Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

MBR 感染型がまた流行か(図解付き)

Created: 09 Aug 2011 07:55:58 GMT • Translations available: English
Hon Lau's picture
0 0 Votes
Login to vote

マスターブートレコード(MBR)は、コンピュータが起動処理を実行する際に使う、ハードディスク上の領域(通常は先頭セクタ)です。コンピュータの電源を入れた直後、オペレーティングシステム自体より前に、コンピュータハードウェアによって読み込まれ実行されるものの一部です。ハードウェアにアクセスする順序という点で MBR より先行するものといえば、ハードウェアの ROM(BIOS)そのものしかありません。

MBR を感染させると、深部まで感染しコンピュータを制御できる可能性が大きくなるので、この手口はマルウェア作成者にとって魅力的です。最近の MBR 感染手法は非常に複雑化しており、よほど高いスキルの持ち主でない限り、おいそれとマルウェア作成者が手を出せるものではありません。Trojan.Mebroot の作成者が、失われた技術とも言うべき MBR 感染を 2007 年に再発見してからも(BootRoot について 2005 年に書かれた、eEye Digital Security 社の Soeder 氏と Permeh 氏による発表に基づく)、同じ手口で追随するマルウェア作成者があまり出現していないのも、おそらくこの難易度が理由のひとつでしょう。Mebroot は実際、見事なマルウェアでした。コンピュータの MBR に感染するだけでなく、直接ディスクアクセスを実行してハードディスクの未使用セクタに独自のコードを書き込むため、ホストオペレーティングシステムに気づかれない領域に自身を潜ませることができたのです。この種の低レベルの感染と高度なルートキットを組み合わせれば、感染したコンピュータから Mebroot を検出して除去することは難しくなります。Mebroot を撃退するには、マルウェアのフックを回避して、または感染した MBR が実行される前に、ハードウェアへのアクセスを試みるしかありません。

MBR への感染は、最初から Mebroot の主軸機能でしたが、高性能な脅威である Backdoor.Tidserv(当初はシステムドライバファイルに感染しました)に関与した別のマルウェア作成者も MBR 感染の機能を採用するようになりました。2010 年夏の MBR 感染型の流行に乗って出現した Backdoor.Tidserv.L とそれに続くバージョンでは、MBR 感染の手法が使われています。Mebroot と Tidserv を除けば、2008 年から 2010 年の間に MBR 感染の手法を利用する脅威はほとんど現れず、Trojan.MebratixTrojan.Bootlock があるくらいでした。こうして、MBR 感染は、まったく行き詰まってしまったように見えました。

現在まで話を進めましょう。最近、MBR 感染型マルウェアの様相は大きく変化しました。2011 年だけでもこれまでに、Backdoor.Tidserv.MTrojan.SmitnylTrojan.FispbootTrojan.AlworoTrojan.Cidox が確認されています。これは、過去 3 年間を通じて出現した MBR 感染型またはブート時感染型のマルウェアの総数に匹敵する数です。この統計から、コンピュータに侵入する手口としてブート時の感染(特に MBR を使うタイプ)を用いるケースが増加する傾向にあると考えられます。この種のマルウェアを作成するという難題の多くは、研究者やアーリーアダプターによってすでに試みられているという点にも注目してください。研究者が BootRoot や VBootkit について詳しく報告すると、マルウェア作成者はその研究と概念実証コードをただちに利用し、自分たちの目的のために応用しているのです。シマンテックで確認された結果から、現在出回っている MBR 感染型マルウェア群の多くは、BootRoot の概念実証を大量に流用していることがわかります。短命なランサムウェア型の脅威が出現していることからも、この点は裏づけられています。この種のマルウェアは、使い捨てコードと考えられるからです。ランサムウェアは 1 つの目的に限って作成され、長期的に使われることは想定されていないので、ランサムウェアの作成者は開発やコンピュータでの秘匿に時間と労力をあまり費やしたくないと考えます。バックドアを利用する高度なトロイの木馬の場合、作成者は長期的に有効なコンピュータネットワークを構築して儲けに利用しようと考えるので、その点では非常に対照的です。こうした状況は、MBR 感染型マルウェアに参入する障壁が低くなったという兆候です。今のところ、最近のブート時感染型マルウェアはすべて MBR を狙っていますが、若干異なるアプローチをとる Trojan.Cidox だけは例外です。Trojan.Cidox は、MBR を標的とするかわりに、IPL(Initial Program Loader)に感染し、全体としては類似の機能を果たします。これは、現在の MBR 感染手法から生まれた発展型と言えます。

マルウェアへの感染に関して重要なのは、何よりもまず感染しないことです。シマンテックは、この種のマルウェアが発見されるたびに速やかにその検出用の定義を追加してきましたし(ですから、検出ソフトウェアは最新状態に保ってください)、除去に効果的な各種のツールも提供しています。MBR 感染型の脅威の場合、マルウェアを無効にする単純な方法は、ブート可能 CD から起動してfixmbr を実行することです。これで、MBR がデフォルト設定に戻され、MBR ベースのマルウェアは実行されなくなります。さらに手の込んだ脅威の場合は、ノートンブータブルリカバリツールなどのツールを試してみてください。

歴史的な観点では、MBR への感染自体は新しい手法ではなく、古くからあるブートセクタウイルスは 10 年以上前から似たような動作を見せていました。違うのは、最近の MBR マルウェアが MBR への感染以上の処理を実行することです。

流行は繰り返されると言われるとおり、MBR マルウェアは今年 2011 年に再来したと言えそうです。MBR 感染型の脅威と、その動作を以下の図解にまとめました(提供してくれた Stephen Doherty 氏と Piotr Krysiuk 氏に感謝します)。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。