先週、ウィキリークスからCIAが漏洩した情報により、ほとんどのウイルス対策プログラムがCIAによって何らかの形でバイパスされていた可能性があることが明らかになりました。ウイルス対策企業各社に、この漏洩に関する見解と今後の対応について尋ねました。
CIAの攻撃に対して脆弱なウイルス対策ツールのほとんど
ウィキリークスが漏洩した文書によると、CIAは一般的なウイルス対策ツールのほとんどを回避し、悪用していたという。この事実自体は、一見するとそれほど驚くべきことではない。なぜなら、高度な技術を持つ攻撃者が一般的なウイルス対策プログラムのほとんどを回避できることは、実によくあることだからだ。そもそも彼らは、そのようにしてマルウェアを拡散させているのだ。
本当の問題は、ウイルス対策プログラム全般が期待されるほど安全ではないという事実にあるのかもしれません。また、OSやブラウザに深く入り込むため、ユーザーを攻撃(少なくとも高度な攻撃)に対してより脆弱にしてしまうこともあります。
ウィキリークスが公開した、ウイルス対策およびセキュリティソリューションベンダー21社が、各社へのバイパスを説明した文書に記載されていましたが、ウィキリークスが攻撃に関する情報を残したのは、F-Secure、Avira、そしてAVG(最近、別のウイルス対策ベンダーであるAvastに買収された)の3社のみでした。ウィキリークスは、CIAの実際の活動に危険を及ぼす可能性のある情報を公開したくなかったため、他のベンダーのほとんどに関する情報が削除されたと考えられます。
Fセキュア
CIA は F-Secure のウイルス対策ソフトウェアについて次のようなコメントをしており、F-Secure はそれほど安全ではなく、簡単に回避できることを示唆しています。
OSBの経験上、F-Secureは概して下位層製品であり、問題はほとんど発生しません。唯一の難点は、F-Secureがトロイの木馬化されたアプリケーションや暗号化/圧縮されたペイロードを含むその他のバイナリをフラグ付けする、エントロピーベースのヒューリスティックを採用していることです。2つの脆弱性が存在することが分かっています。1つはRARファイルのリソースセクションで文字列テーブルを使用する脆弱性で、もう1つはRARファイルのマニフェストファイルを複製する脆弱性です。このマニフェスト手法はAviraのエントロピーベースのヒューリスティックにも有効です。
F-Secure の最高研究責任者 (CRO) である Mikko Hyppönen 氏に、CIA のコメントについてどう思うか尋ねたところ、次のように答えました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
まあ、リーク情報で「迷惑なトラブルメーカー」と評されているのは構わないと思っています。リーク情報には、ほぼすべてのエンドポイントセキュリティ製品における大量の回避策が詳細に記されています。これは公平な競争だと思います。CIAには狙っている標的があり、その一部はこのような製品で保護されています。CIAがこのような技術を開発していなければ、職務を全うしていないでしょう。彼らは私たちをクラッシュさせたり、搾取したりしていないので、これは脆弱性とは考えていません。ウイルス対策製品は完璧ではありません。必ず成功する攻撃もあります。莫大な予算を持つ超大国の諜報機関なら、間違いなくそうでしょう。無理やり通そうとするよりも、このようにしてやってもらう方がずっと良いと思います。
CIAがどのようにしてF-Secureにバックドアを仕掛けられるのかは不明です。なぜなら、同社はフィンランドに拠点を置いているという点で、他のアンチウイルス製品と比べて優位性があるからです。同社は米国にも2つのオフィスを構えていますが、それでも米国政府が同社のソフトウェアにバックドアを仕掛けられる範囲は限定的でしょう。
アビラ
CIA も Avira についてあまり良い印象を持っていないようで、Avira は「簡単に回避できる」と呼んでいる。
Aviraは歴史的にCTの標的として人気の高い製品ですが、通常は簡単に回避できます。F-Secureと同様に、Aviraは暗号化/圧縮されたペイロードを含むバイナリをフラグ付けするエントロピーベースのヒューリスティックを備えているようですが、2つの回避策が知られています。
AviraはTom's Hardwareへの声明の中で、この問題は軽微であり、WikiLeaksがCIAの「Vault 7」文書を公開してから数時間後に修正されたと述べました。また、CIA文書に記載された脆弱性攻撃は、Aviraの複数の異なる独立した検出モジュールのうちの1つのルールの一部にのみ影響を及ぼしたと述べています。
同社は、自社のデータベースには、前述のバイパスを利用したマルウェアサンプルは確認されていないと述べている。これは、CIAが自社のユーザーに対してこのバイパスを利用していない可能性を示唆している。しかし、WikiLeaksが一部の情報を編集しているため、CIAがAviraが検出できないような別の手法でバイパスを隠蔽していたかどうかは不明である。
ウイルス対策会社は、今後も同様の回避策を回避するため、新たな検出機能と保護層の開発を継続すると付け加えた。
AVG(アバスト)
漏洩した文書の中で、CIAはAVGがCIAのペイロードを検知できると述べているようだが、それは実行後しばらくしてからであり、もちろんその時は手遅れだ。つまり、CIAは複数のエクスプロイトを連鎖させ、ウイルス対策ソフトウェアが反応する前に無効化することができた可能性がある。
AVG は、実行後かなり経ってからディスクにドロップされ、リンク ファイル経由で起動されたペイロードをキャッチします (プロセス ハロウイング)。
トムズ・ハードウェアへの電子メール返信の中で、アバストの消費者部門のCTO兼GMであるオンドレイ・ヴルチェク氏は、システムの防御を突破してウイルス対策ソフトウェアを無効にできる複数の脆弱性を結びつけるのは非常に難しいため、この問題は重大ではないと述べた。
しかし、より高度な攻撃の中には、ユーザーのシステム上の複数の防御策を回避する必要があるため、複数のエクスプロイトを使用するものもあり、それほど珍しいことではありません。オペレーティングシステムの防御策は過去10年間で大幅に改善されているため、特に標的が技術に精通していて適切な予防措置を講じている場合は、単一のエクスプロイトでマルウェアに感染させることはそれほど容易ではありません。いずれにせよ、AVGの親会社であるAvastは、この問題はAVGアンチウイルスではもはや存在しないはずだと述べています。
コモド
別の文書では、CIAは旧バージョンのComodo 5.xアーキテクチャについて、あらゆるシステムプロセスに対する偏執的な対応によりほぼ侵入不可能であると称賛していましたが、その後、Comodo 6.xアーキテクチャはすべてのシステムプロセスをクリアするため、はるかに攻撃を受けやすいと述べ、その見解を撤回しました。CIAはこの文書の中で、攻撃者がカーネルエクスプロイトを用いてComodoファイアウォールを容易にバイパスできると述べています。
ご存知の通り、Comodo はとんでもなく厄介な存在です。文字通り、あなたが止めない限り、標準の Windows サービスさえも(えっ?!?)キャッチしてしまいます。少なくとも、Comodo 5.X ではそうでした。6.X では、Comodo は Windows の一部であるものをキャッチするのは悪いことだと判断したようです。彼らの「修正」は…ちょっとひどいものでした。SYSTEM として動作しているものはすべて、6.X でも自動的に正規のものになります。何でもです。よく考えてみてください。カーネルレベルのエクスプロイトがある?いいですね。だって、キッチンのシンクを全部、ガレージの中身を全部放り込んでも、SYSTEM として動作し続けている限り、それでいいんですから。ええ。言うまでもなく、Comodo 6.X はそれほど多くのものをキャッチしません。Comodo のユーザーベース、彼らは偏執狂的な野郎たちですが、どうやらこのことに気づいてしまったようで、多くの人が 6.X にアップグレードしていません。ちょっと残念ですね。だって、この穴は大型の車輪付き貨物車両が通れるほどの穴ですからね。でも、もし運良く6.Xのターゲットと戦えるなら、楽しんでくださいね!
他のほとんどのウイルス対策ソフトメーカーと違って、Comodo は皮肉な賛辞を受けたようだが、同社はそれを完全な賛辞として受け止めている。
Comodo社は、今年初めにComodoファイアウォールのバージョン10をリリースしており、もはやこのような攻撃に対して脆弱ではないはずだと述べています。今後の動向に注目です。
バックドアは報告されていない(まだ)
ウィキリークスが暴露した攻撃はすでに数年前のものであるため、CIAが他にどのようなウイルス対策ソフトの回避能力を持っているかは不明です。したがって、たとえ暴露された問題が修正されたとしても、ウイルス対策企業がまだ発見していない別の脆弱性が存在する可能性があります。
しかし、F-Secure の Hyppönen 氏も述べたように、CIA がほとんどのウイルス対策ツールを回避できることを示す CIA 文書の明るい点は、CIA が他の攻撃者と同様にウイルス対策ツールを破る必要があることだ。
これまでに公開された非編集文書からは、ウイルス対策企業が諜報機関と連携して顧客のセキュリティを侵害していたという証拠は見当たらない。これは、少なくともウイルス対策ベンダーが顧客の利益のために行動していることを示す(そして良い兆候でもある)兆候かもしれない。ただし、CIAのようなより高度な攻撃者を阻止するには十分ではない場合もある。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
