本日トレンドマイクロさんが主催するセミナーを受講させていただいた。タイトルは「相次ぐ標的型サイバー攻撃!!今の対策に自信はありますか?」。10月末から12月初旬にかけて、札幌、仙台などの各都市で開催していたらしく、さすがセキュリティ専業ベンダーだけあって動きが早い!この日は、3回ある東京開催の最終日だったが、100名近い受講者を集めており、やはり標的型攻撃対策への関心の高さをうかがわせた。

TrendMicro
 

実際のセミナーの内容の多くは、私がこれまでにこのBlogに書いてきたことであり、標的型攻撃に対する防御の難しさを再確認することができた。トレンドマイクロさんの訴えを、誤解を恐れず乱暴に要約すると下記のようなものだろうか。

「標的型攻撃は、『これで大丈夫!」と言うような決定打はなく、いくつもの対策を多重で行う必要がある。セキュリティ総合ベンダーであるトレンドマイクロは、入口対策も出口対策でも、有効な製品を提供している。」
教科書的に言われている対策としては全くその通りであるが、「対策を継続的に運用することに、結構な手間とスキルが必要である」ことは、やはり予想した通りだった。特に出口対策においては、不審な通信を早期に「発見する」ための製品は提供していても、「発見した後にどのように行動するか?」に関しては、「別途サービスでどうぞ」となるらしい。
繰り返しになってしまうが、私が以前から提唱しているXenAppを使った出口対策であれば、手間とスキルを必要とせずに継続的な対策が可能となることを強調したい。

さて、実はここからが今日の本題。
セミナーでは、私の全く知らなかった興味深いトピックをひとつ教えてもらった。それが今日のエントリのタイトルの「DLLインジェクション」だ。これはマルウェア(悪意のあるプログラムのこと。一般的にはウィルスとも言われる)による攻撃の手法のひとつで、Internet Exolorerなどの既存のプログラムにDLL(Dynamic Link Library)を注入(Injection)することによって、その既存プログラムになりすましてマルウェアが悪事を働くと言うもの。

このDLLインジェクションがなぜ重要かと言うと、パーソナルファイアウォールによる出口対策を無力化してしまうためだ。通常のファイアウォールが基本的にポート番号などの通信の内容によって通信の許可/拒否を決めることに対し、パーソナルファイアウォールの場合は、通信を行うプロセスによって通信の許可/拒否を設定できる。DLLインジェクションを使わない素直なマルウェアであれば、そのマルウェア自身のプロセスが通信を行うために、うまく設定されたパーソナルファイアウォールであれば通信を拒否できる。

ところが、このDLLインジェクションの手法を用いると、Internet Explorer(iexplore.exe)のような通信を許可しなければならないプロセスを、マルウェアが背後から操るように通信を行うため、残念ながらパーソナルファイアウォールによる防御は役に立たないことになる。
下記はそのイメージ図。

DLLInjection



改めて言うまでもないが、この標的型攻撃は実にやっかいな代物である。そして、より一層やっかいになるべく進化する余地さえもありそうだ。
DLLインジェクションに関しては、下記のサイトに詳細が記述されている。