エクスプロイトツールキットの蔓延と対策

この記事をtweetする このエントリーをはてなブックマークに追加

アナタの知識が会社を救う! セキュリティ強化塾

エクスプロイトツールキットの蔓延と対策

2013/01/22


 OSやアプリケーションに存在するセキュリティ上の弱点(脆弱性)を狙って、本来意図していない動きをさせるプログラムが「エクスプロイト(Exploit)」。脆弱性の有無を調べるのに使われる「善玉」エクスプロイトもあるが、今ではエクスプロイトと言えば、脆弱性を悪用して情報窃取などの悪事を働くもののことを指すことのほうが多い。銀行からの不正な現金引き出しなどの犯罪行為に利用されるエクスプロイトは日々多くの亜種が生まれている。その背景には、多少の知識さえあれば誰でもエクスプロイトを作成できるツールキット(=エクスプロイトツールキット)の存在がある。今回は特にエクスプロイトとエクスプロイトツールキットに注目して、危険性と対策を考える。

エクスプロイト

エクスプロイトを悪用する“黒い”ビジネス

 エクスプロイトを利用してオンラインバンキングへのログインID/パスワードの情報を窃取して、半年間(2011年1〜6月)で約2億5000万円(320万ドル)の荒稼ぎをやってのけた男がいた。このロシアの若者が使用していたのが「SpyEye」や「ZeuS」など各種の「エクスプロイトツールキット」だった。
 企業システムや個人のPCを攻撃するウイルスの多くが、OSやアプリケーションの脆弱性を悪用しているのは本コーナーでも繰り返しお伝えしているとおりだ。脆弱性はプログラムに内在する欠陥なので、それが発見されると開発者(ソフトウェアベンダなど)は早急に修正を行う。それと同時にその脆弱性が解消されたかどうかを判定するためのコードも作成している。それがエクスプロイトコードだ。そのコード自身は何ら不正を働くものではない。
 しかし悪意のある攻撃者はそのコードを改変し、犯罪に利用することがある。脆弱性の修正が行われていないシステムに悪意ある変更をしたエクスプロイトを忍び込ませて実行し、システムがもともとは意図していない動作を引き起こして機密情報の窃取を図る事件が頻発している。その背後には、ユーザのPCに存在する脆弱性をチェックし、様々な種類のエクスプロイトや感染能力をもったウイルスを作成し、PCに送り込むエクスプロイトツールキットという攻撃用ツールの蔓延がある。アンダーグラウンドマーケットでは、このツールキットを拡散し攻撃を実行するサービスがはびこっている。これにより、少数の専門的知識に長けたクラッカーだけでなく、誰でも簡単にエクスプロイトを用いた攻撃ができるようになってしまった。
 日本でも一昨年(2011年)の6月下旬から日本国内のインターネットバンキングで不正アクセス被害が急増し、不審なメールやスパイウェアによって、パスワードなどの顧客情報が不正に窃取され、実際に振込被害が発生した。この情報窃取に使われていたのがSpyEyeと呼ばれるトロイの木馬型ウイルスだった。これをPCにインストールするエクスプロイトツールキットには、ウイルスと同名のSpyEyeや、比較的新しく作成されたBlackhole Exploit Kitがある。なかでも昨年から多くの被害をもたらしているのが、Blackhole Exploit Kitだ。これを使った攻撃の例を図1に示す(詳細は後述)。

図1 Blackhole Exploit Kitを使用した攻撃の例
図1 Blackhole Exploit Kitを使用した攻撃の例
資料提供:トレンドマイクロ

 金銭の振込を誘う偽セキュリティソフトのインストールならその目的も分かりやすいが、ファイルやフォルダの削除、意図しないファイルの実行、あるいは情報の窃取のみを行うウイルスでは、被害が起きる前に感染に気がついたとしてもその後何が行われるか見当もつかない。知らぬ間にシステムを改ざん・破壊される可能性があり、窃取したID/パスワードあるいはデジタル証明書はユーザ本人に成りすましての犯罪に利用される危険性がある。しかも多くの場合、攻撃が行われていてもユーザはまったくそのことに気づかないケースが多い。個人にとっても怖いが、企業システムにとっても大きなリスクになることは言うまでもない。
 このような攻撃は今ではビジネスモデルとして確立しているようだ。冒頭に記したように時に莫大な不正利益が期待でき、しかも攻撃のための労力が少なくて済むとなれば、法と倫理に背いてもこのような攻撃に手を染めたい思う人は必ず出てくる。犯罪行為への敷居が低くなった今、企業システムを守る立場として果たしてどのように対策すればよいのだろうか。


1

エクスプロイトツールキットを使った攻撃とは

 エクスプロイトツールキットを使った攻撃への対策を考える前に、この攻撃ツールがどんなものなのかについてもう少し説明しておこう。

1-1

「ZeuS」と呼ばれるエクスプロイトツールキット

 エクスプロイトツールキットとして古くから使われているのは「ZeuS(ゼウス)」だ。2006年から暗躍を始めたZeuSにより「Zeus」や「zbot」と呼ばれるトロイの木馬型ウイルスがPCにインストールされる被害がいまだに続いている。zbotは被害PCのFTP通信やHTTP認証、HTTPクッキー、デジタル証明書、FTPクライアント設定を攻撃者のサーバに送信する機能をもっており、時にはPCのスクリーンショットも撮影して送信できるので、ログイン情報などは丸裸にされてしまう。またPC設定を変更し、ファイアウォールを無効にすることもやってのける。ファイルの作成、実行、削除などもできるので、zbotがある限り、PCは攻撃者の意のままに操られてしまう。

図2 「ZeuS」の操作パネル
図2 「ZeuS」の操作パネル
資料提供:トレンドマイクロ

 ZeuSはアンダーグラウンドのマーケットで取引されており、これを入手すると、図2のような操作パネルによってzbot作成のための設定が簡単に行える。目的にかなうzbotを作成したら、ターゲットにzbotを配布し、実行させればよい。zbotがインストールされたPCはいわゆる「ボット」となり、複数の同種感染PCと攻撃者のサーバ(C&Cサーバと呼ばれる)との間で「ボットネット」を形成する。攻撃者はC&Cサーバ(Command and Control server:指揮統制サーバ)上のZeuSコントロールパネルから各ボットの状態を確認し、バージョンアップや各種攻撃の指令を行うことができる。

セキュリティ情報局にご登録頂いた方限定で「エクスプロイトツールキットの蔓延と対策」の続きがご覧いただけます。

「セキュリティ情報局」とは、週1回のメールとサイト上で、セキュリティの基礎知識や最新情報などの記事をご希望の方にのみご提供する登録制のサービスです。「セキュリティ登龍門50」では、実際に起こったセキュリティに関する被害例やその対策、統計データなどを紹介します。また「セキュリティWatchers」では、最新事情や海外の状況などを専門家がレポートします。


エクスプロイト/エクスプロイトツールキットの蔓延と対策」関連の情報を、チョイスしてお届けします

※キーマンズネット内の「エクスプロイト」関連情報をランダムに表示しています。

エクスプロイト」関連の特集


国家機関や民間企業を狙うサイバー攻撃が世界的に増加中!気づかぬ間に密かに拡大も…?最新のサイバー攻撃…



 前回はFlashfakeの感染経路としてJREやFlash Playerがあることを解説した。今回…



 連日と言っていいほどサイバー犯罪のニュースを耳にするようになったと思うが、この増加傾向は何を表して…


「その他エンドポイントセキュリティ関連」関連の製品

接続先ネットワークの制限/デバイスの利用禁止 秘文 Device Control 【日立ソリューションズ】 Webシステム ファイル持ち出し防止 「ファイルプロテクト for IIS」 【ハイパーギア】
その他エンドポイントセキュリティ関連 その他エンドポイントセキュリティ関連
デバイスやWi-Fiの利用を制限し、エンドポイントからの情報漏洩を防止。
スマートフォン、USBメモリなど様々なデバイスの利用を制限。
Wi-Fi制御、VPN利用の強制機能も搭載。
Windows Server OSでIISを利用したWebシステムに連携。ファイルはそのままでユーザがファイルを参照するタイミングに持ち出し禁止や印刷禁止のPDFをオンデマンド生成する。

「エンドポイントセキュリティ」関連 製品レポート一覧

このページの先頭へ

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この記事に掲載している情報は、掲載日時点のものです。変更となる場合がございますのでご了承下さい。


ページ: 1 | 2 | 3


30005297


IT・IT製品TOP > エンドポイントセキュリティ > その他エンドポイントセキュリティ関連 > その他エンドポイントセキュリティ関連のIT特集 > 特集詳細

このページの先頭へ

キーマンズネットとは

ページトップへ