脆弱性を利用した 新たなる脅威の 監視・分析による調査 ·...
TRANSCRIPT
脆弱性を利用した 新たなる脅威の
監視・分析による調査
2009 年 7 月
- 2 –
もくじ
もくじ 2
1. 背景・目的 3 1.1. 背景 3 1.2. 目的 3
2. マルウェアを取り巻く環境 4 2.1. マルウェア売買のビジネスモデル 4 2.2. 過去の攻撃事例 6
2.2.1. IPA セキュリティセンターを騙った「なりすましメール」 6 2.2.2. CSS からの CFP を装った「なりすましメール」 7
2.3. ツールを利用したマルウェアの生成・配布 8 2.3.1. PDF マルウェア作成ツール 8 2.3.2. Microsoft Server サービスの脆弱性を狙った攻撃ツール 8 2.3.3. 多機能マルウェア作成ツール 9 2.3.4. WEIS2008 の発表論文で紹介されたツール 10
3. マルウェアの詳細解析 11 3.1. 概要 11 3.2. 動作の全体像 11 3.3. マルウェアの動作概要 12 3.4. explorer.exe にインジェクトされたコード 13 3.5. プロセスにインジェクトされたコード 14
4. マルウェアとリモートサーバー間での通信の監視 16 4.1. 通信の監視結果 16 4.2. IPA を騙った「なりすましメール」調査における通信の監視結果 16
5. 検知・対策に関する調査および報告 18
6. まとめ 20
- 3 –
1. 背景・目的
1.1. 背景
近年、マルウェアによる被害が増加しており、その背景には組織による犯行が挙げられる。マル
ウェアを作成するプログラマや悪意のサイトを構築するエンジニアなどを金銭で雇い、犯行の分
業化が行われている。また、マルウェアによる犯行の目的も 2004 年以降、不特定多数を狙った
愉快犯的な犯行から、金銭や情報搾取といった目的へ変化し、特定の個人や企業を狙った標的
型攻撃が深刻な問題となっている。標的型攻撃は、巧みに人を騙すソーシャルエンジニアリング
を利用した攻撃や修正パッチや情報が公開されていないセキュリティ脆弱性(0-day セキュリティ
脆弱性)を利用した攻撃と併用されることが多く、従来のパターンファイルを用いたアンチウィルス
ソフトウェアでは、対応することが難しくなってきている。
また、近年のマルウェアには解析を困難にする耐解析技術や、攻撃者のサーバーと通信を行
い、マルウェアをダウンロードして実行するシーケンシャルマルウェアなどの高度な技術が用いら
れている、そのため、マルウェアに対して、十分な対策ができていない状況である。
1.2. 目的
近年のマルウェアの動向について、文献や検体の解析結果から調査を行い、マルウェアに使用
されている手法の傾向・分析結果の情報共有を行う、また、今後の標的型攻撃などの新たな脅威
に向けた対策方法を検討することを目的とする。
- 4 –
2. マルウェアを取り巻く環境
組織化による犯行の事例として、中国のマルウェア売買に関連したアンダーグラウンドビジネス
を紹介する。中国では、他の国と同様に金銭目的のサイバー犯罪が増加しており、さまざまな取
引をする犯罪者とともに地下組織が成長している。
標的型攻撃による過去の攻撃事例として、独立行政法人情報処理推進機構(以降、IPA と記
載)セキュリティセンターおよび、コンピュータセキュリティシンポジウム1(以降、CSS と記載)を騙っ
た「なりすましメール」について紹介する。近年では、ソーシャルエンジニアリングを利用した巧み
な攻撃により、メールの送信元や内容からはマルウェアの存在を特定することが難しいケースが
増えている。
また、上記の 2 つの事例では、攻撃に PDF ファイルの脆弱性が利用されている。この章の 後
に、PDF ファイルへマルウェアを容易に埋め込むことができるツールを紹介する。
2.1. マルウェア売買のビジネスモデル
WEIS22008 において中国国内の Web サイトについての調査結果および、アンダーグラウンドの
闇市場についての報告がされている。この報告では、マルウェア作成者、ウエブサイトクラッカー、
ユーザ名やパスワード窃盗者、仮想資産窃盗者、仮想資産販売者、利用者から構成される闇市
場のビジネスモデルが示されている。モデルとなっている闇市場は中国に実際に存在し、オンラ
インゲームユーザをターゲットに仮想資産(ゲームアイテムなど)の不正売買を行っている。
1 (社)情報処理学会コンピュータセキュリティ研究会が主催しているコンピュータセキュリティに関する研究会 2 Workshop on the Economics of Information Security の略。情報セキュリティを経済学の視点で考えるワークショップ
- 5 –
図 2-1 闇市場のビジネスモデル(WEIS 発表資料から引用)
マルウェア作成者が作成したマルウェアやマルウェア作成用のツールは数十元から数千元で取
引されており(2009 年 2 月時点では 1 元=約 13 円)、より高度な機能を持つツールになると数万
元で取引されているため、マルウェア開発者はマルウェア開発に投資した時間や知識に対して金
銭面で、十分な見返りを得ているといえる。また、組織内での評判を上げるため、機能が限定され
ているツールを無料で公開することもある。そのため、MS06-0143の脆弱性が公開された当時は、
中国の検索サイト「百度」などで、MS06-014 の脆弱性を利用したトロイの木馬を容易に見つける
ことが可能であった。これらのツールはプログラミングの知識がなくても、容易にマルウェアを作成
することができるようになっている。
この闇市場では、マルウェアの他に、悪意のサイトへ誘導したユーザのトラフィック、マルウェア
から搾取したユーザのアカウントやパスワードなどの情報、不正に得たアカウントからログインを行
って取得した、オンライン上の仮想資産などが、売買の対象となっている。
現在の法制度では、不正なアカウントを使用した仮想資産の盗用などを取り締まることができな
いため、闇市場は魅力的なマーケットとなっている。
3 http://www.microsoft.com/japan/technet/security/bulletin/MS06-014.mspx
- 6 –
2.2. 過去の攻撃事例
2.2.1. IPA セキュリティセンターを騙った「なりすましメール」
2008 年 4 月に、IPA セキュリティセンターを騙った「なりすましメール」の存在が確認されている。
メール本文には、当機構が注意喚起している情報セキュリティに関する調査報告の記載があり、
マルウェアが仕掛けられた悪意の PDF が添付されている。この PDF ファイルは、米 Adobe
Systems 社のソフトウェア製品 Adobe Reader(以降、Adobe Reader と記載)のセキュリティ脆弱性
(CVE-2007-5659)を利用する。本攻撃は、Adobe Reader のプロセスメモリに展開された悪意の
JavaScript コードが攻撃コードを指定してセキュリティ脆弱性の存在する関数を呼び出す。その関
数内でバッファオーバーフローが発生し、攻撃コードが実行される。次に、偽の PDF ファイルを生
成し、Adobe Reader を使用して、生成したファイルを開く。これにより、ユーザは何の問題もなく
PDF ファイルが表示されたように見える。その裏では、ファイル中に含まれるマルウェアが自動的
に実行されており、ファイルを閲覧したユーザのコンピュータにマルウェアを感染させる仕掛けと
なっている。
このマルウェアは、実行されるとインターネット上に存在するマルウェア制御サーバーと通信を
行い、サーバーからコマンドを受信し、対応する処理を行うことを可能とする。また、マルウェアに
よって悪意のコードが注入された正常プロセスにより、マルウェアの動作を監視され、マルウェア
の動作が終了した場合、自動的に再起動される。
本攻撃内で生成される偽の PDF ファイルは IPA によって 2008 年 3 月に実施された「近年の
標的型攻撃に関する調査研究」のプレスリリース用 PDF ファイル4と同一のものである。メール本
文においても情報セキュリティに対する注意喚起が記載されているため、メールの受信者が裏で
実行されているマルウェアの存在を推測することは困難であると考えられる。
4 http://www.ipa.go.jp/security/fy19/reports/sequential/seq_press.pdf
- 7 –
図 2-2 IPA セキュリティセンターを騙った「なりすましメール」
2.2.2. CSS からの CFP を装った「なりすましメール」
また、IPA の件に酷似した事例が 2008 年 6 月に CSS2008 において確認されている。この事例
は、CSS からの CFP5を装ったメールにマルウェアが仕掛けられた悪意の PDF が添付されている。
この PDF ファイルは、IPA の件と同様のセキュリティ脆弱性(CVE-2007-5659)が利用されている。
攻撃を偽装するために利用した情報は「なりすましメール」が発見される約 1 ヶ月前に公開され
ている情報であり、かつ、PDF ファイルを開くと、正常な文章が記載されたダミーファイルが表示さ
れるため、メールの受信者が裏で実行されているマルウェアの存在を推測することは困難であると
考えられる。これらの手口は、巧みなソーシャルエンジニアリング攻撃を利用した標的型攻撃であ
るといえる。また、攻撃には Adobe Reader のセキュリティ脆弱性(CVE-2007-5659)を利用した、悪
意の PDF ファイルが使用されている。
5 Call For Paper の略。論文募集のこと
- 8 –
2.3. ツールを利用したマルウェアの生成・配布
2.3.1. PDF マルウェア作成ツール
2008 年 6 月に、フィンランドのセキュリティ企業であるエフ・セキュアから PDF マルウェア作成ツ
ールが発見されている6。このツールは、ダミーとなる PDF ファイルとそのファイルに埋め込む実行
形式ファイル、攻撃対象の OS と Adobe Reader のバージョンを指定するだけで、簡単に攻撃対
象の環境に対する悪意の PDF ファイルを作成することができる。
図 2-3 PDF マルウェア作成ツール(エフ・セキュアの情報から引用)
2.3.2. Microsoft Server サービスの脆弱性を狙った攻撃ツール
米 Microsoft 社が「深刻度:緊急」でリリースを行った「MS08-067」の脆弱性を利用した攻撃ツー
ルが発見されている7。このツールは、脆弱性の存在するコンピュータを検索し、脆弱性を悪用す
ることで指定した URL からマルウェアをダウンロード・実行させることが可能である。
6 http://www.f-secure.com/weblog/archives/archive-062008.html#00001450 7 http://blog.trendmicro.co.jp/archives/2115
- 9 –
図 2-4 MS08-067 の脆弱性を狙った攻撃ツール(トレンドマイクロの情報より引用)
2.3.3. 多機能マルウェア作成ツール
2008 年 12 月にスペインのセキュリティ企業であるパンダセキュリティにより、実装したい機能を
選択するだけで、複数の機能を持ったマルウェアを作成することができるツールが発見されてい
る。8
マルウェアに組み込める機能は 50 種類以上存在し、Windows ファイアウォールや自動更新機
能の無効化、特定のソフトウェアを起動防止機能等が用意されている。ツールの利用者は、マル
ウェアに実装したい機能にチェックボックスを入れ、CreateVirus ボタンをクリックするだけでマルウ
ェアを作成することができる。
8 http://pandalabs.pandasecurity.com/archive/_2200_Constructing_2200_-bad-things_2E002E002E00_again.aspx
- 10 –
図 2-5 多機能マルウェア作成ツール(パンダセキュリティの情報から引用)
2.3.4. WEIS2008 の発表論文で紹介されたツール
また、「2.1. マルウェア売買のビジネスモデル」で紹介した WEIS2008 においても「Huigezi
Lab」と呼ばれるハッカー集団により、開発・メンテナンスされている「Huigezi Tool」というマルウェ
ア作成ツールの存在が報告されている。このツールはネットワーク経由でリモートコンピュータを
操作し、ボットネットを構築する機能、ファイルのアップロード・ダウンロード機能、キーロガー機能、
リモートコンピュータのモニタリング機能等が実装されている。
以上のことから、マルウェア作成ツールは GUI 操作による様々な機能をサポートしており、プロ
グラミングスキルがなくても簡単にマルウェアを作成することが可能だと言える。こうしたツールを
使用することで、特定の個人や企業を狙ったマルウェアが大量に作成されていると考えられ、また、
それらのツールをアンダーグラウンドで売買するビジネスモデルが定着しつつあり、利益を求めて
多くの犯罪者がサイバー犯罪に関わっている状況だと言える。
- 11 –
3. マルウェアの詳細解析
3.1. 概要
本章では、IPA 設置の「不審メール 110 番」9に 2008 年第4四半期に届けられた標的型攻撃の
詳細解析結果について記載する。
本攻撃は、前述の IPA を騙った標的型攻撃同様、電子メールに悪意の PDF ファイルが添付さ
れており、当該 PDF ファイルを脆弱性の存在するソフトウェアで閲覧することで、PDF ファイルに
含まれているマルウェアが実行されるというものである。この攻撃も、IPA および CSS のケースと同
様に Adobe Reader の脆弱性が利用されており、脆弱性の攻略・悪用によるマルウェア実行の仕
組みが共通している。その結果、実行されるマルウェアが異なっており、前述の PDF マルウェア
作成ツールにより生成された可能性が高いと考えられる。以降、マルウェアの動作について記載
する。尚、マルウェアの詳細な解析結果については別冊の【詳細解析報告編】に記載する。
3.2. 動作の全体像
マルウェアは難読化されており、実行時に自動的に復号処理が実行される。復号した後、
explorer.exe にコードをインジェクトし、このインジェクトされたコードによって、マルウェアのコピー
がシステムフォルダに作成される。また、レジストリの値を変更し、マルウェアがログオン時に自動
的に登録されるよう設定する。マルウェアによって explorer.exe にインジェクトされたコードは、2
つのスレッドを作成し、一方はキーロガーの役割、他方は後述のリモートサーバーとの通信プロセ
スが起動しているかをチェックする役割を担っている。explorer.exe にインジェクトされたコードは
更に、Internet Explorer 等のプロセスに対してコードをインジェクトする。当該コードは、1 分に 1
回、リモートサーバーに接続を試み、暗号化された接続を介してコードブロックの受信・実行を行
う。
9 http://www.ipa.go.jp/security/virus/fushin110.html
- 12 –
図 3-1 マルウェアの全体像
3.3. マルウェアの動作概要
① 難読化されたマルウェアの復号を行う。マルウェアはアドレス 0x401010 から 8729 バイト分、難
読化されている。難読化のロジックは 0x00 と 0xBE、および 0xFF と 0x15 が入れ替わっており、復
号処理では、これらの入れ替えを行う。
② リモートサーバーへのアクセス時に使用する乱数の種を作成する。この乱数発生器は線形合
同法を使用おり、乱数の種には RDTSC 命令から取得したプロセッサのクロックサイクル数を使用
する。
③ プロセス環境ブロックから kernel32.dll のイメージベースを取得した後、kernel32.dll、user32.dll、
- 13 –
ntdll.dll、advapi.dll から動作に必要とする関数のアドレスを取得し、関数テーブルを作成する。
④ IsNTAdmin API を使用し、自身が管理者権限で実行されているか確認する。
⑤ 「)!VqoqA.I4,」という名称のミューテックスオブジェクトを作成する。作成に失敗した場合は、既
に自身の他のインスタンスが実行されていると判断し、実行を終了する。
⑥ CreateToolhelp32Snapshot API で explorer.exe のプロセス ID を探索する。
⑦ explorer.exe に対してコードをインジェクトする。
3.4. explorer.exe にインジェクトされたコード
explorer.exe にインジェクトされたコードの主な動作を以下に記載する。
① 自身のコピーをシステムフォルダ内に winsys.exe という名称で作成する。管理者権限がない場
合は下記のフォルダ内に作成する。
C:¥Documents and Settings¥ユーザ名¥Application Data
② HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Active Setup¥Installed Components 下にレジ
ストリキーを作成し、自身のコピーがログオン時に実行されるように設定する。
③ キーロガースレッドを起動する。キーロガースレッドはアクティブウィンドウのタイトル名とウィンド
ウが切り替わるまでの時間、ユーザのキー入力を取得し、取得した情報を%SYSTEMPATH%¥winsys
に保存する。
④ プロセス監視スレッドを作成する。当該スレッドは、5 秒毎に⑤で作成されるプロセスが動作して
いるか確認し、動作していない場合はプロセスの再実行を行う。
⑤ HKEY_LOCAL_MACHINE¥SOFTWARE¥Classes¥HTTP¥open¥command の値(デフォルトでは
iexplorer.exe)を取得し、登録されているプロセスを起動する。このときプロセスはサスペンド状態、
かつウィンドウ非表示状態で実行される。
⑥ ⑤で実行されたプロセスにコードをインジェクトする。
- 14 –
3.5. プロセスにインジェクトされたコード
プロセスにインジェクトされたコードの主な動作を以下に記載する。
① WSAStartup API を呼び、idudesex.sexidude.com、または trapyour.yourtrap.com のいずれか
のサーバーに接続する。接続に失敗した場合は、もう一方のサーバーに接続する。
② 接続に成功すると、チャレンジ・レスポンス方式10でサーバーと認証を行う。認証に必要とな
256 バイトのランダムな値を作成する。
③ 「admin」をキーとしてカメリアブロック暗号方式11で、生成したランダムな値を暗号化する。
④ サーバーからのレスポンスを待ち、暗号化した 256 バイトのランダムな値とサーバーから送信さ
れたレスポンスの開始 64 バイトを比較し、異なっている場合は接続を切断する。
⑤ レスポンスとして返ってきた 4 バイトを読み込み、記述されているサーバーから送信されるデー
タサイズ分、メモリ領域を確保する。
⑥ サーバーからダウンロードしたデータを復号し、⑤で確保したメモリ領域に格納する。
⑦ ⑥でメモリ領域上に格納したデータを、コードとしてメモリ上で直接実行する。
⑧ ⑦から処理が戻った後、確保したメモリを開放する。その後スレッドは 1000ms スリープし、同様
の処理を繰り返し行う。
10 クライアント-サーバー間でのユーザ認証の方式。サーバーから送られてくるランダムな数字(チャレンジ)とクライアント側でチャ
レンジと特定のアルゴリズムから作成した数字(レスポンス)を用いて認証を行う。 11 128bit ブロック暗号アルゴリズム。オープンソースとして公開されており、様々な製品やサービスで使用されている。
- 15 –
図 3-2 サーバーとの通信の仕組み
- 16 –
4. マルウェアとリモートサーバー間での通信の監視
前述のマルウェアは、インターネット上に存在するリモートサーバーと通信を行い、サーバーか
ら送信されるコードブロックを受信・実行する機能を備えている。そこで、当該マルウェアとリモート
サーバー間での通信の監視を行った。
4.1. 通信の監視結果
本マルウェアは、dudesex.sexidude.com、trapyour.yourtrap.com のドメイン名に対応するサー
バーと通信を行う。これは、マルウェアを閉鎖環境で実行した際に、両ドメインに対する名前解決
のリクエストが発生すること、また詳細解析の結果からも明らかである。しかしながら、本マルウェア
は解析実施時点においてサーバーが閉鎖されており、マルウェア、およびサーバー間での通信
を監視することはできなかった。
4.2. IPA を騙った「なりすましメール」調査における通信の監視結果
別冊の【中間報告書】記載の IPA を騙った「なりすましメール」によって生成・実行されるマルウ
ェアについても継続して通信の監視を行った。監視環境を以下に示す。
図 4-1 通信の監視環境
- 17 –
別冊の【中間報告書】にも記載した通り、マルウェアは、実行直後に haiyo.sunsharp.net、また
は haiyo.livecheck.org の FQDN に対応するサーバーに対して、2 つの HTTP リクエストを送信し、
以降、2 分毎に GET リクエストを送信する仕組みになっている。
監視を開始した 2008 年 10 月 22 日時点では、上記の 2 つの FQDN に対応する DNS レコー
ドにはどちらも NXDOMAIN が割り当てられており、サーバーと通信することが不可能な状態であ
った。その後、2008 年 10 月 26 日 18:00 付近に haiyo.sunsharp.net に 218.38.136.58 の IP アド
レスがアサインされ、マルウェアとサーバー間で定期的に POST リクエストによるデータの送受信
が行われている。
図 4-2 2008 年 10 月 22 日から 2009 年 1 月 31 日までの監視結果
その後、2009 年 1 月 31 日まで継続して監視を行った結果、通信データの変化はなく、繰り返
し 2 分毎に同様の POST リクエストによる同様のデータの送受信が行われている。
これより通信データの変化こそ認められないものの FQDN に対応する IP アドレスの変更が 1
度観測されており、当該サーバーが攻撃発生後も活動していることが分かる。
- 18 –
5. 検知・対策に関する調査および報告
以下に前述のマルウェアの検知、および対策方法を記載する。
新版ソフトウェアの利用
攻撃に利用されている Adobe Reader の脆弱性は、2008 年 2 月に報告されたものであり、既にベン
ダーから脆弱性の修正されたバージョンが公開されている。そのため、ソフトウェアを常に 新版に
アップデートし、利用することで脆弱性を利用した攻撃による脅威を低減することが可能である。
新版の Adobe Reader は、以下の URL より入手することが可能。
http://get.adobe.com/jp/reader/
ハードウェア DEP の利用
Microsoft Windows XP SP2 以降では、ハードウェア DEP と呼ばれるセキュリティ機構が OS に搭載
されており、ハードウェア DEP を利用するためには、OS、およびコンピュータに搭載されているプロ
セッサの両方がこれに対応している必要がある。ハードウェア DEP が利用可能な環境では、これを
利用することで、本攻撃において利用されたメモリ破壊に起因する脆弱性によるコード実行の多くを
防止すること可能である。ハードウェア DEP の詳細については、以下の URL を参照。
http://support.microsoft.com/kb/884515/ja
システムフォルダ内の怪しいファイルの確認
本攻撃において、キーロガーの結果を保存するファイルがシステムフォルダに作成される。マルウェ
アによっては、システムフォルダに情報を格納するファイルを作成する場合があるため、定期的にシ
ステムフォルダを確認することにより、マルウェアに感染の有無を確認できることがある。今回のケー
スの場合では、システムフォルダに winsys、および winsys.exe が存在するか確認することで、感染の
有無を特定できる。
- 19 –
不要な機能の無効化
本攻撃は、Adobe Reader の JavaScript エンジンに実装されている特定の関数の脆弱性を利用して
おり、そのため、Adobe Reader において JavaScript サポートが必要ない場合は、設定からこれを無
効化することで攻撃を防止することが可能である(図 5-1)。
図 5-1 Adobe Reader における JavaScript エンジンの無効化
レジストリの確認
本マルウェアは、レジストリを変更することで、自身をログオン時に自動起動するよう設定する。その
ため、当該レジストリの有無を確認することで、感染の有無を特定することができる。
管理者権限がある場合は、HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Active Setup¥Installed
Components 配下のいずれかに"StubPath = C:¥WINDOWS¥system32¥winsys.exe"が設定される。
管理者権限がない場合は、
HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Run 配下のいずれかに作
成される。
- 20 –
6. まとめ
本調査では、中間報告、および本 終調査報告の 2 回に分けて脆弱性を利用した新たなる脅
威の監視、および分析を行った。中間報告においては、2008 年 4 月に発生した IPA を騙った
「なりすましメール」による攻撃の詳細を明らかにした。当該攻撃は、脆弱性の利用は勿論、ソー
シャルエンジニアリングを用いて巧みにユーザを罠に落とす攻撃の実態を明らかにした。また、当
該攻撃により生成・実行されるマルウェアとリモートサーバーの通信間での通信を継続して監視し
た結果、サーバーの FQDN に対応する IP アドレスの変化が確認された。これより、攻撃発生後
においても、当該サーバーが攻撃者によって制御されていることが判明した。
本 終調査報告においては、IPA 設置の窓口、2008 年第4四半期に不審メール 110 番へ届
けられたマルウェアの解析を行った。当該マルウェアは、感染に利用するソフトウェア、ソフトウェ
アの脆弱性、脆弱性の攻略手法が中間報告において解析を行ったマルウェアと一致しており、結
果的に生成・実行されるマルウェア本体のみが異なっていた。調査の結果、当該ソフトウェアの脆
弱性を悪用する悪意の PDF ファイルを自動的に生成するツールの存在が確認された。これらの
攻撃の裏側にはこうしたツール、およびツールを売買するアンダーグラウンドでのビジネスが存在
すると考えられる。また、当該マルウェアは、リモートサーバーから受信したコードブロックをメモリ
上で実行するバックドア機能が搭載されており、実質的に任意のコマンドを実行可能だと言える。
しかしながら、当該機能とは別にキーロガーとしての機能も備えているため、キー入力情報の収
集を主眼に置いていることが推察される。
また、リモートサーバーとの通信においてもチャレンジ・レスポンス方式による認証、カメリア暗
号方式を用いた送受信データの暗号化が行われており、ソフトウェア上のセキュリティ機能を備え
ている。これは、マルウェアが検出を困難にし、更に解析されることを想定した上での対策である
と考えられる。
上記より、現在マルウェアを利用した攻撃を行う環境が整備されており、またマルウェア自体も
より高機能・高品質なものに進化していると言える。そのため、こうした状況を継続して調査・監視
していく必要があると考えられる。