海の向こうの“セキュリティ”

第74回:Symantec、「実世界」の観測結果によるゼロデイ脆弱性の研究論文


 10月のセキュリティの話題と言えば、日本では何と言っても「遠隔操作ウイルス」でしょう。技術的に目新しいところはないものの、「なりすまし」を見抜けなかった(見過ごした)警察による誤認逮捕や真犯人からのメディアを通じた犯行声明など、日本社会に与えたインパクトは大きく、一般のメディアも大きく取り上げました。

関連記事
 ・「無差別殺人」書き込みはウイルスによるなりすまし、起訴された男性が釈放
  http://internet.watch.impress.co.jp/docs/news/20121009_564860.html
 ・リモート犯行予告マルウェア「SYSIE.A」を確認、トレンドマイクロが解析
  http://internet.watch.impress.co.jp/docs/news/20121011_565369.html
 ・警察庁、「遠隔操作ウイルスの被害に遭わないために」と注意喚起
  http://internet.watch.impress.co.jp/docs/news/20121012_565688.html
 ・“遠隔操作ウイルス”作者の犯行声明か、TBSに「私が真犯人です」とのメール
  http://internet.watch.impress.co.jp/docs/news/20121015_566152.html
 ・遠隔操作ウイルス、13件の犯行予告・脅迫の事実確認、犯行声明メールと一致
  http://internet.watch.impress.co.jp/docs/news/20121018_566876.html
 ・“遠隔操作ウイルス”事件、専門家らは実行ファイルの扱いでギャップ痛感?
  http://internet.watch.impress.co.jp/docs/news/20121018_566933.html
 ・遠隔操作ウイルス、犯人素人説も~ラックの西本氏が主催して私的勉強会
  http://internet.watch.impress.co.jp/docs/news/20121029_569333.html

 また、GhostShellを名乗るグループによる国内外の100大学のウェブ改ざん事件もありました。日本国内では、東大、京大、東北大、名古屋大、大阪市立大が被害を受けています。

URL
 毎日新聞(2012年10月4日付記事)
 国際ハッカー:東大など5大学被害 情報流出の恐れ
 http://mainichi.jp/select/news/20121004k0000e040154000c.html

 一方、海外に目を向けると、ホワイトハウスのネットワークにサイバー攻撃があったといった報道や、米下院情報特別委員会が中国通信大手のHuaweiとZTEの排除を求める報告書を発表したとの報道がありました。後者に関連して韓国では、中国製に限らず、重要なネットワーク基盤を海外製品に依存している現状に対する安全保障上のリスクについての議論が起こっているようです。ちなみにHuaweiに関しては、自社製品のソースコードなどへの「無制限アクセス」をオーストラリア政府に提供することにしたとの報道もありました。

URL
 ITmediaエンタープライズ(2012年10月2日付記事)
 ホワイトハウスにサイバー攻撃か 米メディアが相次ぎ報道
 http://www.itmedia.co.jp/enterprise/articles/1210/02/news027.html
 ITmedia(2012年10月9日付記事)
 米下院、中国通信大手のHuaweiとZTEの排除を求める報告書を発表 Huaweiは反論
 http://www.itmedia.co.jp/news/articles/1210/09/news024.html
 etnews(2012年10月24日付記事、韓国語)
 [記者手帳]通信セキュリティの鍵は私たちの内部にある
 http://www.etnews.com/news/opinion/2665261_1545.html
 アイニュース24(2012年10月23日付記事、韓国語)
 外国製ネットワーク装備セキュリティ威嚇論議全方向拡散
 国政監査で相次いで問題提起、KANIおよび業界“核心公共網国産化切実”
 http://news.inews24.com/php/news_view.php?g_serial=698777&g_menu=020200
 CNET News(2012年10月24日付記事)
 Huawei offers Australia 'unrestricted' access to hardware, source code
 http://news.cnet.com/8301-13578_3-57538843-38/huawei-offers-australia-unrestricted-access-to-hardware-source-code/
 BBC News(2012年10月24日付記事)
 Huawei offers access to source code and equipment
 http://www.bbc.co.uk/news/business-20053511

 また、メルボルンで行なわれた「Breakpoint 2012 Security Conference」で、ペースメーカーに致命的ショックを送ったり、ファームウェアを書き変えたりすることができることが実演とともに示されたとの報道もありました。

URL
 SC Magazine Australia(2012年10月17日付記事)
 Hacked terminals capable of causing pacemaker deaths
 http://www.scmagazine.com.au/News/319508,hacked-terminals-capable-of-causing-pacemaker-mass-murder.aspx
 TechCrunch(2012年10月17日付記事)
 Hacked Pacemakers Could Send Deadly Shocks
 http://techcrunch.com/2012/10/17/hacked-pacemakers-could-send-deadly-shocks/
 TechCrunch Japan(2012年10月18日付記事、上記記事の和訳)
 ハッキングされたペースメーカーに致命的ショックが送られる恐れ
 http://jp.techcrunch.com/archives/20121017hacked-pacemakers-could-send-deadly-shocks/
 Breakpoint 2012 Speakers List
 Barnaby Jack "Hacking Humans"
 http://www.ruxconbreakpoint.com/speakers/#BARNABY%20JACK

 他には、米国でも私的利用目的のDVDコピーを違法とする方針が示されたとの報道がありました。

URL
 Wired.com(2012年10月25日付記事)
 Feds Reject Legalizing DVD Cracking, Game Console Modding
 http://www.wired.com/threatlevel/2012/10/dmca-exemptions-rejected/
 MediaPost Publications(2012年10月25日付記事)
 Copyright Office Vetoes DVD Ripping
 http://www.mediapost.com/publications/article/186020/copyright-office-vetoes-dvd-ripping.html

マイクロソフト セキュリティ インテリジェンス レポート 第13版

 Microsoftが半期に一度公開している「マイクロソフト セキュリティ インテリジェンス レポート」(以降、SIRと略)の2012年上半期を対象とした第13版を紹介します。いつも通り、サマリの日本語訳も公開されています。

URL
 セキュリティ インテリジェンス レポート
 http://www.microsoft.com/ja-jp/security/resources/sir.aspx
 Microsoft Security Intelligence Report
 http://www.microsoft.com/security/sir/threat/

 この中で、対象期間ではないですが、昨年10月の時点でのアップデート未適用率をまとめたのが図19です。

図19 2011年10月の時点でのアップデート未適用率

 最新のアップデートの公開から経過した日数にも依存するので、そのまま比較するのは不公平ですが、それを差し引いてもJavaの未適用率の高さは際立っています。その理由についてSIRでは特に言及されていませんが、Javaの場合はバージョンの変更(更新)で動かなくなるアプリケーションがあることから、あえて更新をしないユーザーもいるのかもしれません。

 なお、アップデート未適用の中にはすでにベンダーのサポートが終了した古い製品を使っている(アップデートが公開されない/適用できない)ケースも含まれているそうです。

 マルウェアの検知および削除件数を国・地域別に多い順にまとめたのが図20です。これを昨年の下半期を対象としたSIR第12版の図17と比較してみます。

図20 国・地域別のマルウェア検知・削除件数

図17 2011年下半期における国・地域別のマルウェア検知・削除件数

 昨年下半期以降、減少傾向にあった米国が、今年の第2四半期に急激に増えていることが分かります。「高値安定」なので特に驚くものではないのですが、これは主に偽アンチウイルスソフト「FakePAV」によるもののようです。また、昨年下期の7位から一気に3位にまで上昇した韓国も目につきます。この増加の原因についてSIRでは、主に.krドメインを対象としたマルウェア「Pluzoks」(検知されたうちの93.3%が韓国)によるものとしています。また、韓国では他の国と比べてWindows XPの利用者が多いことも原因であるとしています。

 この韓国での急激な増加は、マルウェア感染率の高い上位5カ国の遷移を示した図22にも顕著に現れています。

図22 マルウェア感染率上位5カ国の遷移

 ちなみに今回も日本は、中国の次にマルウェア感染率の低い国として紹介されています。なお、中国のマルウェア感染率が低いのは、中国のみで感染を広めているマルウェアをMicrosoftでは検知できていないからとしています。中国は人口が多い上に「特殊な」インターネット環境にあるだけに、セキュリティの面でも中国だけで1つの独立した「インターネット」を形成しているようです(苦笑)。

URL
 Naked Security(2012年10月10日付記事)
 Windows XP is still Microsoft’s biggest security headache, but infections are rising on Windows 7
 http://nakedsecurity.sophos.com/2012/10/10/windows-xp-is-still-microsofts-biggest-security-headache-but-infections-are-rising-on-windows-7/
 ZDNet Korea(2012年10月11日付記事、韓国語)
 韓国、依然としてWindows XP基盤悪性コード問題
 http://www.zdnet.co.kr/news/news_view.asp?artice_id=20121011092809

Symantec、「実世界」の観測結果によるゼロデイ脆弱性の研究論文

 ゼロデイの脆弱性に関する「実世界」での観測結果に基づいた論文を紹介します。

URL
 Before We Knew It
 An Empirical Study of Zero-Day Attacks In The Real World
 http://users.ece.cmu.edu/~tdumitra/public_documents/bilge12_zero_day.pdf

 これはSymantecの研究者による論文で、ハニーポットのような「囮」を使った観測ではなく、世界中で実際に運用されている1100万台のホストにおいてダウンロードされたバイナリに対して、それが公開前の脆弱性を用いたマルウェアか否かを調べたものです。

 この論文において「公開」とは、CVE番号が振られてCVEのサイト(cve.mitre.org)に掲載されることを意味しています。つまり、CVE番号が振られる前に、何らかの掲示板に掲載されて誰もが閲覧できる状態になっていても、それだけでは「公開」とはなりません。また「公開」時点でパッチがあるかどうかは問うていません。

 このような前提の下、調査方法は、対象となる1100万台のホストで過去4年間にダウンロードされたバイナリファイルのハッシュ値とダウンロードした日時を記録し、そのハッシュ値から既知のマルウェアかどうかを調べた上で、そのマルウェアが用いる脆弱性が「公開」される前にダウンロードされたものであれば、ゼロデイ攻撃が始まっていたと判断するわけです。

 調査結果によると、ゼロデイ攻撃が始まってから(最も古いダウンロードが行なわれた日から)、その脆弱性が公開されるまでの平均日数は312日(約10カ月)だそうです。

 ゼロデイ攻撃は簡単に観測できるものではなく、このような具体的な数字が示されることが珍しいことから、メディアの中には「ゼロデイ攻撃が行なわれている期間は平均して10カ月間」といった形で伝えているものもありましたが、これは正確とは言えません。

 この調査研究でゼロデイの脆弱性として認識されたものはわずか18件であり、サンプル数が少な過ぎるので統計的にはあまり意味がないのです。確かに平均は10カ月でしたが、短いものでは19日、最も長いものでは30カ月に及ぶものもあり、数字が大きくばらついていることから、そもそも「平均値」を出すことにどれだけの意味があるのかという疑問もあります。

 また、調査の対象としたマルウェアのファイルは実行形式のファイルのみであり、PDFやMicrosoft Officeなどの他の形式のファイルや、ウェブ経由の攻撃については対象から外れています。さらに、標的型攻撃に使われたゼロデイの脆弱性については、攻撃対象が限定的であるため、情報を拾うことができないという問題もあります。

 このように、この論文の内容は、統計的にはさほど意味がないのですが、完全に無意味というわけではありません。

 今回の研究でゼロデイの脆弱性として認識された18件のうち、7件はすでにゼロデイ攻撃への悪用が確認されていたものであり、それを改めて具体的に確認したに過ぎませんが、残りの11件はこれまでゼロデイの脆弱性とは認識されておらず、今回の調査でゼロデイ攻撃に悪用されていたことが判明したのです。

 また、この論文ではマルウェアファイルのダウンロード数(≒攻撃数)の変化についても紹介しており、それによると、脆弱性の公開直後にいずれも急激な(4桁から5桁の)増加を見せています(図6)。公開後の速やかな対応がいかに重要かを示すものと言えるでしょう。

図6 脆弱性の公開による攻撃数の変化

 観測が難しいゼロデイ攻撃について、あくまで「後追い」でしかなく、これが何らかの「予防」に繋がるとも思えませんが、体系的に(かつ自動的に)調べる手法としては興味深い調査研究でした。

URL
 Forbes(2012年10月16日付記事)
 Hackers Exploit 'Zero-Day' Bugs For 10 Months On Average Before They're Exposed
 http://www.forbes.com/sites/andygreenberg/2012/10/16/hackers-exploit-software-bugs-for-10-months-on-average-before-theyre-fixed/
 SearchSecurity(2012年10月17日付記事)
 Symantec study highlights complexity of risks posed by zero-day exploits
 http://searchsecurity.techtarget.com/news/2240166975/Symantec-study-highlights-complexity-of-the-risk-posed-by-zero-day-exploits
 Threatpost(2012年10月16日付記事)
 Zero-Day Attacks Thrive for Months Before Disclosure
 http://threatpost.com/en_us/blogs/zero-day-attacks-thrive-months-disclosure-101612


2012/11/1 06:00


山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。