ニュース

Web改ざんの次の段階、ドライブ・バイ・ダウンロード攻撃が約4倍に〜IBMが警鐘

グローバル・テクノロジー・サービス事業 ITSセキュリティ・サービス セキュリティ・サービス担当部長の徳田敏文氏

 日本IBMは26日、世界10拠点のIBMセキュリティー・オペレーション・センター(SOC)にて観測した2013年上半期(1月〜6月)のインターネットセキュリティ情報に基づき、主に国内の企業環境に影響を与える脅威の動向をまとめた「2013年上半期Tokyo SOC 情報分析レポート」を発表した。

ドライブ・バイ・ダウンロード攻撃は前期比4倍に

ドライブ・バイ・ダウンロード攻撃は前期比4倍に

 まず指摘されたのは、ドライブ・バイ・ダウンロード攻撃の急増についてだ。改ざんされたWebサイトを閲覧すると、マルウェアがダウンロード・感染されてしまう攻撃で、今期の件数は3972件。前期(2012年下半期)の956件と比較して、約4.2倍に増加している。昨今、Webサイトの改ざん事例が多数報告されているが、ドライブ・バイ・ダウンロード攻撃はその次の段階と言えるもので、報告通り、多くのWebサイトが実際に改ざんされていることを示している。

 攻撃の手口として、前期まではAdobe製品の脆弱性を突いたものが大半だったが、今期はJREの脆弱性を突いたものが急増。前期の308件(全体の32.3%)だったのが、今期は3192件(80.4%)と、件数にして実に10.4倍にも増えている。

 特に2013年1月〜3月に多発。CMSやWebアプリケーション・フレームワークの脆弱性を突いて、Webサーバーの改ざんが多発したころとちょうど重なるという。グローバル・テクノロジー・サービス事業 ITSセキュリティ・サービス セキュリティ・サービス担当部長の徳田敏文氏は「それにしても4倍という数字に危機感を覚える。JREのパッチ適用が不十分なことが想像できるが、日本はまだパッチ適用の意識が低いということを痛感する」とコメント。基本に立ち返ってパッチ適用などのできることを確実にすることが重要と指摘した。

 なお、ドライブ・バイ・ダウンロード攻撃は、最初に「ダウンローダー」と呼ばれる小さなプログラムをクライアントPCに感染させ、ダウンローダーを介して本命のマルウェアを次から次へとダウンロード、最終的に情報奪取などの目的を果たすのが狙いである。

 このダウンローダーに感染させることを「攻撃の成功」とすると、その成功率は13.2%(523件)。前期は26%(256件)だったことから成功率としては低下している。低下の要因としては、セキュリティ製品でExploit Packへの対応が行われたことが考えられるという。が、徳田氏は「決して小さい数字ではない」と警鐘を鳴らす。実際に2013年6月ごろから、新種のExploit Kitが闇市場に出回り始めたことから、再び成功率が突出する傾向も見られる。

JRE脆弱性を悪用
攻撃の成功率

SSHやFTPを悪用、「初期設定」「アクセス制御」を見直そう

 Webサイトが多く改ざんされた原因の1つとして、Webサーバー管理のためのSSHやFTPサービスのアカウントが不正に利用された事例が確認されている。アカウントを奪取する方法の1つとして、さまざまなID・パスワードの組み合わせでログイン試行する「辞書/総当たり攻撃」があり、IBMのTokyo SOCでも多く観測されたほか、IPAなども7月に同様の注意喚起を行っている。

 これらの攻撃を見ると攻撃時間が5時間以内のものが全体の41%を占め、短期間にログインを試行して止める傾向が見られた。中には15日以上にわたって攻撃を継続するケースもあるが、この場合も1回1回の攻撃は短く断続的で、セキュリティ機器や監視の目から逃れる意図が見られるという。

 ログイン試行が行われたアカウント名は「admin」や「Administrator」といった管理者アカウントや、サービスの試験でよく利用される「test」、また「mysql」「webmaster」「ftp」などミドルウェアでデフォルトで作成されるものが多かった。

 デフォルト設定の危険性は昔からいわれていることだが、「運用をアウトソースしているつもりになっていたがそこまでの運用は契約に含まれておらず、責任の所在が不明となってしまったことで、気づかずにデフォルトのまま運用されているケースなどが最近また増えている」(徳田氏)そうだ。

 対策としては、「使用するパスワードを長く複雑で推測が困難な文字列にするのはもちろんだが、FTPやSSHサービスをインターネットから利用することの必要性について再考し、不要であれば公開しない、公開する必要がある場合もサーバーへの管理アクセスを許可するクライアントを可能な限り限定することが重要」と説明。

 「例えば、辞書/総当たり攻撃の送信元IPアドレスは中国が65.7%と大半(攻撃元が中国であるとは限らない)。一方、日本国内が送信元となったのは全体の0.34%しかない。FTPやSSHのアクセスを国内からに制限するだけでも辞書/総当たり攻撃のほとんどを防ぐことができる」とした。

「標的型メール攻撃」はステルス化が進む

 標的型メール攻撃は、ある特定の組織や個人に限定して不正なメールを送信する攻撃手法。Tokyo SOCで標的型メール攻撃を解析した事例のほとんどに、暗号化された添付ファイルが使われていた。

 標的型メール攻撃の件数は前期149件、今期61件と約4割に減少している。が、これは攻撃そのものが減少したのではなく、暗号化や難読化などのセキュリティ機器を回避する技術が一般的になり、セキュリティ機器だけではとらえきれない状況を示しているという。

 中には本人同士のメールのやりとりを盗聴し、その会話に違和感なく割り込んで不正なメールを送りつけているような事例も見受けられる。その際、送信アドレスは攻撃者のフリーメールとなるため、「失礼ですが、自宅のメールで送信します」と受信者に偽物との疑いを抱かせないような文面も盛り込まれる。こうして添付されたファイルを開くとマルウェアに感染するというわけだ。

 防ぐためには、明確な攻撃を発見・防御する従来のアプローチに加えて、セキュリティ機器でインフォメーションログを取得し、リアルタイムに相関分析することで、その中から攻撃の痕跡を発見するようなアプローチが必要になると徳田氏。

添付されていた不正なドキュメントの例
標的型メール攻撃の事例

 ただし警察庁によると、いきなりマルウェアを送りつけるのではなく、業務に関するメールを何通かやりとりし、添付ファイルが送られてきても不自然ではない状況を作った上で、マルウェアを送りつけてくる“やりとり型”の攻撃も増えてきている。

 やりとり型の攻撃を受けたメールアドレスのうち約8割が、組織などのホームページ上で公開されているものだったため、警察庁では「このように不特定多数からのメールを受信する機会が多いPCは、組織内の通常業務用PCのネットワークとは分離した専用PCとし、不要なプログラムが動作しないような対策を講じるように」ともしている。

(川島 弘之)