Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

MBR に関する混乱

Created: 30 Jun 2011 13:56:31 GMT • Translations available: English
John McDonald's picture
0 2 Votes
Login to vote

Microsoft 社にいる友人が最近、同社で Popureb と呼ばれているカテゴリから見つかった、ブートキットのトロイの木馬の新しい亜種に関するブログ記事を書いています。この亜種 Win32/Popureb.E は、悪質なマスターブートレコード(MBR)や他の悪質なコンポーネントの除去を妨げるドライバコンポーネントを組み込みます。

Microsoft 社のブログに書かれた以下の 1 文が意味するところをすばやく察知したテクニカルライターがいます。

「お使いのシステムが Trojan:Win32/Popureb.E に感染した場合は、Windows 回復コンソールを使って MBR を修復し、MBR を正常な状態に復元することをお勧めします」

pcmag.com で、「Microsoft's Answer to Vicious Malware? Reinstall Windows(悪質なマルウェアに関する Microsoft の回答は、やはり Windows の再インストールなのか)」と題する記事を書いた Mark Hachman 氏です。この記事で同氏は、Symantec Connect サイトのブログ記事に言及しており、これは一見するとシマンテックの社員が書いたものに見える可能性があります。Symantec Connect サイトに慣れていないとちょっと紛らわしいかもしれないので、少し整理しておこうと思います。

シマンテックのスタッフによってシマンテック公式ブログに投稿された記事にアクセスするには、いくつかの方法があります。ここではそのうちの 2 つをご紹介します。

www.symantec.com/connect/symantec-blogs/sr

この URL からは、Symantec Connect サイトの Security サブサイトを経由してセキュリティレスポンスのブログにアクセスできます。たとえば以下のようなサイトが表示されます。


 
図 1: Connect サイト上のシマンテックセキュリティレスポンスブログ

上部にある濃いグレーのナビゲーションバーには、[Security]> [Blogs]> [Security Response]と書かれています。

www.symantec.com/business/security_response/weblog/index.jsp

この URL からも基本的には同じブログにアクセスできますが、ここではセキュリティレスポンスの Web サイトを経由しています。たとえば以下のようなサイトが表示されます。


 
図 2: シマンテックセキュリティレスポンスの Web サイトを経由してアクセスしたシマンテックセキュリティレスポンスブログ

これらのページからリンクされている記事は、シマンテックの公式ブログです。記事そのものでは、タイトル(および執筆者名)と記事本文の間に必ず「Symantec | Official Blog」という文字が掲載されます。今ご覧になっているこのページも同様です。


 
図 3: シマンテック社員によるブログには必ず「Symantec Official Blog(シマンテック公式ブログ)」と表示される

ほとんどの場合、執筆者名の隣には「Symantec Employee(シマンテック社員)」と表示されるのですが、常時ではありません。もう少し一貫性が保たれるように、この点を改善できるよう努めているところです。

さて、pcmag.com に掲載された Mark Hachman 氏の記事で参照されていたのは、以下のページです。

www.symantec.com/connect/symantec-blogs/security-community-blog

これは、Connect サイトの中の「Community Blog(コミュニティブログ)」というコーナーであり、誰でも投稿が可能です。この記事の執筆時点では、以下のような画面が表示されます。


 
図 4: シマンテックセキュリティの「Community Blog」に Connect サイト経由でアクセス

濃いグレーのナビゲーションバーは、[Security Community Blog]で終わっていることがわかります。また、このページからリンクされている記事を見ると、「Symantec | Official Blog」というバナーがなく、執筆者について「Symantec Employee」とも書かれていません。

話を基に戻して、では、こうした混乱すべての根本原因は何にあるのでしょうか。マルウェアでしょうか。シマンテックも独自の解析を行いましたが、Microsoft 社が指摘しているように、これはかなり悪質なマルウェアです。Popureb.E(Microsoft 社による複製)は、過去に発見された MBR 感染型の他の脅威と非常によく似ているので、MBR 感染型の初期コードを書いた人物による既存の脅威の進化形であるか、またはそれがアンダーグラウンドコミュニティで売られていて誰かが既存のコードを使っているか、いずれかであるという疑いが濃厚です。

なぜ MBR を標的にするのでしょうか。コンピュータ上の動作はすべて、システムの起動後に特定の順序でロードされるアプリケーションによって決まります。コンピュータの電源を入れると、短時間の自己診断(POST、Power On Self Test)を実行し、いくつかの基本的なハードウェアアクセスコードをロードしたうえで、マスターブートレコードに進んで次の処理についての指示を受けます。つまり、コンピュータが最終的に何を行うかは MBR が決定するということです。私の同僚の Vikram 氏が挙げている面白い比喩によれば、「部屋に入った最初の人が電灯を消したら、次に入ってきた人には何も見えない」ということになります。MBR が感染してしまうと、攻撃者はコンピュータに最初にロードされるものを制御できるようになります。セキュリティソフトウェアが MBR をスキャンするとき電灯が消えた状態だとしたら、実際には正常でなくとも、無傷で正常と見えてしまうかもしれません。

何種類かのサンプルが世界中のさまざまな地点で活動していることが確認されていますが、この脅威はあまり拡散しておらず、実際に感染件数も比較的少数です。しかし、これが非常に高度な脅威である点には注意してください。同様の方法で動作する脅威はまだ 4 ~ 5 カテゴリしか見つかっていませんが、その中でも特に知られているのが MebrootTidserv です。この手口を活用するにはかなりの熟練が必要であり、ごく些細な失敗でもコンピュータが起動不能に陥って役に立たなくなります。

ではいったい、何が狙いなのでしょうか。これほどレベルの高い脅威のコードを書く作成者は、おそらく短期的な儲けを狙っているのではなく、長期間にわたって最大限の利益をあげられるボットネットの構築を目論んでいる可能性が高いようです。このタイプの脅威は、かなり長いあいだ検出されないことがあります。MBR が感染し、高い確率でウイルス対策ソフトウェアが無効になっても、ネットワークトラフィックを監視することで検出が可能です。侵入防止システム(IPS)の技術を用いれば疑わしいトラフィックを警告できるので、その点からもセキュリティに関する多層型のアプローチが強く推奨されます。

結局のところ、実際にはコンピュータの再インストールを必要とせずに修復が可能であることがわかりました。シマンテック製品をお使いであれば、この脅威は検出され、コンピュータの感染を防ぐことができます。すでに感染してしまっている場合には、Norton ブータブルリカバリツール(NBRT)を使ってコンピュータを起動すれば、NBRT がこの脅威を削除します。NBRT は、オペレーティングシステムに深く侵入する脅威に感染したコンピュータを修復し、コンピュータを正常な機能状態に復元できる便利なツールです。エンタープライズ版のシマンテック製品をお使いの場合には、その他のオプションもお使いになれます。
 
誤解のないように付け加えておきますが、Microsoft 社の記事(私が本日確認した時点での内容)も実際には OS の再インストールを推奨しているわけではありません。Windows 回復コンソールを使って MBR を修復しても、ブートドライブからアプリケーションとデータが完全に削除されるわけではないからです。システムの復元によってシステムが以前の状態にロールバックされることは言うまでもなく、またユーザーのデータも最新の一部は失われるかもしれませんが、それ以外はブートドライブに残されます。

このため、お使いのコンピュータがこの脅威に感染する不幸に見舞われた場合でも、けっして慌てる必要はありません。まず、自分のデータがどこか安全な場所にバックアップされていることを確認し、窮地から抜け出すための選択肢を検討しましょう。MBR の修復が必要かもしれませんし、場合によってはコンピュータを完全に再インストールし、アプリケーションを最初から再インストールしたほうがいいかもしれません。あるいは、もっと別の方法があるかもしれません。

最後に、シマンテック製品でこの脅威がどう検出されるかをお伝えしておきましょう。ここで問題になっているマルウェアには、2 つのコンポーネントが関係します。脅威がインストールされる最初の時点では Trojan.Alworoとして検出され、MBR への感染機能は Boot.Alworo として検出されます。定義ファイルを最新状態に保ち、製品や OS の更新が公開されたらすぐにインストールしてください。もちろん、データのバックアップは何より重要です。家が全焼してから火災保険に加入したのでは遅すぎるのと同じことです。

------------------

備考: このブログの調査に協力してくれた Vikram Thakur 氏に感謝します。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。