2010年上半期「セキュリティ動向」振り返り

この記事をtweetする このエントリーをはてなブックマークに追加

また失敗したの?と言われる前に セキュリティ登龍門50

2010年上半期「セキュリティ動向」振り返り

2010/09/07


 「Webサイトからの脅威」「脆弱性を狙う攻撃」「標的型攻撃」。これら3つが今年上半期のセキュリティへの脅威に関する最重要キーワードだ。昨年末に大手企業システムを脅かしたGumblar攻撃は、不正コードのタイプや、不正接続先からPCにダウンロードするウイルスのパターンを変えながら、いまだにおさまらない。また、PDFやWordなどのオフィスドキュメントの内部に不正コードを仕込み、メールの添付ファイルとしてターゲットの個人に向けて送り込む「標的型攻撃」により、個人情報などの機密情報が漏洩するなどの被害が深刻化している。今回は、今年上半期に見られた攻撃傾向をまとめてケースファイルとして紹介し、脅威の現状と対策を2回連載の形で説明していく。

セキュリティ動向

#020

いつの間に攻撃された!?2010年上半期を代表する新たな脅威とは

 IT部門の管理職を務めるA氏のもとに、総務課の顔見知りの担当者の名前とメールアドレスで新しいメールが届いた。添付ファイルはない。「セキュリティ講習の件について」というメールタイトルからすれば、定例で行っているセキュリティ講習会の次期開催に関する打合せのようだった。「講習テーマの参考にしてください」との文面の下に、URLが添えられていた。そのドメインには見覚えがあった。どうやらおなじみの取引先企業のものらしい。A氏は何も怪しむことなく、メールに記述されたURLをクリックした。
 ブラウザに表示されたのは、見たことのある取引先企業のトップ画面。「そういえばこの企業は中小規模なのにセキュリティ面では熱心に取り組んでいたな」と思い出したA氏は、総務部はその企業の取組みを講習企画に生かしてくれということだと1人で納得した。A氏はその企業の事例についてすでに知っていたのでそれ以上のことはせず、メールへの返信も不要だと思って放っておいた。
 ところが後日、A氏はシステムの運用管理部門の技術者からとんでもない事実を聞かされた。情報システムのソースコードや機密データが、A氏のPCを経由して外部に送信されているというのだ。驚いたA氏は自分のPCを精査した。セキュリティパッチは最新のものが適用されており、アンチウイルスツールやパーソナルファイアウォールも問題なく稼働していた。
 しかし実は、A氏のPCは先日の総務課からのメールにあったURLをクリックした直後から、外部の攻撃者の手の中に落ちていた。そのURLは確かに取引先企業のWebページではあったが、そのWebページは攻撃者によって改ざんされており、アクセスしたとたんにウイルス(マルウェア)がA氏のPCに自動的にダウンロードされ、実行されていたのだ。メールの送信元は偽装されており、実際には外部から来たものだった。ウイルスは、ブラウザの脆弱性を利用して感染した。ウイルスには、別種のウイルスを外部の配布サーバからダウンロードする機能が備わっていた。
 A氏のPCには、配布サーバから複数のウイルスがダウンロードされていた。それらは協調してPCにバックドアを開き、攻撃者のシステムと接続して遠隔操作を可能にしていた。どれもが既知のウイルスの種類ではあったが一部が異なる亜種だったため、アンチウイルスツールで検知することができなかった。また利用された脆弱性も対応パッチのリリース前のものだったため、セキュリティ通のA氏でもまったく予防対策はできず、攻撃を受けていても気づくことができなかったのだ。
 管理職であるA氏は、企業の機密情報の多くにアクセスできる権限をもっていた。A氏が入手できる機密情報なら、攻撃者は何でも手に入れられる状況にあった。幸いにもその時点までに送信された内容は、二次被害が起きたとしても影響範囲が社内の一部にとどまるものであったため、会社では同種の感染が他のPCで起きていないかを確認し、その時点で公開されたセキュリティパッチや新しいウイルスパターンファイルを全PCに適用して、仕込まれたウイルスは駆除し、既知の脆弱性についても修正をすべて適用した。これで、とりあえずの対応は終了した。しかし、会社の従来のセキュリティ対策はこうした新しい仕組みの攻撃に対してはほとんど無力に近いことが露呈してしまった。

(※ケースファイルは海外を含む複数事例をもとにキーマンズネット作成)




1

2010年上半期はWebサイト経由のウイルス感染が特徴

1-1

とくに警戒すべきなのはWebサイトからの脅威

 ケースファイルは、日本で昨年来継続して被害が起きているGumblar攻撃や、今年1月にGoogleをはじめ多くの海外著名サイトに向けて行われた、いわゆるOperation Auroraの事例などを参考にしたものだ。一般的な企業システムでは避けにくい、非常に巧妙な手口(それぞれは実際にあったもの)を使った例をあげた。これほどによく仕組まれた攻撃は数少ないかもしれないが、Webサイトの閲覧をウイルス感染のきっかけとして利用する攻撃は、最近のセキュリティに関する脅威の典型的な特徴だ。
 IPAでは、今年上半期のウイルスや不正アクセスのIPAへの届出状況(次回記事で詳細を記す)と専門家の分析により、現在もっとも警戒すべきこととしてWebサイトからの脅威が増していることをあげている。従来のように、「怪しいWebサイトにはアクセスしない」「怪しいファイルやそのリンクは開いたりダウンロードしたりしない」という対応だけではWebサイトからのウイルス感染が防げない状況になってきているからだ。現在流行中の攻撃手口には、次のような手法が加えられている。

■誘導メールなど送信元のなりすまし

 攻撃相手を特定してメールやIM(Instant Messenger)、SNS、マイクロブログなど、送信者を怪しまれないように偽装(なりすまし)し、説得力や信憑性を増した文面でターゲットを誘導し、不正サイトへのリンクに接続させる「標的型攻撃」が行われている。いかにも現実的にありそうなシチュエーションを演出するためには、あらかじめ個人や役職、関心の所在などについての情報を集めるソーシャルエンジニアリングの手法が利用されることも多い。

■Webサイトの改ざんやウイルス配布サイトへの接続

 正規のWebサイトを改ざんし、訪問者を気づかれないようにウイルスの配布サイトに接続(リダイレクト)する。ケースファイルのように標的型攻撃と組み合わせられると、ユーザにはメールなどの文面を疑う要素がまったくなくなり、攻撃にまったく気づかないうちに、ウイルスを送り込まれてしまう事態に陥る。

図1 Webサイトの改ざんとウイルス配布サイトへのリダイレクトのイメージ
図1 Webサイトの改ざんとウイルス配布サイトへのリダイレクトのイメージ
資料提供:IPA
■「ダウンローダ」のインストールと新たなウイルスの自動ダウンロード

 改ざんサイトから接続されたり、攻撃メールなどに直接挿入されたURLリンクから接続したりしたウイルス配布用のサーバからは、ブラウザや関連するプラグインやアプリケーションの脆弱性を利用して、多くは「ダウンローダ」と呼ばれるマルウェアが送り込まれる。PCにダウンローダが仕掛けられてしまうと、ウイルスやスパイウェアが自動的に送り込まれることになる。多くは巧みに企業システムにバックドアを作成し、以降はバックドア経由で攻撃者が自由に接続して遠隔操作可能な状態にしてしまう「トロイの木馬」が仕込まれる。こうなると、いわばPCが攻撃者に乗っ取られた状況で、アクセスできるかぎりの社内リソースが盗み出されたり破壊されたりする可能性が出てくる。

■セキュリティパッチ公開前の脆弱性を狙う「ゼロデイ攻撃」

 昨今ではブラウザそのものや関連するプラグイン、PC普及率の高いAdobe ReaderやFlash、JREなどの脆弱性を狙ってウイルス感染を図る攻撃が多くなっている。そのなかには、まだ脆弱性の修正プログラム(セキュリティパッチ)が公開されていない状態で攻撃が実行されるケースが目立つようになった。いわゆるゼロデイ攻撃だ。この6月には国内の政府機関関係者を装った標的型攻撃で、不正コードを仕込んだPDFファイルが利用された。この不正コードは、すでに公表されているAdobe Readerの脆弱性を利用するものだったが、対応する修正パッチはその時点では公開されていなかった。

図2 PDFなどの文書ファイルにマルウェアを挿入する攻撃のイメージ
図2 PDFなどの文書ファイルにマルウェアを挿入する攻撃のイメージ
資料提供:IPA

出典:「脆弱性を利用した新たなる脅威の監視・分析による調査報告書」

セキュリティ情報局にご登録頂いた方限定で「2010年上半期「セキュリティ動向」振り返り」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


関連キーワード

セキュリティ動向/2010年上半期「セキュリティ動向」振り返り」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「セキュリティ動向」関連情報をランダムに表示しています。

セキュリティ動向」関連の特集


 前回は「自動車の情報セキュリティ」が必要となる背景について説明した。今回は、実際に自動車の情報シス…



ウイルスやサイバー攻撃による被害状況に関する調査報告書から現状をおさらい!各種セキュリティリスクへの…



多くの攻撃がWebを介して行われるようになった2010年。特徴的な攻撃を振り返り今年気をつけたいポイ…


セキュリティ動向」関連のセミナー

クラウド活用のためのセキュリティ対策 【インフォコム株式会社】 注目 

開催日 7月6日(木)   開催地 東京都   参加費 無料

〜 Office 365やBoxなどのクラウドサービス導入に、セキュリティの不安を感じていませんか? 〜 ビジネスのさまざまな場面でクラウドサービス利用が広がる…

クラウド活用のためのセキュリティ対策 【インフォコム】  

開催日 7月6日(木)   開催地 東京都   参加費 無料

Office 365やBoxなどのクラウドサービス導入に、セキュリティの不安を感じていませんか? ビジネスのさまざまな場面でクラウドサービス利用が広がる中、クラ…

「その他ネットワークセキュリティ関連」関連の製品

次世代標的型攻撃対策製品「RedSocks Malware Threat Defender」 【ネットワールド】 クラウド型セキュリティサービス InterSafe GatewayConnection 【アルプス システム インテグレーション】 サイバー攻撃可視化プラットフォーム Arbor Networks Spectrum 【アーバーネットワークス】
その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連 その他ネットワークセキュリティ関連
全てのアウトバウンド・トラフィックを監視し、標的型攻撃による情報漏洩の危機となる通信を、リアルタイムに検知・通知可能なハードウェアアプライアンス。 クラウドのセキュアWebゲートウェイにおいて、独自の解析技術により、マルウェア配布サイトへのWebアクセスやC&Cサーバへの不正通信をブロックする出口対策を提供。 企業に対する脅威やサイバー攻撃を発見、迅速な対応を行うためのプラットフォーム。サイバー攻撃による企業のビジネスリスクを低減する。

「ネットワークセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


30003672


IT・IT製品TOP > ネットワークセキュリティ > その他ネットワークセキュリティ関連 > その他ネットワークセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ