが改ざんされたものも多く見受けられます。
Web クローラは、IIJ 網内のユーザが持つ Web ページに、悪性 Web サイトそのものや、悪性 Web サイトへ転送するようなものがないかを監視することを目的としています。そのような Web ページを発見した場合は、ユーザへの通知やサイトの一時停止等を行うことがあります。
動的解析と静的解析
これらの方法で収集した検体が、それぞれどのような特性があるかを調べるために、MITF では動的解析と静的解析を用いています。
動的解析とは、解析用の環境で取得した検体を実行し、それを観察することでマルウェアの種類や動作を把握する手法です。この動的解析環境はインターネットからは隔離して構築してあり、安全にマルウェアの検査を実施できます。
静的解析とは、取得したマルウェアそのものを動作させずに、ウイルス対策ソフトウェアや実行ファイル解析用の逆アセンブルツールやデバッガ等を利用して構造を調べ、その挙動を解析する手法です。
動的解析環境では動作しなかった検体や、詳細に調査したいマルウェアに対しては、解析ツールを駆使して手作業で調査します。
これらの解析により、マルウェアが感染した機器上で行うファイル生成や削除、レジストリ操作の内容や、マルウェア配布を行うサーバやボットを制御する C&C サーバを特定することができます。そして、この情報を元に注意喚起を行い、サービス運用に反映しています。
外部ブラックリスト
インターネット上には、攻撃を行ってきた IP アドレス、SPAM メールを送信しようとした IP アドレス、マルウェアに感染していると思われる Web サイト等、ユーザに害を及ぼした IP アドレスをリスト化して公開しているサイトがあります。
このようなリストに登録されているホストは、攻撃を行っている加害者である可能性と同時に、マルウェアへの感染、侵入による乗っ取りの被害者である可能性も考えられます。
IIJ ではこれらのリストを定期的に監視しており、IIJ 網内の IP アドレスが登録されていた場合は必要に応じて連絡を行い、対処を求めています。