検索
連載

アップデート機能を悪用した攻撃に対抗セヨ!川口洋のセキュリティ・プライベート・アイズ(51)(2/2 ページ)

自動アップデートサーバーを乗っ取るという手法が話題になりました。実はHardeningでも、ひそかにその手を仕込んでいました。

Share
Tweet
LINE
Hatena
前のページへ |       

Hardeningで仕込んだシナリオ

 アップデート機能を悪用した攻撃手法は、先日行われた「Hardening 10 APAC」でもひそかに取り込んでいました。

関連記事

沖縄の暑さに負けない熱戦を繰り広げた「Hardening 10 APAC」(@IT)

http://www.atmarkit.co.jp/ait/articles/1407/04/news101.html


 Hardening 10 APACで作ったサーバーには、各サイトで使われているソフトウェアのアップデート用パッケージが用意されていました。そのパッケージにはバックドアが仕込まれており、署名を検証せずにインストールすると被害に遭うはずです。

 参加者の環境にあるサーバーのyumの設定を、以下のようにしておきました。gpgcheck=0となっているので、GPG署名のチェックが行われません。


yumの設定

 アップデート用のサーバーには、バックドア入りのパッケージファイルが事前に置いてあります。参加者がyumでアップデートを行うと、GPG署名の確認が行われず、バックドア入りのパッケージにアップデートされてしまう仕組みです。もし、gpgcheckに1が設定されていれば以下のような「..... is not signed」というエラーを出力して、アップデートは失敗します。


GPG署名チェック

 多くの参加者がyumを実行した結果、バックドアプログラムが動く結果になってしまいました。「Hardening 10 APAC」の競技を振り返る「Softening Day」でその種明かしをしたところ「そこまでやるか」というような会場の雰囲気を感じましたが、こういう競技の環境でもないとリアルな体験することはできなかったのではないかと思っています。

Hardeningの今後に向けて

 今回はアップデート機能を悪用した攻撃を取り上げました。サービスやソフトウェアの提供元が不正アクセスを受け、提供されているものが「信頼できない」前提でシステムを運用することは非常に大変です。攻撃者は明らかに、その対応の難しいポイントを狙った攻撃を行っており、私たちもこのような攻撃に対応する方法を考えなければなりません。

 前回のHardening 10 APACのコラムを書いてから、あっという間に9月になってしまいました。もう11月の企画の準備に取り掛からなければなりません。Hardening Projectメンバーの熱いミーティングも行われています。今回もまた新しいネタを考えて準備していますので、前回参加できた人も参加できなかった人もぜひ2014年11月の「次のHardening」に参加してください。

 そして、私は次回Hardeningの作戦会議をするために今夜も飲みに行くのでした。

関連記事

工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート(@IT)

http://www.atmarkit.co.jp/ait/articles/1407/09/news007.html


著者プロフィール

川口 洋(かわぐち ひろし)

株式会社ラック

チーフエバンジェリスト

CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。

チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。

2010年〜2011年、セキュリティ&プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用にかかわる全ての人の能力向上のための活動も行っている。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  2. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  3. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  4. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  5. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  6. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  9. 「Amazonプライム感謝祭」に関するフィッシング攻撃を確認、注意すべき7つのポイントとは チェック・ポイント・ソフトウェア・テクノロジーズ
  10. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
ページトップに戻る