アットマーク・アイティ @IT@IT情報マネジメント@IT自分戦略研究所QA@ITイベントカレンダー  
 
 @IT > 最新の脆弱性に対応する攻撃ツールも登場 なぜ攻撃者はエクスプロイトを利用するのか
 
@IT Special
 

PR

セキュリティ研究 レポート No.004

 これまで攻撃をステルス化させる手法について紹介してきました。ステルス化の目的は、セキュリティプログラムによるブロックをすり抜け、より確実に攻撃目標に到達させること、到達後に不正な活動を持続させることです。

 今回は、セキュリティ管理者が常に注意を払うべき「脆弱性を狙った攻撃」の対策について考えていきます。

■攻撃者が脆弱性を利用する理由

 「エクスプロイト」とは、特定の脆弱性を利用する攻撃を組み立てる手順やプログラム、スクリプトを指します。また、脆弱性を利用する行為を指す動詞としても用いられます。

 脆弱性の問題を解決するためには、それを解消する修正パッチを適用します。しかし、開発元ベンダからパッチが提供されていても、ユーザー側で適用していないことが多いようです。

 また、アプリケーションの脆弱性を狙った攻撃の場合、エクスプロイトをアプリケーションで作成したファイルに潜ませて実行できるので、マルウェアのコードそのものを送り込まなくても感染させられます。

 さらに、新しいバージョンのソフトウェアが前のバージョンをベースに階層化されて開発されている場合、以前のバージョンに存在していた脆弱性が新しいバージョンにも持ち越されることがあります。攻撃者は、それを悪用することを考えます。

 このように脆弱性を狙う攻撃とは、マルウェア作者やサイバー犯罪者にとって実行しやすい手法なのです。

■脆弱性に関する最新の統計

 シマンテックが半年ごとに発行している「インターネット脅威セキュリティレポート」の第XI号(2006年下半期分)による報告を基に、脆弱性に関する最近の傾向をいくつか見てみます。

  • シマンテックが新たに記録した脆弱性の総報告件数は、2526件(前期に対し12%増)
  • シマンテックが新たに記録した脆弱性のうち68%は、その脆弱性が指摘された製品の開発ベンダによって確認されていない
  • エンタープライズ製品の脆弱性に関するエクスプロイトコード*のリリースは公表から平均5日後であるのに対し、パッチが提供されるのは平均52日後
  • 脆弱性に対するエクスプロイトコードは、25%が脆弱性の公表から1日以内、31%が1〜6日以内にリリースされた
  • シマンテックは12のゼロデイの脆弱性**を記録した
【注】
* エクスプロイトコードとは本来、脆弱性の問題の再現性の確認、攻撃が可能であることの実証に用いられる検査用のコード
** ゼロデイの脆弱性とは、その存在が公表される前からオンライン上でエクスプロイトが実際に観察されているという明確な証拠がある脆弱性

 脆弱性を狙った攻撃の中でも、ゼロデイ攻撃は特に深刻な脅威です。ゼロデイ攻撃は、脆弱性の修正パッチが提供される前に行なわれるものを指します。

 2006年下半期にシマンテックが記録した脆弱性の68%に当たるものは、該当ベンダによって脆弱性の存在が確認されていません。つまり、それらの脆弱性に対する修正パッチは提供されておらず、ゼロデイ攻撃の対象となり得る脆弱性は少なくないということが分かります。

■最新の脆弱性にも追加対応する攻撃ツールが登場

 今年になって「MPack」という攻撃ツールが登場し、脆弱性を狙った攻撃がより深刻になっています。MPackを利用した攻撃の概要は、以下のとおりです(2007年5月27日付のシマンテックセキュリティレスポンスウェブログ“MPack, Packed Full of Badness”より)。

  1. 正規のWebサイトやスパムメールのHTMLに、不正な誘導を行なうためのIFRAMEコードを埋め込む
  2. 上記のWebページやスパムメールを閲覧したユーザーのPCを、埋め込んだIFRAMEコードによってMPackサーバに接続させる
  3. HTTPリクエストのヘッダを分析してユーザーが使用しているWebブラウザとOSを識別したMPackサーバが、複数のタイプの脆弱性のエクスプロイトを試行する
  4. ユーザーのPCに対するエクスプロイトが成功した場合には、さらにマルウェアをダウンロードさせる

 ユーザーが攻撃を受けるWebサイトの多くは、一般的に信頼されている正規のサイトです。また、MPackによる一連の攻撃の中では、複数の脆弱性のエクスプロイトが試行されます。

 MPackは管理機能が充実しており、作者によるサポート付きで販売されています。さらに、攻撃時に利用する脆弱性の追加リストを別途購入できます(8月16日付“MPack: Getting More Dangerous”より)。

 つまり、「信頼できるWebサイトだけにアクセスを限定する」「Webブラウザに最新のパッチを適用する」といった従来の考え方では、もはや自衛することはできません。

■脆弱性を狙った攻撃からどのように防御すればよいのか

 脆弱性を狙った攻撃に対する最善策は、修正パッチの適用です。MPackを利用した攻撃手法を考えると、Webブラウザ以外のアプリケーションに対しても最新のパッチを適用すべきでしょう。

 すべてのアプリケーションのパッチ適用を最新の状態にしておくのは困難かもしれません。しかし、常に最新情報を入手することが必要です。情報配信サービスやパッチ管理支援製品の活用も考慮に入れましょう。

 パッチが存在していない脆弱性については、影響を緩和するための対策が重要です。例えば、ファイアウォールやIDS(侵入検知システム)、IPS(侵入防御システム)のルールやシグネチャを事前に変更することが推奨されます。

 最近のIDSやIPSには、「攻撃のパターン」を識別して検出するもの以外にも、「狙われている脆弱性」を識別して検出するものも存在します。後者の場合、脆弱性を狙った未知の攻撃に対してプロアクティブに保護することができます。しかも、同一の脆弱性を狙う複数種の亜種も1つのシグネチャで対処できます。

 PC上で動作するIPS製品も存在します。社外に持ち出され、インターネットに直接接続される機会が増えているノートPCにとって、搭載は必須ともいえるでしょう。

 脆弱性を狙った攻撃に対処するためには、常に最新の情報を入手すること、そして、セキュリティ侵害を可能な限り未然に防げる製品を選び、攻撃の影響を緩和するための施策が必要です。

本レポートは、シマンテック発行のホワイトペーパー「今日の手強いセキュリティ脅威への対処」の内容に基づいて作成されています。

参考文献(シマンテック セキュリティレスポンスウェブログ)

1. MPack, Packed Full of Badness
2. MPack: Getting More Dangerous

習得! セキュリティ研究所 トップページへ戻る


提供:株式会社シマンテック
企画:アイティメディア 営業局
制作:@IT編集部
掲載内容有効期限:2007年12月25日
  


シマンテック インターネットセキュリティ 脅威レポート(2007年1月〜6月の傾向)

直近6カ月間のインターネットセキュリティ脅威活動についてのレポート。
ネットワークベースの攻撃についての分析、既知の脆弱性の検証、マリシャスコードの特徴などを解説し、フィッシングやスパム活動の傾向について分析しています。

TechTargetダウンロードセンターよりダウンロードできます。




シマンテック セキュリティレスポンス
インターネットセキュリティ脅威レポート
セキュリティレスポンスウェブログ(英語)



管理者のためのウイルス対策の基礎(全6回)
電子メールセキュリティの基礎知識(連載中)
企業がすべきフィッシング詐欺対策(全3回)
いまさらフィッシング詐欺にだまされないために
急速に広がるスパイウェアの脅威
 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ