サイバー攻撃のトレンドその対策最前線をシリーズで紹介
第四回『アーカイブファイルの危険性とその対策を解説』
RaaS(Ransomware as a Service)*1と呼ばれるランサムウェア攻撃ツール、分業化されたランサムウェアのサービスを提供する不正なビジネスモデルが普及し、技術的な知識がなくてもランサムウェアの攻撃が実行できるようになりました。特にアサヒビールやアスクルへのサイバー攻撃に関する連日の報道により、その結果一般のサラリーマンをはじめ、企業経営者にもランサムウェアというキーワードが広く周知されることとなりました。
そのランサムウェアの攻撃手法にはいろいろな攻撃がありますが、初動攻撃、英語では「Initial Access(初期アクセス)」や「Initial Infection(初期感染)」と呼ばれる、狙う企業や団体等の標的の防御を突破し、内部システムへの足がかりを確立する初動攻撃が攻撃のきっかけになります。 ランサムウェア攻撃の場合、この初動攻撃においてアーカイブファイルが利用されるケースが多く見受けられます。有名な.zipファイルに代表されるアーカイブファイルは、複数のファイルやフォルダーを1つのファイルにまとめたものです。.zip以外に一般的なアーカイブファイル形式には、 .rar .tar .gz .7z .lzhなどがありますが、データの整理、バックアップ、転送を容易にする目的で使用されます。
近年アーカイブファイルの利用が増えているのは、管理や移動が効率的であるという利点があるからです。具体的には、大量のファイルをまとめて1つのファイルにすることで、管理が容易になります。また、ネットワーク経由でのメールなどに添付して送信などを効率的に行える点もあげられます。さらに、容量の節約という利点もあります。多くの場合、アーカイブ化の過程で圧縮も同時に行われますので、ネットワーク帯域幅を節約できるメリットがあります。 HP Wolf Security*2の脅威調査によると、2024年第2四半期だけで、アーカイブファイルはマルウェアの全配信方法の39%を占め、攻撃者にとって最重要な選択肢となっています。
アーカイブファイルが攻撃に利用される理由は、メールや Web サーバーを通じて、単純なランサムウェア等のマルウェアのファイルを単体で送付すると、簡単に入り口で防御されてしまい、標的の企業へ侵入ができないためです。そのため、悪意のある攻撃者は、アーカイブファイル等に隠蔽してマルウェアを送りつけるのです。
それでは、具体的なアーカイブファイルの攻撃の手法を見てみます。
複数のアーカイブファイルを連結して1つのファイルに見せかける「回遊的アーカイブ連結」は、データの可用性や操作性を損なうことなく、一般的な検出ロジックや制約をすり抜けるために利用される巧妙な手法です。この方法は、ファイルサイズ上限の突破、内容の難読化、特殊な格納方式でのデータ最適化など、通常は想定されない形で悪用されることがあります。この戦略が有効なのは、アーカイブ解析ツールが連結された.zipファイルを扱う際、それぞれ挙動が異なるためです。
特に拡張子を .rar に変更すると、2つ目の.zipのみが表示され、1つ目は無視される場合がある。 このような処理の不統一性を利用し、攻撃者は特定ツールでは参照されないアーカイブ領域にマルウェアを隠し込むことで、検出を回避できてしまいます。
執筆者について
経歴 ※このプロフィールは掲載記事執筆時点での内容となります
コメント
/
/
/
コメント