大学のゼミで、セキュリティインシデント年表を作ろう、ということをやったので、その時に自分がまとめた「Klezウイルス流行」について、こちらの方でも書いていこうと思う。
おそらく、間違えた情報もあると思うので、その点は指摘していただきたいです。お願いします。
STIX形式とは?
まず、STIX形式についてだが、IPAはこのように説明している。
STIX(Structured Threat Information eXpression)は、サイバー空間における脅威やサイバー攻撃の分析、サイバー攻撃を特徴付ける事象の特定、サイバー攻撃活動の管理、サイバー攻撃に関する情報を共有するために開発されました。
つまり、脅威関する手口や攻撃手法、脆弱性や対処法などを記述するための形式ということだ。
この形式の存在意義は、様々な人が様々な観点から脅威について書いてしまったら、脅威への対応を様々な人に効率的に共有できないというとこにある。
脅威を伝えるための、プロトコルと思えばよいと思う。
STIXを構成する8つの構成群
STIXは8つの情報群から構成され、これらの情報群を関連付けて脅威情報を表現する。
| 情報群 | 脅威情報 |
|---|---|
| サイバー攻撃活動(Campaigns) | サイバー攻撃活動における意図や攻撃活動の状態などを記述 |
| 攻撃者(Threat Actors) | サイバー攻撃に関与している人、組織について記述 |
| 攻撃手口(TTPs) | サイバー攻撃者の行動や手口について記述 |
| 検知指標(Indicators) | 観測事象の中から検知に有効なサイバー攻撃を特徴付ける指標について記述 |
| 観測事象(Observables) | サイバー攻撃によって観測された事象について記述 |
| インシデント(Incidents) | サイバー攻撃によって発生した事案について記述 |
| 対処措置(Courses Of Action) | 脅威に対処するために取るべき措置について記述 |
| 攻撃対象(Exploit Targets) | 攻撃の対象となりうるソフトウェアやシステムの弱点について記述 |
今回は、「Klezウイルス流行」について、この8つの視点でまとめていこうと思う。
Klezとは?
概要
OutlookやOutlook ExpressでHTMLメールを表示する際の脆弱性を利用し、メールをプレビューするだけでウイルスプログラムを実行するメールの一つである。
このウイルスは2002年5月頃に主に流行し、情報処理振興事業協会セキュリティセンターのまとめた2002年5月の届出状況によると、このKlezウイルスが届出全体の約8割を占める状況となった。
STIXでまとめる
サイバー攻撃活動
2001年10月頃に現れ、オリジナルのKlezは特に注目に値するものではなかったが、その後現れたKlezの亜種であるKlez.E、Klez.Hが非常に目立ち、破壊的であった。Klezと同じ脆弱性をつくウイルスは他にもありAliz, badtrans.b, Nimda, Shohoなどがある。
攻撃者
正確には不明。
中国の広東省で発生したといわれている。
攻撃手口
Internet Explorerが適切に処理できないMIMEタイプを、送信するHTMLメールに指定することによって、Internet Explorerが電子メールの添付ファイルを自動的に実行してしまうという脆弱性(MS01-020, CVE-2001-0154)を利用し、ウイルスプログラムをユーザーのPCにインストール、そして実行する。
本来、ユーザーが明示的に開く要求をし、開くことを確認した場合にのみ添付ファイルを開くが、この脆弱性はそれを回避することができてしまう。また、感染すると自分自身のディスク上のアドレス帳や各種ファイルに記録されているメールアドレスに対して自分自身のコピーを大量に配信する。
検知指標
メール本文に次のようなメッセージ が含まれる。
I am sorry to do so,
but it's helpless to say sorry I want a good job,
I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now?
NO more than $5,500.
What do you think of this fact?
Don't call my names, I have no hostility.
Can you help me?
メールの件名はランダムな意味のある文字列であり、送信元も偽装しランダムである。
なお、亜種については本文の内容も複数の文章を組み合わせて作成されたランダムな英文字である。
観測事象
Klezの亜種も含めて、
- 毎月6日に発病し、Cドライブ のデータ を破壊する。
- ランダム に選択したパソコン内のファイルを外部にメールで送信する。
- コンピュータ起動時にウイルスが実行されるようレジストリの変更をする。
- 実行中のウイルス対策ソフトのプロセスを停止する。
など
インシデント
情報処理振興事業協会セキュリティセンターのまとめた2002年5月の届出状況によると、Klezウイルスの届出件数が全体の約8割を占める状況となった。
このウイルスの実害率は7.5%と低く、2次感染は防いでいる傾向であったが、感染していることに気づかずに、ウイルスメールを発信し続けているユーザーが多くいることが推測され、Klezウイルスの蔓延につながった
対処措置
Internet Explorer 5.5以前のバージョンが影響を受けるため、
最新のInternet ExplorerであるInternet Explorer 6もしくはInternet Explorer 5.5 Service Pack2にバージョンアップすること。
攻撃対象
マイクロソフトセキュリティ情報MS01-020に記載されているInternet Explorerに対する脆弱性。
OSがWindowsでInternet Explorer 5.5以前のバージョンを使っているユーザーが対象。
Macintoshに感染することはない。
さいごに
自分は2002年生まれなのだが、その当流行ったウイルスって何だったんだろうということで、今回この「Klezウイルス」というものを調べてみたが、メールを開いただけで感染するという今よりもっと酷いウイルスが蔓延していたとは、とても恐ろしい。
今では、この脆弱性はもちろん修正されており、メールをプレビューしただけで感染するというウイルスはない(自分の知る限り)ようだが、こういうウイルスがまた蔓延したら、すべてをパソコンで管理するようになった現代では、相当な被害になるだろうな。。。
参考資料
- 情報処理推進機構. “W32/Klezウイルス蔓延︕届出の8割を占める︕︕”
- 情報処理推進機構. “W32/Klezウイルス届出減少︕されど油断は禁物︕︕”
- 情報処理推進機構. “トピックス編 – Klez”
- The Malware Wiki. “Klez”
- ScanNetSecurity. “見ただけで感染するウイルス被害が拡大”
- Microsoft Docs. “ウイルス情報 : Klezに関する情報”
- Microsoft Docs. “マイクロソフトセキュリティ情報 MS01-020 - 緊急”
- Mitre Corporation. “CVE-2001-0154”
- F-Secure. “Klez.E”