SQAT Security Topics

S.Q.A.T. Security Topics
October 2009
Vol.10
INDEX
・
・
・
・
・
・
・
・
・
・
オンライン・バンキングを狙う次世代トロイの木馬キットが出現
SQL インジェクションを仕掛ける Asprox ボットネットが再び活動開始
VISA、データ暗号化の実装に関するベストプラクティスを発表
米連邦捜査局、史上最大規模のフィッシング詐欺グループを起訴
ボットネットの増殖で「サイバー犯罪市場」に価格破壊が発生？！
Web サイトを狙った攻撃が継続 ∼ IPA、脆弱性対策の早急な実施を推奨
脆弱性の洗い出しはホワイトボックステスト方式が断然効果的？！
IPA、中小企業における情報セキュリティ対策の底上げの必要性を指摘
マルウェア感染の被害に遭う Web サイトは 1 日に 7,000 件 ∼ Dasient 調べ
パスワードはこうして盗まれる！米 McAfee、機密情報窃盗の手口を暴く
オンライン・バンキングを狙う次世代トロイの木馬キットが出現
セキュリティ企業の米 Finjan Software は、オンライン・バンキングを狙うトロイの木馬キットに
新たなタイプが出現したとして注意喚起を行った。Finjan によれば、「URLZone」と呼ばれるこの
ツールキットには、銀行口座の情報を盗むだけでなく、現金の引き出し、送金、取引履歴の改ざん、
引き出し金額の指定など様々な高度機能を備えているという。
攻撃者はまずユーザを悪質なサイト(もしくは感染したサイト)に誘き寄せる。それらサイトには
「LuckySpoilt」と呼ばれるマルウェアツールキットが仕込まれており、Adobe PDF や Flash の脆弱
性を突いて「URLZone」に感染させる。Finjan によると、こうしたサイトに誘き寄せられたユーザ
は 9 万人を超えるという。そのうち実際に感染したユーザは約 6,400 人で、14 人から 15 人に一人の
割合で感染していることが分かる。
URLZone は感染したマシンをゾンビ化するが、それ単体で攻撃プログラムを実行するわけではな
い。C&C(コマンド&コントロール)サーバと通信し、そこから受ける命令を実行するようになってい
る。C&C サーバから送る命令には、口座から引き出す金額、送金に使用する
Mule(運び屋)
アカ
ウント、オンライン・バンキング画面のキャプチャ取得の有無などがあり、それらは C&C の管理イ
ンターフェースからカスタマイズ化可能だ。攻撃者は、オンライン・バンキングの詐欺防止機能によ
る検出を避けるために、一回の引き出し金額を少額に設定して何度も引き出しを行う、口座の残高が
マイナスにならないようにする、毎回違う金額を引き出すなど、様々な設定を行うことができる。
さらに、取引履歴画面の改ざんも行うことが可能である。例えば、あるケースでは、実際に 8,576
ユーロ(約 120 万円)を引き出されていたが、改ざんされた取引履歴画面には 43.94 ユーロ(約 7,000 円)
と表示されていた。
なお、Finjan によれば送金に使用する Mule は、同じものを二回以上使用しないという。これも詐
欺防止機能を回避するための攻撃者の策の一つである。Mule となるユーザのほとんどは海外企業の
ための合法的な支払処理をしていると思っており、自身が犯罪組織に加担していることに気づかない。
また、昨今の世界的な経済不況の影響で、インターネット上にこうした「仕事」の求人募集を掲載す
ると、何の疑いも持たない多くの応募者を獲得できるという。
Finjan は「URLZone は特定のユーザを標的としているわけではないが、ドメイン別に見るとドイ
ツの銀行が最も多く被害を受けている。ロシアや中国、欧州のその他の国のドメインも確認されてい
るが、今のところ米国の銀行は攻撃リストに入っていないようだ」と述べた。
攻撃に使用されていたサーバは既にインターネット上から排除されているが、URLZone は依然と
してアンダーグラウンド社会で流通しているため、ユーザは引き続き注意が必要である、と Finjan
は警鐘を鳴らす。
Copyright©BroadBand Security, Inc.
2
SQL インジェクションを仕掛ける Asprox ボットネットが再び活動開始
2008 年 7 月に国内外で多大な被害をもたらした「Asprox」ボットネットが再び活動を開始したと
して、セキュリティ企業各社が注意喚起を行っている。
Asprox に感染したシステムはボットとなり、攻撃元の指令に従って ASP(Active Server Pages)
で作成された Web ページを検索し、SQL インジェクション攻撃を仕掛ける。このとき脆弱性のある
Web ページでは攻撃が成功し、悪質な iFrame が埋め込まれてしまう。この iFrame が埋め込まれた
Web サイトをユーザが訪問すると別の不正サイトへとリダイレクトされる。リダイレクト先のサイト
では、一般的に使用されているソフトウェアの脆弱性を突いてマルウェアに感染させ、最終的には
Asprox ボットネットに加担させようとする。
ボットネット対策を専門とするセキュリティ企業 Damballa の研究者、Gunter Ollmann 氏は
「Asprox は
洗練された
ボットネットとは言えず、効率も決して良くない。しかし、それでも十
分な効果を発揮している」と述べた。Ollmann 氏によると、Asprox はインターネット上で発見した
脆弱な Web サイトに対して手当たり次第に SQL インジェクション攻撃を仕掛けるため、一つのボッ
トが同じサイトに対して何度も攻撃を行うこともあるという。
セキュリティ企業のトレンドマイクロによると、Asprox は 2008 年 7 月、全世界では最大 21 万件、
日本国内では約 1 万件の Web ページの改ざんに成功したという。当時改ざんされたサイトは不動産、
食品、自動車部品会社などの企業の他、大学や個人の Web サイトと、広い範囲にわたっている。現
時点で国内における被害は確認されていないが、今後国内においても被害が及ぶ恐れがあるとして同
社は警告を発している。
ユーザは「セキュリティ対策製品を使用し、かつ最新の状態に維持する」、「OS や各種アプリケ
ーションの脆弱性を速やかに修正する」、
「メールに記載の URL や添付ファイルを安易に開かない」、
「疑わしいサイトには容易に近づかない」などの対策を講じることが推奨される。
Copyright©BroadBand Security, Inc.
3
VISA、データ暗号化の実装に関するベストプラクティスを発表
昨今、国内外において個人情報やクレジットカード情報の漏えい・流出事件が相次いで発生してい
る。攻撃者は、こうした情報を取得するために様々な技術や手法を使用し、またそれら技術や手法は
年々進化を遂げているため、情報を守る側もそれに対応したセキュリティ対策を講じることが重要で
ある。
2004 年 12 月に策定されたクレジットカードの国際セキュリティ基準「PCI DSS」は、その後 2006
年 9 月にバージョン 1.1 へ、2008 年 10 月にバージョン 1.2 へ更新され、
現行のバージョンは 1.2.1(2009
年 7 月リリース、表記法の修正のみ)となっている。1.1 から 1.2 へのバージョンアップにおける変更
の一つとして、暗号化の強化が挙げられるが、これは米国における大規模なクレジットカード情報漏
えい事件が背景にある。同事件では、データ通信における暗号化に不備があったため、機密情報を含
むトラフィックが盗聴され、顧客情報を含むデータベースへの侵入に使用されてしまった。
データ通信におけるより強固な暗号化技術の実装が急務となる中、PCI DSS を運用管理する PCI
Security Standards Council (PCI SSC)の設立メンバーの一つである VISA Inc.は、2009 年 10 月 5
日、データフィールドの暗号化(エンド・ツー・エンド暗号化とも呼ばれる)の実装に関するベストプ
ラクティスをまとめたガイドラインを発行した。エンド・ツー・エンド暗号化を導入することで、ク
レジットカード情報をリーダーで読み取った(もしくはオンラインで受け付けた)瞬間から暗号化し、
万が一通信が盗聴された場合でも判読不可能な状態にしようというものだ。
VISA の推奨するベストプラクティスには、大きく 5 つの目的がある。
1. カード会員情報および認証情報が暗号時または復号時以外に平文で
取扱われる危険性を制限する。
2. 国際的または地域的な基準に基づいた強固なキー管理対策を導入、
実施する。
3. 国際的または地域的な基準に基づいたキー長および暗号化アルゴリ
ズムを使用する。
4. 暗号化を行うデバイスを物理的または論理的な攻撃から保護する。
5. 認証後に PAN(プライマリアカウント番号)を使用する必要がある
場合には、代わりにトランザクション ID やトークンを使用する。
VISA は、ガイドラインの冒頭部分で「単一のソリューションで不正行為を完全に排除することは
不可能である」と説明する。また同ガイドラインに記載された 14 のベストプラクティスは、PCI DSS
の要件に代わるものではなく、それらを「補足」するものであると強調した。
VISA Inc.：http://corporate.visa.com/index.shtml
Copyright©BroadBand Security, Inc.
4
米連邦捜査局、史上最大規模のフィッシング詐欺グループを起訴
2009 年 10 月 7 日現地時間、米連邦捜査局(FBI: Federal Bureau of Investigation)は同局の公式サ
イトにおいて、過去最大規模となるフィッシング詐欺グループを起訴したことを発表した。同フィッ
シング詐欺グループは、Bank of America や Well Fargo に銀行口座を持つ数千人のユーザから、少
なくとも合計 150 万ドルを盗み取ったとされている。
FBI では「Operation Phish Phry」と名付けられた大規模なサイバー犯罪調査を 2007 年から実施
している。2009 年初頭からは、この調査の一環として、米国とエジプトの当局が国際的なフィッシン
グ詐欺グループの摘発を目指した共同捜査を行っていた。今回の起訴は、同調査における大きな成果
だ。調査には他に、シークレットサービスや電子犯罪タスクフォース (ECTF：Electronic Crimes Task
Forces)も協力を提供している。
FBI のプレスリリースによると、米国で 53 人、エジプトで 47 人のフィッシャーがコンピュー
タ詐欺、銀行詐欺共謀、個人情報盗用、マネーローンダリング等の罪で起訴された(米国で起訴された
53 人のうち 33 人は既に逮捕されている)。有罪が確定した場合、最高で 20 年の禁固刑に処せられる
という。
起訴状によると、エジプト在住の複数のハッカーはフィッシング詐欺により入手した銀行口座番号
や関連する個人情報を使用して Bank of America および Well Fargo の口座へ不正に侵入し、侵入後
は米国側の協力者と連携して、それら口座の預金をあらかじめ開設しておいた別の口座へ非合法に送
金していた。米国側の首謀者は Kenneth Joseph Lucas、Nichole Michelle Merzi、Jonathan Preston
Clark の 3 人で、送金先となる口座を開設する役割を持つ「Runner(使い走り)」を数十名雇っていた
ことが分かっている。盗んだ預金の一部は、フィッシング詐欺を企てたエジプト側の首謀者に電子送
金されていた。
FBI 長官の Robert Mueller 氏は、「サイバー脅威と戦うためには、世界各国の当局や諜報機関、
大学、企業、ときには一般市民の協力が必要となる。場合によってはそれでも足りないくらいだ。(サ
イバー犯罪に加担しないよう)一人一人が十分に注意することが重要である。例えば、ファイアウォー
ルやウイルス対策ソフトウェアの使用、破られにくい強力なパスワードの設定など、家庭で使用する
コンピュータにも基本的なセキュリティ対策を講じる必要がある」と述べた。
Copyright©BroadBand Security, Inc.
5
ボットネットの増殖で「サイバー犯罪市場」に価格破壊が発生？！
米セキュリティ企業 Arbor Networks によれば、サイバー犯罪市場の敷居は年々低くなっており、
同市場に参入するハッカーが増える中で自身をアピールするには、価格競争に勝つことが重要になっ
ているという。つまり、どれだけ安くサービスを提供できるかが鍵となる。
攻撃技術および手法は益々進化している。特に脆弱なコンピュータを攻撃し、ボットネットに感染
させる技術は、より効率化、洗練化されているという。ボットネットに感染したコンピュータは、ス
パムメールの送信、機密情報の奪取、DDoS(分散型サービス運用妨害)攻撃などを行うための踏み台に
される。それら感染コンピュータは一元管理され、時には「Software-as-a-Service (Saas)」のように
第三者に対して貸し出されることもある。
DDoS 攻撃は、ライバル会社を倒すためや、正当な企業から金をゆすり取るためなどに使用される
ことが多い。最近では、2009 年初めに米国および韓国のサーバが大規模な DDoS 攻撃を受け、多数
の Web サイトがサービス停止を余儀なくされた。
数年前までは、攻撃者に DDoS 攻撃を依頼すると一日約数百ドルから数千ドルの費用がかかったと
いう。しかし最近は、破格の値段でサービスが提供されているようだ。Arbor Networks の主任セキ
ュリティ研究員である Jose Nazario 氏によると、DDoS 攻撃サービスの価格は一日当たり 100 ドル
程度になっているという。さらに、米セキュリティ企業 SecureWorks のセキュリティ研究員 Kevin
Stevens 氏は、ロシアのハッカーフォーラムでは 30 ドルから 50 ドルの間で取引されていると述べた。
ボットネットの貸し出し価格についてはどうだろうか。米 Symantec では、2008 年一日平均して
75,158 台、ボットネットに感染したコンピュータを検出した。前年と比較すると 31％の増加となっ
ている。このように供給量が増えたせいで、ボットネットも 2007 年以降、価格が落ち込んでいると
同社の Zulfikar Ramzan 氏はいう。また、Ramzan 氏は「安価になって、これまでの品質が維持
できていないケースもあるようだ」と述べた。
昨今の世界的な経済不況がサイバー犯罪市場における価格破壊の直接の原因になっているかどう
かについては、各社とも確証を得られていないが、少なからず何らかの影響を与えていると見ている。
Copyright©BroadBand Security, Inc.
6
Web サイトを狙った攻撃が継続 ∼ IPA、脆弱性対策の早急な実施を推奨
独立行政法人情報処理推進機構(略称：IPA)および一般社団法人 JPCERT コーディネーションセ
ンター(略称：JPCERT/CC)は、2009 年第 3 四半期における脆弱性関連情報の届出状況を取りまとめ
たレポートを公開した。
2009 年第 3 四半期に IPA へ届出のあった脆弱性は合計 170 件で、その内訳はソフトウェア製品に
関するものが 39 件、Web サイトに関するものが 131 件となっている。2004 年 7 月の届出受付開始
からの累計は、ソフトウェアに関する脆弱性が 994 件、Web サイトに関する脆弱性が 4,832 件と、
Web サイトに関する届出が全体の 80％以上を占めている。しかし、Web サイトの脆弱性の届出件数
は、2008 年第 4 四半期の 1,430 件をピークに、2009 年第 1 四半期は 801 件、第 2 四半期 386 件、第
3 四半期 131 件と、近年減少傾向にあるという。
Web サイトの脆弱性の処理状況については、2009 年第 3 四半期において IPA が通知を行い、サイ
ト運営者が修正を完了した脆弱性は 235 件であった。2009 年 1 月から 9 月末までに修正が完了した
と報告されている脆弱性は 779 件となっている。
しかし IPA によると、今年修正が完了したと報告されている 779 件の脆弱性について再検査を実施
した結果、15％(120 件)に「修正が不十分」や「別の箇所に脆弱性が存在する」等の問題が見つかっ
たという。
特にクロスサイトスクリプティングの脆弱性が発見された場合に、対策が十分でないケースが多く
存在した。同脆弱性はデータの出力処理に起因しており、一般的に出力処理が多数ある Web アプリ
ケーションでは、修正した以外の箇所にも同様の脆弱性が存在する傾向がある、と IPA は説明する。
IPA では、脆弱性の修正においては、修正を十分に確認することおよび別の箇所に同様な脆弱
性がないか確認することが重要だとしている。また、Web サイトの開発者に対しては、脆弱性を
作りこまないような Web サイトの企画・設計にあたることが必要であると勧告した。
さらに、2008 年頃からは古いバージョンのソフトウェアを継続して使用している Web サイトに関
する届出が増加しており、IPA では今四半期も Web サイト運営者やシステム管理者などに対し、既
に数件の注意喚起を行っている。脆弱性のあるソフトウェアを使用していると、そのソフトウェアを
狙った攻撃を受ける可能性があり、また近年は脆弱性の公表からその脆弱性を悪用した攻撃が発生す
るまでの期間が短くなっていることからも、パッチの適用やバージョンアップの対策を実施するよう
呼びかけている。
IPA: http://www.ipa.go.jp/
JPCERT/CC: http://www.jpcert.or.jp/
Copyright©BroadBand Security, Inc.
7
脆弱性の洗い出しはホワイトボックステスト方式が断然効果的？！
IT 業界団体の Web Application Security Consortium(略称：WASC)は、Web アプリケーションの
セキュリティに関する 2008 年度の統計データをまとめた「Web Application Security Statistics
2008」を公開した。この統計レポートは、WASC のメンバー企業らが 2008 年に実施した 12,186 件
の Web サイトに対するセキュリティ診断の結果に基づいており、
診断によって検出された合計 97,554
件の脆弱性が統計データとして使用されている。診断手法には、「自動スキャンツールによる機械的
な診断」、「ブラックテスト方式による診断」、または「ホワイトボックス方式による診断」のいず
れかが採用された。
脆弱性タイプ別に見た場合、最も多く検出された脆弱性はクロスサイトスクリプティングで全体の
39％を占めた。続く第 2 位は不注意による情報開示(32％)、第 3 位は SQL インジェクション(7％)と
なっている。なお、これら脆弱性が存在する Web サイトの割合については、次のような統計結果が
出た。
【脆弱性】
【脆弱性が存在するサイトの割合】
クロスサイトスクリプティング
38％
不注意による情報開示
65％
SQL インジェクション
13％
診断を受けた Web サイトの 6 割以上が情報を不用意に開示していることが分かる。情報の種類ま
では明らかにされていないが、この脆弱性により機密情報や個人情報が漏えいした場合、甚大な被害
につながる恐れがある。
また、同レポートでは、診断手法別での脆弱性検出率の比較を行っている。自動スキャンツールに
よる機械的な診断では、緊急
および重大レベルの脆弱性は 49.40％の確率で検出されたのに
対し、ブラックボックス方式による診断では 79.73％、ホワイトボックス方式による診断では 96.00％
の確率で検出されている。
さらに、診断手法別に比較すると、Web サイト 1 件あたりで検出される脆弱性の数については次の
ような統計が出ている。
・自動スキャンツールによる機械的な診断：平均 2.39 件
・ブラックボックステスト方式による診断：平均 18.29 件
・ホワイトボックステスト方式による診断：平均 86.09 件
言うまでもないが、歴然とした差である。
Copyright©BroadBand Security, Inc.
8
Web サイトの安全を確保するためには、まずそのサイトのセキュリティ状態を知る必要がある。で
ないと、適切な対策を講じることができない。自動スキャンツールによる機械的な診断は、時間もコ
ストも大してかからないという利点がある反面、網羅性に欠ける部分がある。脆弱性をきちんと洗い
出し、根本的な対策を実施するには、ホワイトボックステスト方式による診断が適しているだろう。
とはいえ、もちろんホワイトボックステスト方式も完璧ではない。ホワイトボックステストは静的
解析であるため、例えばセッション管理に関する脆弱性は検出が非常に困難である。これについては、
ブラックボックステストのほうがより高い効果を発揮する。このように、診断手法にはそれぞれメリ
ットとデメリットがある。よって、異なる複数の診断手法を上手く組み合わせて行うことが、最も効
果的であるといえよう。
また、攻撃手法は日々進化しているため、一度の診断で脆弱性が検出されなかったからといって安
心はできない。定期的な診断を実施し、常に状況を把握、適切な対応を講じることが必要である。
WASC: http://projects.webappsec.org/
Copyright©BroadBand Security, Inc.
9
IPA、中小企業における情報セキュリティ対策の底上げの必要性を指摘
行政独立法人情報処理推進機構(略称：IPA)は 10 月 27 日、「中小企業における情報セキュリティ
対策実施状況等調査」報告書を公開した。同調査は、中小企業の情報セキュリティ対策の実施状況や、
IPA が作成したガイドラインの活用効果などを把握し、今後の情報セキュリティへの取り組みに活用
することを目的に実施された。なお、同調査において、中小企業とは従業員 300 人以下の企業を
指している。
報告書によれば、情報化が進む傍らで、情報セキュリティ対策に対する認識が不十分である、イン
センティブやリソースに限りがあるために大企業と比較して格差が拡大する傾向にある等、様々な問
題を抱えている中小企業は多いという。また、中小企業では求められる対策も多岐にわたるため、大
きな負担になるケースも想定される。IPA では、こうした状況をふまえ、2007 年 10 月から「中小企
業の情報セキュリティ対策に関する研究会」を設置し、中小企業における情報セキュリティ対策水準
の向上を図る取り組みを実施している。
調査は、IPA が作成した「5 分でできる自社診断シート」をもとに訪問面接によるヒアリングを主
体として実施された。そのため、時間や予算の関係から調査対象は 60 社程度(結果的には 66 社)に絞
って行われた。
自社診断シートは、情報セキュリティ対策の最低限必要となる項目を前提に設計されており、70 点
が合格基準となっているが、調査対象となった 66 社のうち合格基準を満たしたのは 23 社(35％)であ
った。IT 活用がコアビジネスとなる特定企業 6 社(これらはいずれも IT リタラシが高い)を除くと結
果は以下のようになっている。
90 点台： 3 社
50 点台： 9 社
80 点台： 6 社
40 点台： 7 社
70 点台： 9 社
30 点台： 7 社
60 点台：15 社
20 点台： 4 社
自社情報シートは、情報セキュリティ対策に関する 25 問の質問に対して、対策実施の有無を答え
る形式となっている。最も実施率の低かった項目は次のとおり。
(実施率の低い順)
１．ノートパソコンを引出しに片付ける等、盗難防止対策をしている。
２．重要情報の流出や紛失、盗難があった場合、事故が発生した場合に
備えた準備をしている。
３．重要書類はパスワードロック等の盗難・紛失対策をしている。
４．重要情報をメールで送信する場合は暗号メールや添付ファイル等
重要情報の保護をしている。
５．会社のルールにする等、情報セキュリティ対策の内容を明確にしている。
10
Copyright©BroadBand Security, Inc.
(※注：１の質問に関しては、ノートパソコンを導入していない企業も「実施していない」と回答し
たため、結果的に実施率が低くなってしまっている)
ヒアリング結果からは、情報セキュリティに対する組織的な取り組みを実施している中小企業が少
ないことが明らかになった。また、調査対象企業の多くには、社内に情報セキュリティ対策に関して
豊富な知識や能力を有する人材がなく、外部の専門家との接点もほとんどないことが分かった。さら
に、組織の売上に貢献しないセキュリティ投資に関しては上層部が積極的ではないため、担当者が必
要性を主張しても経営層の理解を得られない、などの問題が浮き彫りになった。
ヒアリング結果で特に目立ったのが「セキュリティの重要性はある程度理解しているが、緊急に対
策が必要とは感じていない。同時に投資する余裕もない」という回答であった。IPA では、このセキ
ュリティ対策への優先度の低さこそが中小企業へのセキュリティ対策の課題であるとしている。
この報告書が公開されたのと同じ日、IPA は主に中小企業を対象とした情報セキュリティ学習ツー
ル「5 分でできる！情報セキュリティポイント学習」ツールを公開した。同ツールは、分野別・職位
別に合計 105 の学習テーマから構成されているため、自身または自社に合った学習が可能であるとい
う。
IPA では、同ツールが社内研修や自己学習など、情報セキュリティ対策の学習に広く活用されるこ
とを期待している。また、2009 年 3 月に公開した「中小企業の情報セキュリティ対策ガイドライン」
についても、今後引き続き普及、改善等を図り、中小企業の情報セキュリティ対策の向上に努めてい
く方針である。
IPA: http://www.ipa.go.jp/
11
Copyright©BroadBand Security, Inc.
マルウェア感染の被害に遭う Web サイトは 1 日に 7,000 件 ∼ Dasient 調べ ∼
米セキュリティ企業の Dasient は 2009 年 10 月 27 日、同年第 3 四半期におけるマルウェア感
染サイトの状況を調査した結果を公開した。Dasient は、元米 Google エンジニア 2 人と元
McKinsey コンサルタントにより設立された会社で、Web サイトをマルウェアによる攻撃から保
護するためのソリューションを提供している。
同社の発表によると、同社が 2009 年第 3 四半期(2009 年 7 月∼9 月)に検出した Web ベースの
マルウェア攻撃は 5 万 2,000 件(2009 年はじめに同社がマルウェア攻撃分析サービスを開始して
からの累計は 7 万 2,000 件)であった。
同社では、分析の結果、同四半期にマルウェアに感染した Web サイトは 64 万を超えていると
推定した。これをページ数に換算すると 580 万ページになるという。米 Microsoft が 2009 年 4
月に発表した、2008 年第 3 四半期におけるマルウェア感染ページ推定数は 300 万ページであっ
た。単純に考えると、この 1 年間でおよそ 2 倍に増えている。
Dasient の設立メンバーの一人である Neil Daswani 氏は、「毎日、約 7,000 サイトがマルウ
ェア感染の被害に遭っている」と述べた。また、Daswani 氏によれば、同期間にマルウェアに感
染した Web サイトの 39.6％が、マルウェアを駆除した後に再度マルウェアに感染していたとい
う。再感染率が高い理由としては、主に攻撃者が、自動化された攻撃ツールを使用して、多数の
Web サイトに存在しうる一般的な脆弱性を狙う
無差別攻撃
を行うからだと Daswani 氏は分
析する。そのため、脆弱な Web サイトは何度でも攻撃のターゲットとなってしまう。
2009 年第 3 四半期における Web ベースのマルウェア攻撃は、大きく 2 つに分けられる。マル
ウェア感染した Web サイトのうち、悪質な JavaScript が埋め込まれたものが全体の 54.8％、悪
質な iFrame が埋め込まれたものが 37.1％を占めた。それら以外の攻撃は、すべて合わせても
8.1％にしかならない。
マルウェアに感染した Web サイトの脅威については、Sophos や Symantec を含む多数のセキ
ュリティ企業が注意を呼びかけている。Dasient では、「Infection Library」という Web ベース
のマルウェアに関する情報提供ページを公開しており、同社がこれまでに検出した Web ベース
のマルウェア攻撃の総数や、週ごとの攻撃トップ 10 リスト、日ごとの攻撃トップ 3 リスト、攻
撃検出数の推移を示すグラフなどを掲載している。
なお、本稿の執筆時点で攻撃検出数を確認したところ 77,362 件に増加していた。
12
Copyright©BroadBand Security, Inc.
パスワードはこうして盗まれる！米 McAfee、機密情報窃盗の手口を暴く
米 McAfee の最先端ウイルス対策研究機関である Avert Labs より、パスワード窃盗行為の実態お
よび関連するマルウェアについて詳細に説明した「Inside the Password-Stealing Business: the Who
and How of Identity Theft(邦題：パスワード盗用の実態：個人情報を狙う犯罪者とその手口)」が公
開された。
ネットショッピングやネットバンキングの普及とともに、個人情報や認証情報(ユーザ ID・パスワ
ード)を狙う攻撃が増加している。同報告書によると、こうした犯罪の大半は、パスワードを盗み出す
マルウェアを使用して被害者のコンピュータに侵入し、機密情報を不正に得ているという。盗んだ情
報を活用して金銭を稼ぐことができるため、攻撃者にとっては魅力的なビジネスとなっているよ
うだ。
同社の調査によれば、2007 年から 2008 年にかけてパスワード窃盗型トロイの木馬の亜種が 4 倍近
く増加している。また、2006 年以降は、オンラインゲームを狙うマルウェアへの感染件数が増えてい
る。オンラインゲームのアイテムは、アンダーグラウンドなどで頻繁に取引されており、特に中国な
どでは、可能な限り多くの仮想通貨を収集し、世界中のオンラインゲームプレイヤーに売り捌いて収
入を得ようとする者が多数存在するという。
パスワード窃盗型トロイの木馬は、スパムメール、フィッシング詐欺、ソーシャルエンジニアリン
グ、またはブラウザ攻撃(Web サイトを閲覧しただけで感染する、いわゆる
ドライブ・バイ感染
と呼ばれるもの)等を介して散布される。
マルウェア感染に対抗すべく、様々なセキュリティ機器やソリューションが開発されているが、そ
れに合わせてマルウェアも進化しているため、終わらないイタチごっこであると、同社はマルウェア
対策の現状について説明する。例えば、ユーザ名をパスワードを組み合わせただけの認証要素では、
単純なキーロガーでそれらを簡単に特定されてしまう。しかし、ここに「秘密の質問」などユーザの
みが知りえる要素を追加することでセキュリティの強化を図ることが可能となる。秘密の質問に対し
て、予め登録されている答えの一部分のみを要求することで、キーロガーに答えを完全に傍受される
危険性を回避できるという。現在では、このように多要素認証を採用しているシステムは多く存在す
る。欧州では、トランザクション認証番号(TAN)を多要素認証の一要素として一般的に使用されてい
る。TAN は、単純にいうと、大量のワンタイムパスワードが書かれたリストのようなものである。ネ
ットバンキングの利用者は、トランザクションごとに、そのリストから番号を入力する。リストにあ
るどの番号から使用してもよいが、番号は一度きりしか使えない。
しかし、こうした対策が進むと、必ずそれを打破しようと攻撃側もマルウェア技術を進化させる。
前述の TAN の例では、TAN を盗むマルウェアをユーザのコンピュータに潜ませておく。TAN が入
力されると、マルウェアは TAN の送信トラフィックを傍受し、TAN が銀行のサイトへ送られるのを
阻止する。ユーザへは、「入力された TAN は無効です」といった偽のエラーメッセージを表示する。
こうして未使用の TAN は攻撃者に盗まれてしまう。
13
Copyright©BroadBand Security, Inc.
同報告書では、Sinowal、Zbot、Steam Stealer といった悪名高きマルウェアについても詳しく解
説している。ここでは紙面の都合上、それらの詳細については割愛するが、米 McAfee はこれらマル
ウェアがすぐに世界から廃絶される見込みはないと述べている。それどころか、簡単にマルウェアを
作成できるキットが流通しているため、今後もよりカスタマイズ化された、洗練度の高いマルウェア
による感染被害が広がることを懸念している。
企業においては、常日頃から適切なマルウェア対策を実施されることが推奨される。
同報告書は、英語、ドイツ語、スペイン語、フランス語、イタリア語、ポルトガル語、中国語、オ
ランダ語、日本語の 9 ヶ国語で提供されており、下記よりダウンロードできる。
http://www.mcafee.com/us/threat_center/white_paper.html
※筆者注：日本語の報告書は誤訳、未訳の部分が多く見られるため、できれば原文を読まれるこ
とをお勧めする。
米 McAfee サイト：http://www.mcafee.com/us/default.asp
S.Q.A.T. Security Topics
発行人
2009 年 10 月号
株式会社ブロードバンドセキュリティ診断ビジネス部
〒160-0023 東京都新宿区西新宿 8-5-1 野村不動産西新宿共同ビル 4 階
TEL : 03-5338-7417
著者：田澤
http://www.bbsec.co.jp/
本書の全部または一部を無断で複写複製（コピー）することは、著作権法上での例外を除き、禁じられており
ます。本書からの複写をご希望の場合はお手数ですが上記までご連絡下さい。
14
Copyright©BroadBand Security, Inc.
BBSec セキュリティソリューションご紹介
Managed Security Service
セキュリティオペレーションセンターG-SOC（ジーソック）
BBSec では、従来よりご提供していた Management Service に付加して、 MSSP （ Managed
Security Service Provider）機能をご提供する G-SOC を立ち上げました。これによりネットワークや
サーバといったシステムリソースの稼動監視・運用に加え、セキュリティデバイスの監視・運用・防御が
可能となり、お客様のシステム全般のトータル監視・運用とセキュリティ運用をワンストップでご提供す
る事を実現いたしました。
【サービス概要】
G-SOC でご提供するサービスは、 PCI DSS（ペイメントカード･インダストリー･データ・セキュリティ・ス
タンダード）でも推奨されている Web アプリケーション・ファイアウォールの監視・運用・防御を始め、従
前のファイアウォールや IDPS、今後お客様のニーズが増えることが予想される DB ファイアウォール、
DDoS 対策まで網羅したトータル・セキュリティ・オペレーションをご提供するものです。
【サービスフロー】
【Managed Security Service サービスご紹介 URL】
http://www.bbsec.co.jp/solution/mss.html
15
Copyright©BroadBand Security, Inc.

Download Report