Tweet

プラグイン狙う攻撃も増加

「攻撃経路はスパムからWebへ」、シマンテックが脅威レポート

2009/04/16

　シマンテックは4月16日、「インターネットセキュリティ脅威レポート 第XIV号」を公開した。同社製品からのアラートやインターネットに設置しているセンサー（ハニーポット）、監視などを通じて得られた情報を基に脅威の動向をまとめたレポートで、2008年1月から12月までの期間が対象だ。

　米シマンテック セキュリティレスポンスチーム シニアマネージャ ケビン・ホーガン氏によると、2006年ごろから本格化した「プロが金銭目的で攻撃を仕掛ける」という脅威の動向に大きな変わりはない。またその手段として、トロイの木馬やダウンローダといったマルウェアを利用するという基本的なテクニックにも変わりはないという。

米シマンテック セキュリティレスポンスチーム シニアマネージャ ケビン・ホーガン氏

　ただ、「攻撃の経路が変わってきた。以前はスパムメールを介した誘導が主流だったが、2008年中ごろからWebベースへと変わってきた」（ホーガン氏）。一般の人が訪れる無害なWebサイトに、クロスサイトスクリプティングなどのWebアプリケーションの脆弱性を突いて侵入して改ざんを行い、アクセスしてきたユーザーのPCに悪意あるソフトウェアをダウンロードさせる「ドライブバイダウンロード」と呼ばれる手口が増えているという。

　「かつては犯罪者自体がWebサイトを用意して、（スパムメールなどで）そこに誘導していたが、それでは効率が悪い。そこで、普通の人が毎日訪れるようなサイトを改ざんし、悪質なサーバにリダイレクトするようになっている」（同氏）

　ホーガン氏によると、特に「狙われやすいWebサイト」というものはない。強いて挙げれば「広く利用されているサーバが悪用される傾向にある。問題は脆弱性の数ではなく、広く使われているかどうかだ。また最近は、（狙われるかどうかに関して）OSの種類はあまり関係なく、その上のソフトウェア、あるいはそのソフトウェアの上で動作するスクリプト言語やミドルウェアが（攻撃者にとっての）スイートスポットになっている」（同氏）。単純に、ミドルウェアの方が脆弱性が多いからという理由に加え、OSに依存しないため、より多くのターゲットを攻撃できるからだ。

　このようにWebサイトを介して行われる攻撃にも、若干傾向の違いが見られた。引き続き、OSやWebブラウザそのものの脆弱性が狙われる一方で、Adobe AcrobatやFlashといったプラグインの脆弱性を狙う攻撃も増えているという。

　なお、攻撃コード（マルウェア）の件数自体は急増しており、2008年には、平均して1カ月に2億4500万件以上のウイルスが検出された。その理由として、「以前は1つの攻撃イコール1つのファイルだったが、2006年ごろから複数のバイナリ、数個から1ダースくらいファイルがまとまって1つの攻撃を構成するようになっている。攻撃数は同じでも利用されるファイルの数が増えた。しかもその多くは金銭目的だ」（同氏）という。

　悪意あるコードの解析からは、もう1つ、興味深い傾向を見ることができた。4月1日に一斉起動するとしてセキュリティ業界が警鐘を鳴らした「Conficker」の動向だ。

　Confickerは実行可能なファイルの形式で流通しており、脆弱性を修正していないPCでは、インターネットに接続するだけで感染する恐れがあった。ただし、当初登場したオリジナルのConficker.Aは、それほど広く感染しなかったという。

　しかし「続いて出てきたConficker.Bは数百万人という単位で感染し、広く出回ってしまった。AとBとで何が違ったかというと、USBメモリ経由で拡散するかしないかだ。いったんネットワークに入ってきてしまうと、特に企業内では根絶が難しい」（ホーガン氏）という。