ニュース

ウェブ改ざん・不正ログイン・不正送金の連鎖攻撃が日本で発生

トレンドマイクロが上半期のセキュリティ動向レポート

 トレンドマイクロ株式会社は19日、セキュリティ動向レポート「2013年第2四半期セキュリティラウンドアップ」を公開したのに合わせ、報道関係者向けの説明会を開催した。今年上半期における国内のセキュリティ脅威動向として、ウェブの改ざんや、“アカウントリスト攻撃”による不正ログインが増加していることを挙げ、こうした攻撃が連鎖していることを指摘した。

トレンドマイクロ株式会社セキュリティエバンジェリストの染谷征良氏
トレンドマイクロ株式会社エンタープライズマーケティング部の福井順一氏

不正アクセス事件では“アカウントリスト攻撃”が台頭

 同社セキュリティエバンジェリストの染谷征良氏によると、正規のウェブサイトが改ざんされ、そのサイトの閲覧者が、ウイルス感染などを試みる脆弱性攻撃サイトに誘導される事例が増加。2013年第2四半期における、そうした脆弱性攻撃サイトへの日本からのアクセス数は、第1四半期と比べて3.4倍に増加しており、最も多かった5月は1月と比べると約6.4倍に増加したという。

 一方、不正アクセスによる情報窃取被害として公表されている主な事件は、2013年第1四半期が5件だったのに対して、第2四半期は20件へと増加した。“人”の脆弱性を狙うアカウントリスト攻撃が台頭したためだという。

 上半期の主な不正アクセス事件25件の手口は、不正ログインが14件、サーバー侵入が8件、SQLインジェクションが2件、不明が1件。このうち全体の半数以上を占める不正ログインにおいて、特に顕著になっているのがアカウントリスト攻撃だという。

2013年上半期の主な不正アクセス事件
2013年上半期の主な不正アクセス事件の内訳

 アカウントリスト攻撃とは、あるウェブサイト/サービスで使われているID・パスワードの組み合わせのリストを攻撃者が入手し、別のウェブサイト/サービスでもそれらのID・パスワードの組み合わせが有効かどうかログイン試行していく手法。同じID・パスワードを複数のウェブサイト/サービスで使い回しているユーザーのアカウントが不正ログインに成功されてしまい、登録されている個人情報の窃取や決済機能の悪用といった被害に発展する。

 染谷氏は、アカウント登録して利用するウェブサイト/サービスが増加し、ユーザーが多数のID・パスワードを持たなければならなくなったことが背景にあると説明。それらを管理する手間を省くため、同じID・パスワードを使い回すユーザーが一定数いるだろうとの仮説から、攻撃者がアカウントリスト攻撃に着目するようになったとみている。いわば、こうしたID・パスワード管理にまつわるユーザーの悩み・行動につけ込まれていることから、トレンドマイクロでは人の脆弱性を狙う攻撃と表現しているわけだ。

 旧来の大量不正ログイン攻撃は、1つのIDに対してさまざまな文字列のパスワードをしらみつぶしに試していく、“ブルートフォースアタック”や“辞書攻撃”と呼ばれる手法だったが、ログイン試行回数が多くなる上に成功率が低く、非効率的だという。これに対してアカウントリスト攻撃は、実際にどこかのウェブサイト/サービスで使われているID・パスワードの組み合わせだけを試行するため、ブルートフォースアタックや辞書攻撃と比較してログイン試行回数が少なくて済み、成功率も高いとしている。

旧来の不正ログイン
アカウントリスト攻撃

攻撃の連鎖、起点はサーバーへの侵入から

 染谷氏によると、2013年上半期は、正規のウェブサイト/サービスのサーバーへの侵入を“起点”として、ウェブ改ざんやアカウントリスト攻撃、さらにはオンラインバンキングの不正送金といった一連の攻撃の連鎖が確認された時期でもあったという。

トレンドマイクロが指摘する攻撃の連鎖

 攻撃者はまずサーバーへ侵入し、データベースから会員情報を盗み取り、ID・パスワードなどのアカウント認証情報を使って別のウェブサイト/サービスへのアカウントリスト攻撃を仕掛ける。そこで不正ログインに成功すれば、そのウェブサイト/サービスに登録されている会員情報を窃取し、さらに別の攻撃に悪用することになる。

 なお、最近のアカウントリスト攻撃で使われているID・パスワードの大規模なリストの流出元について、トレンドマイクロでは現時点で、攻撃者が自らサーバー侵入で収集したものなのか、あるいは地下市場で売買されているものなのか、明確なところは確認に至っていないという。ウイルスに感染させたユーザーのPCの通信を監視して窃取したID・パスワードが含まれる可能性もあるが、染谷氏は、ウェブサイト/サービスのサーバーに侵入して会員データベースから抽出したものが流出元のメインではないかと考えられるとした。ウェブサイト/サービスの運営者は通常、パスワードの文字列をそのまま保持するのではなく、ハッシュ変換して保管していると考えられるが、ハッシュ化しているからといって必ずしも安全ではなく、適切な処理がなされていなければハッシュから元のパスワードを割り出される可能性もあるという。

 一方、サーバー侵入の手口としては、上半期には国内外でミドルウェアの脆弱性を突く攻撃が表面化したことも特徴。具体的には、サーバー管理ツールのParallels Plesk、CMSのWordPressやJoomla!、ウェブアプリフレームワークのApache Strutsの脆弱性が悪用された。サーバーOS/アプリケーションについてはすでに脆弱性対策が進められているのに対し、これらミドルウェアは脆弱性対策が遅れていることに攻撃者が着目したと考えられるという。また、OSの脆弱性を突いて侵入し、その後であらためて上のレイヤーに侵入するよりも、最初からミドルウェアのレイヤーから侵入することで、乗っ取りの簡素化を狙っていることも考えられるとした。

 サーバーへの侵入後は、前述のようにデータベースからの会員情報の窃取のほか、ウェブコンテンツの改ざんも実行。正規サイトに入力されたID・パスワードなどの認証情報をサーバーへ送信するようなプログラムを仕掛け、さらなる情報窃取を企てる。また、3月にはオンラインショップのシステムを改変し、そのサイト上で入力されたクレジットカード情報を攻撃者のサーバーに転送する攻撃も発生。クレジットカード情報のデータベースを保有していないウェブサーバーの改ざんによってクレジットカード情報が窃取されたという点で、「これまでのセキュリティの常識を覆した事例」だというが、今後、増加する可能性は否定できないとしている。

 この事例は、トレンドマイクロが確認している限り、情報窃取目的でウェブの改ざんが行われた国内で唯一の事例。典型的なのは、サーバー侵入後、サイト閲覧者を脆弱性攻撃サイトへ誘導するような改ざんを行なうパターンだ。そこで偽セキュリティソフトやオンラインバンキングを標的としたウイルスの感染を試み、感染後はオンラインバンキングのアカウント認証情報を窃取することで、ユーザーの口座に不正ログインして不正送金を行う流れになる。

 オンラインバンキングを狙う「Zbot(Zeus)」ファミリーおよび「SpyEye」ファミリーという攻撃ツールの日本における検出数は、2013年上半期に2万916件に上っており、前年同期の8398件から約2.5倍に増加した。また、2012年は1年間を通じた検出数が1万9849件だったため、半年でそれを上回ったことになる。染谷氏は、オンラインバンキングを狙う攻撃ツールが「日本に本格上陸」したと表現。また、こうした攻撃ツールは、ブラジルや韓国など、それぞれの地域のオンラインバンキングの利用形態に合わせて“地域化”されたものが見つかっているという。地下市場における攻撃ツールキットの販売価格が暴落していることが、被害増加の背景にあるのではないかとしている。

ウェブサーバーに必要なのは「脆弱性の管理」と「早く気付ける仕組み」

 ウェブサイト/サービス運営者がこうしたウェブ改ざんや不正アクセスの被害を防ぐにために必要な対策として、エンタープライズマーケティング部の福井順一氏は、「脆弱性の管理」と「早く気付ける仕組み」という2つを挙げた。サーバー侵入時にOSやミドルウェア、ウェブアプリケーションなどの脆弱性が狙われているためであり、また、攻撃の起点となっているのはウェブ改ざんでも不正アクセスでもサーバーであるため、侵入の試行はもちろん、侵入後の改ざん、不正ログインの試行などの異常を早く検知して対処できる体制が求められる。

 そのために必要なのが、OS(Windows/Linuxなど)、ミドルウェア(Apache/IISなど)、ウェブアプリケーション(構築したシステム)という3つのレイヤーを意識した弱点の把握とその対策になる。OSのレイヤーであれば、弱点はOSのセキュリティホールであり、その対策としてセキュリティパッチ適用やIPS、ウイルス対策、ログ監視などが考えられる。ミドルウェアでは、主な弱点は前述のParallels Plesk、WordPress、Apache Strutsなどがあり、やはりパッチ適用、IPS、ログ監視のほか、変更監視機能が対策になるとした。一方、ウェブアプリケーションではHTML、PHP、JavaScriptなどのほか、“設計の穴”や“コーディングの穴”も弱点になるとし、WAFや変更監視機能といったシステム的な対策のほか、セキュアコーディングやシステム脆弱性診断といったシステム設計面での対策も必要になるとしている。

レイヤーごの弱点と必要な対策
トレンドマイクロが提供している多層防御ソリューション

 アカウントリスト攻撃に対しても、正規のID・パスワードを使って攻撃者がログインしてくることから不正なログインかどうか判断するのは難しく、実際、不正ログインが行われていたことに数カ月間気付かなかったウェブサイト/サービス運営事業者も存在するとしながらも、早く気付ける仕組みがあると説明。例えば、短時間に大量のログイン試行があった場合や、異なる複数のIDでのログイン試行が同じIPアドレスから来た場合に、不正ログインの可能性を管理者に通知する仕組みが考えられるとしている。

Androidの“不正アプリ”は71万8000個、この1年で25倍に

 「2013年第2四半期セキュリティラウンドアップ」ではこのほか、モバイルの動向についても取り上げている。Androidユーザーをだましてインストールさせる“リパックアプリ”“贋作アプリ”“偽装マーケット”などの手口で拡散する“不正アプリ”の総数は、トレンドマイクロが確認しているものでも2013年6月末時点で71万8000個。1年間で約25倍に急増した。なお、2012年12月末時点では35万個であり、その数に達するまでに3年間かかったが、それがわずか半年で71万8000個へと倍増したことになる。

 iPhoneユーザーへの攻撃としてもだましの手口が確認されており、サクラライトやフィッシングサイトなどウェブ上での詐欺の手口のほか、出会い系アダルトサイトに誘導する“グレーアプリ”がApp Storeで配布されたケースも確認されたという。アダルト系に厳しいApp Storeだが、アプリといっても機能的にはブラウザー機能にあえて限定することで審査をすり抜ける手口だ。

 さらに染谷氏は、こうしただましの手口で拡散する不正アプリだけでなく、モバイルにも「脆弱性攻撃が到来」したとも指摘する。アプリを改変しても正規アプリに見せかけることが可能な“マスターキーの脆弱性”が99%のAndroid端末に影響することが確認されたほか、多機能・高機能な不正アプリ「OBAD(オーバッド)」が出現した。OBADは、自身を隠ぺいして発見されにくくするルートキットの機能が可能になるという。

 「2013年第2四半期セキュリティラウンドアップ」は、トレンドマイクロのサイトからPDFでダウンロード可能だ。

(永沢 茂)