AutoCAD は、一般に入手できる中で最も人気のある CAD(コンピュータ支援設計)ソフトウェアアプリケーションの 1 つです。建築、工学、建設、インフラ、製造をはじめとする数多くの職業で広範に利用されています。
2003 年 12 月、AutoCAD 向けの AutoLISP スクリプト言語で書かれた最初のワームが発見されました。このワーム、ALS.Bursted.A の目的は、感染したコンピュータの AutoCAD フォルダ内に自身を複製することだけでした。このスクリプトファイルは単純なテキスト形式だったため、ほとんどのウイルス対策ベンダーはそれほど苦労せずにワームを分析し、検出することができました。
この最初のワームの発生から 6 年以上が経過した 2010 年に、Visual LISP 技術を利用して進化した新たな AutoCAD の脅威が確認されました。さらに、このワームがゆっくりと、中国を中心に広がりつつあることがわかっています。
Visual LISP は AutoLISP スクリプト言語に基づくものですが、暗号化やコンパイル保護など数多くの新しい機能を備えています。LISP スクリプトで書かれたコードはバイトコードにコンパイルされ、そのデータは暗号化されます。したがって、この脅威は複雑なバイナリの本文で構成されるようになりました。
保護のほかにも、この脅威は Visual LISP 機能から多くの恩恵を受けています。特に大きいのは ActiveX のサポートです。次に挙げる一覧は、最近の亜種で確認された機能を示しています。LISP スクリプトで書かれた脅威が、一般的な現代のマルウェアと同様の悪質な能力をすでに持っている様子がわかります。
- すべてのマウントドライブを列挙し、ドライブ上に自身のコピーを作成する。
- リモートファイルをダウンロードして実行する。
- 自身を更新する。
- バックドアを開き、遠隔地の攻撃者が感染したコンピュータにアクセスできるようにする。
- 特定のファイルを検索し、指定された FTP サーバに転送する。
この脅威の作者は、脅威の更新を盛んに行っています。新しい亜種がリリースされるたびに、新しい機能が含まれていることが確認されています。この裏にはどのような動機があるのでしょうか。推測できるのは、作者は AutoCAD で作成された機密データを盗むつもりだろうということです。すでに述べたように、このソフトウェアは数多くの職業で広範な製品を作るために利用されており、その中にはオフィスのレイアウト、建築設計、車の概念設計、デジタルプロトタイピングなども含まれています。このようなデータは、所有者にとっても、攻撃者にとっても、非常に機密性があり価値のあるものです。
LISP スクリプト言語で脅威を書くことは、作者にとって少しばかり困難かもしれません。マルウェアの作成に一般に使われる言語ではないからです。恩恵としては、感染したコンピュータ上で AutoCAD プログラムを使って作成したデータを簡単に見つけられることが挙げられます。これは、LISP スクリプトの脅威が本質的に AutoCAD プログラムで実行されるためです。LISP の脅威があるところには、必ず AutoCAD データもあります。
同僚のDennis Tan、Jerry Jing、Beannie Cai の各氏が、この脅威に対する強力なジェネリック検出を書いてくれました。シマンテックのウイルス対策製品では、すでにこの脅威は ALS.Kenilfe または ALS.Kenilfe!inf として検出されています。ウイルス定義を常に最新の状態にしてください。また、ファイアウォールや侵入防止システムも、権限のないリモートアクセスの防止に役立ちます。データ漏えい防止製品も、データを侵害から保護するために役立ちます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。