SOC 情報分析レポート

2006 年 第 3 四半期
SOC 情 報 分 析 レポート
Copyright © 2006 Internet Security Systems K.K. All rights reserved
2006 年 10 月 15 日
編集担当
イ ンタ ーネット セキ ュリティ シ ステムズ株 式 会 社
セ キ ュリティオ ペレ ーション セ ンタ ー 情 報 分 析 チー ム
-1-
目次
1.
はじめに ..................................................................................................................... 3
2.
インターネット脅威状況の傾向........................................................................................ 4
2.1. AlertCon の推移 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・4
2.2. SOC での検知状況 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・6
2.3. SOC での通知状況 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・7
2.4. X-Force のアラートおよびアドバイザリ ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・8
3.
2006 年第 3 四半期の話題 ............................................................................................ 9
3.1. オフィスソフトに対するゼロデイ攻撃・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・9
3.2. P2P ファイル共有ソフトにおける著作権団体の動き ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・10
3.3. ボットネットとアドウェアソフトの関係 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・11
3.4. オンラインゲームとリアルマネートレード(RMT) ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・13
3.5. フィッシング詐欺による個人情報の収集 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・13
4.
SOC が注目する攻撃について ......................................................................................15
4.1. SSH と FTP へのブルートフォースアタック・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・15
4.2. ボットによる攻撃と仕組み・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・17
4.3. 受動的攻撃に利用される脆弱性 ・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・19
5.
まとめ........................................................................................................................20
-2-
1. はじめに
本レポートは、インターネットセキュリティシステム
SOC で把握しているこれらの情報は、パッチ適
ズが提供しているセキュリティ運用管理サービス
用やメンテナンススケジュールといった、セキュリテ
「マネージド セキュリティ サービス(MSS)」の世界
ィ対策を計画する際の一助になるものと考え、本
5 拠点(日本、米国 2 拠点、ベルギー、ブラジル)
レポートを作成致しました。
このレポートが、皆様のセキュリティ対策の一助
にある監視センター(セキュリティ オペレーションセ
となれば幸いです。
ンター:SOC)において検出されたデータをもとに
作成されています。SOC は、各拠点と密接に連携
してバーチャルにひとつの SOC として機能し、世
界規模での監視活動を日々行なっています。
これらの SOC には、訓練されたセキュリティエ
インターネット セキュリティ システムズ株式会社
ンジニアが常駐し、世界のどこで何が起きている
マネージド セキュリティ サービス部
かをリアルタイムに把握しながら、お客様のネット
セキュリティ オペレーション センター
情報分析チーム
ワークを 24 時間 365 日監視しています。
-3-
2. インターネット脅威状況の傾向
第3四半期のインターネット脅威状況の傾向と推移を、AlertCon、 SOC でのイベント検知状況、
X-Force のアラートおよびアドバイザリによって解説する。
2.1. AlertCon の推移
インターネット セキュリティ システムズ(株)では、SOC での監視データ、重要な脆弱性の公表、社会
的な動静情報から、インターネットの脅威状況を評価し「AlertCon™ (アラートコン)」として公表してい
る1。2006 年 7 月〜9 月までの AlertCon の推移は、図 1 の通りである。なお、AlertCon の各レベルは、
表 1 のように定義されている。
図 1
AlertCon の推移
表 1
AlertCon レベル
AlertCon の警戒値レベルの意味
対処方法が公開されている既知の攻撃を検出
AlertCon 1
警戒を必要とする攻撃の増加を検出
AlertCon 2
1
ISSKK ホームページ http://www.isskk.co.jp / Current Internet Threat Level https://gtoc.iss.net/
-4-
早急に対応が必要な、特定の脆弱性を悪用した攻撃の増加を検出
AlertCon 3
(Code Red、Nimda、SQL Slammer、MS Blast などの大規模な感染をも
たらすウイルス / ワーム及び DoS 攻撃など)
緊急に対応が必要な、極めて重大な影響を及ぼす脆弱性を悪用した大規模
AlertCon 4
な攻撃を検出
(システムデータの破壊、漏洩、使用不能、管理者権限の取得、Web 改ざん
が大規模に行われる可能性あり)
第3四半期は AlertCon 2 の評価が二回行われており、AlertCon 3、4 の評価は行われなかった(表
2)。 一回目は、Windows に対するリモートからのバッファオーバーフロー攻撃2が可能な脆弱性が
公表された際に、AlertCon2 の評価が行われている。Windows は世界的にも利用者が多く、発見され
た脆弱性が積極的に利用される傾向があることから、脅威レベルが高く評価されている。
二回目は、受動的攻撃3に利用される Internet Explorer の脆弱性が公表された際に、AlertCon 2
の評価が行われている。受動的攻撃は、特定の組織を狙った Targeted Attack (SPEAR)に積極的
に利用される傾向があることから、脅威レベルが高く評価されている。
表 2 AlertCon 2 の要因
AlertCon 2 期間:2006 年 8 月 8 日から 2006 年 8 月 21 日まで
脆弱性:Microsoft Server Service のバッファ オーバーフロー脆弱性
シグネチャ:XPU 1.81 2006 年 8 月 8 日 MSRPC_Srvsvc_Bo
SOC での検知状況:この脆弱性に対する攻撃は、数件確認されている。
詳細 URL: http://www.isskk.co.jp/support/techinfo/general/ms_server_service_232.html
対策:MS06-0404パッチを適用することにより解決する。
AlertCon 2 期間:2006 年 9 月 23 日から 2006 年 9 月 28 日まで
脆弱性:Microsoft Internet Explorer での Vector Markup Language のスタック オーバーフローの脆弱性
シグネチャ:XPU 1.84 2006 年 9 月 21 日 HTML_VML_Overflow
SOC での検知状況:この脆弱性に対する攻撃は、数件確認されている。
詳細 URL: http://www.isskk.co.jp/support/techinfo/general/ms_server_service_232.html
対策:MS06-0555パッチを適用することにより解決する。
2
3
4
5
予定したサイズ以上のデータをプログラムに入力し、メモリを溢れさせる攻撃
受動的攻撃とは,攻撃を受ける側の何らかの行動を“トリガー”にする攻撃
MS06-040 の解説 http://www.microsoft.com/japan/technet/security/Bulletin/MS06-040.mspx
MS06-055 の解説 http://www.microsoft.com/japan/technet/security/Bulletin/MS06-055.mspx
-5-
2.2. SOC での検知状況
第3四半期に SOC において検出したイベントの推移は図 2 の通りである。
最も検出数が多かったイベントは SSH_Brute_Force で、全体の 28%を占め、また、ボットに関連し
たイベントが、全体の 19%を占める結果となった(表 3)。
図 2 イベントの検出推移(2006 年 7 月〜9 月)
表 3 検知イベント TOP 10(2006 年 7 月〜9 月)
No
シグネチャ名
比率
解説
1
SSH_Brute_Force
28%
SSH に対するパスワードの推測
2
ASN1_Constr_BitStr_Heap_Corruption
19%
MS04-007 の脆弱性に対する攻撃
3
HTTP_Unix_Passwords
8%
パスワードを取得する試み
4
SMB_Empty_Password_Failed
8%
SMB に対するログインの失敗
5
HTTP_IE_MTML_Embed_Overflow
7%
Internet Explorer の脆弱性に対する攻撃
6
IRC_Join
5%
IRC(Internet Relay Chat)の利用。ボットの存
在が疑われるイベント
7
Winny_P2P_Detected
1%
P2P に関する通信
8
IMAP_Tag_Overflow
1%
IMAP への攻撃
9
URL_Data_SQL_char
1%
SQL インジェクション攻撃
10
SMB_Empty_Password
1%
SMB に対するブランクパスワードの使用
-6-
2.3. SOC での通知状況
SOC では、セキュリティエンジニアが IDS/IPS によって検知されたイベントを分析した上で、危険性
が高いと評価した場合に、これをお客様へ通知している。例えば「SOC での検知状況」で取り上げた
ASN1_Constr_BitStr_Heap_Corruption(MS04-007)というイベントは、ボットが頻繁に利用する攻
撃であるが、分析を行い影響が確認された場合に連絡を行っている。その為、検知状況と通知状況の
比率に違いが発生する。
第3四半期にお客様へ通知したイベントを、攻撃手法別に分類をおこなった結果が図 3 の円グラフ
である。
今期の攻撃手法では、全通知の34%を「オーバーフロー攻撃」が占めており、OpenSSL SSL2
master key buffer overflow6が目立った。
この脆弱性は、精度の高い攻撃コードが公開されており、また、インターネットからアクセスを許可して
いるサーバが多いことから、危険度の高い攻撃と判断している。
31%を「SQL インジェクション」による攻撃が占めている。この攻撃は以前より GUI ベースの攻撃ツー
ルが複数公開されており、また、この攻撃によるインシデントも確認されている事から、危険性の高い攻
撃であると判断している。
11%を占める「調査行為」では、パスワードファイルへのアクセスが目立った。この行為は Webmin7で
発見された新たな脆弱性によって、第三者による認証の回避ができる点を利用しており、危険であると
判断している。
10%を占める「ボットネット」では、 Windows の MS04-0078への攻撃が目立った。新たに発見された
攻撃は、ホームページ等で使用される Web サーバに対する攻撃であり、インターネットからアクセスでき
るサーバが多いことから、危険であると判断している。
5%を占める「パスワードの推測」では、SSH に加え、FTP に対する辞書攻撃も確認されており、危険
であると判断している。
6
7
8
OpenSSL SSL2 master key buffer overflow http://xforce.iss.net/xforce/xfdb/9714
Webmin および Usermin における認証回避の脆弱性 http://jvn.jp/jp/JVN%2340940493/index.html
MS04-007 http://www.microsoft.com/japan/technet/security/Bulletin/MS04-007.mspx
-7-
スパイウェア
1%
受動的攻撃
4%
P2P
0%
その他
4%
パスワードの推測
5%
オーバフロー攻撃
34%
ボットネット
10%
調査行為
11%
SQLインジェクション
31%
図 3 SOCが通知をおこなった攻撃手法の比率
2.4. X-Force のアラートおよびアドバイザリ
第3四半期は、X-Force から12件のアラートが公表されている9(表 4)。
表 4 第3四半期中にリリースされた X-Force のアラート・アドバイザリ
7 月 07 日
WebExActiveX コントロールによる DLL の挿入
7 月 12 日
DHCP クライアントの脆弱性によりリモートからのコードの実行が可能
7 月 18 日
AsteriskIAX2Protocol のサービス不能攻撃
7 月 18 日
IAX2 プロトコルサービス不能アンプ(増幅)攻撃
7 月 27 日
ISS 製品の SMBmailslot 解析に含まれるプロトコル解析バグ
7 月 29 日
Server ドライバの脆弱性によるサービス不能
8 月 09 日
MicrosoftDNS クライアントでの文字列バッファオーバーフローの脆弱性
8 月 09 日
MicrosoftDNS クライアントの ATMA バッファオーバーフローの脆弱性
8 月 09 日
MicrosoftServerService のバッファオーバーフロー脆弱性
8 月 09 日
MicrosoftDNS クライアントでの整数オーバーフローの脆弱性
9 月 15 日
MicrosoftInternetExplorer での DirectAnimationPathControl に関するアラート
9 月 20 日
MicrosoftInternetExplorer での VectorMarkupLanguage 悪用に関するアラート
9 X-Force® セキュリティアラート&アドバイザリ
http://www.isskk.co.jp/support/techinfo/X-ForceAlerts.html
-8-
3. 2006 年第 3 四半期の話題
ここでは、2006 年 第3四半期に話題となった報道や事件を振り返る10。
第3四半期では、オフィスソフトを狙ったゼロデイ攻撃などが話題として取り上げられた。また、ボットネッ
ト、フィッシング、リアルマネートレード等が話題となったが、注意深く見ていくと金銭的な目的で行われ
ていることを裏付ける事件が目に付くようになっている。
3.1. オフィスソフトに対するゼロデイ攻撃
最近では企業の情報を狙った攻撃手法として、オフィスソフトに対するゼロデイ攻撃が注目されている。
ゼロデイ攻撃とは、未知の脆弱性を狙った攻撃手法であり、発見や対策が困難な攻撃である。
昨年は動画再生ソフトや音楽再生ソフトおよび Web ブラウザに対するゼロデイ攻撃が確認されている
が、今年に入り、新たに Word や Excel といったオフィスソフトへのゼロデイ攻撃が目立つようになった。
オフィスソフトが狙われる理由として、会社で普段から利用しているため、警戒心が低く疑うことなく実行
される点に加え、ファイアウォールによるアクセスコントロールに制限されることなく内部ネットワークから
外部ネットワークへの接続が出来ることが考えられる。
第 3 四半期は 4 件のオフィスソフトに対するゼロデイ攻撃が確認されている(表5)。
表 5 ゼロデイ攻撃の一覧
2006 年 8 月 16 日
一太郎に対するゼロデイ攻撃11
2006 年 9 月 05 日
Microsoft Word に対するゼロデイ攻撃12
2006 年 9 月 13 日
DirectAnimation.PathControl(daxctle.ocx)に対するゼロデイ攻撃13
2006 年 9 月 19 日
Vector Markup Language(VML)に対するゼロデイ攻撃14
2006 年 9 月 27 日
WebViewFolderIcon(webvw.dll)に対するゼロデイ攻撃15
2006 年 9 月 28 日
一太郎に対するゼロデイ攻撃16
2006 年 9 月 28 日
PowerPoint へのゼロデイ攻撃17
話題をまとめるにあたっては、「セキュリティホール memo」を参考にした。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/
11 一太郎を狙うゼロデイ攻撃
http://www.itmedia.co.jp/enterprise/articles/0608/17/news072.html
12 またも MS Word にパッチ未公開のセキュリティ・ホール,ゼロデイ攻撃で発覚
http://itpro.nikkeibp.co.jp/article/NEWS/20060905/247233/
13 IE にパッチ未公開のセキュリティ・ホール,検証コードも公表
http://itpro.nikkeibp.co.jp/article/NEWS/20060914/248110/
14 IE にまたもやパッチ未公開のセキュリティ・ホール,ゼロデイ攻撃も確認
http://itpro.nikkeibp.co.jp/article/NEWS/20060920/248468/
15 7 月に見つかった IE のパッチ未公開セキュリティ・ホールを突くプログラム出現
http://itpro.nikkeibp.co.jp/article/NEWS/20060928/249241/
16 またもや「一太郎」のセキュリティ・ホールを狙うゼロデイ攻撃
http://itpro.nikkeibp.co.jp/article/NEWS/20060928/249289/
17 またもや PowerPoint にセキュリティ・ホール,ゼロデイ攻撃で発覚
http://itpro.nikkeibp.co.jp/article/NEWS/20060928/249226/
10
-9-
この中で注目すべき攻撃として、文章作成ソフトの一太郎に対するゼロデイ攻撃が挙げられる。
今までのゼロデイ攻撃は、インターネットエクスプローラなどの世界的に利用者の多いソフトが攻撃対象
となっていたが、今回は日本語ソフトの一太郎が攻撃対象となった。
このことから利用者が限定されるソフトであってもゼロデイ攻撃の対象となる為、危険性が拡大したと
考える。
ゼロデイ攻撃のような攻撃に対して、従来のシグネチャ・ベースの対策技術では、ゼロデイ攻撃を防ぐ
ことが難しい。弊社でもプログラムの挙動から攻撃を判断する振る舞い分析「VPS(Virus Prevention
System ) 」 や 、 バ ッ フ ァ オ ー バ ー フ ロ ー 攻 撃 を 検 出 す る 「 BOEP ( Buffer Overflow Exploit
Protection)」といった技術を開発し、セキュリティ製品「Proventia Desktop」18に実装している。 この
ような新たな検出技術もあるので参考にして頂きたい。
3.2. P2P ファイル共有ソフトにおける著作権団体の動き
世界的に P2P ファイル共有ソフトにおける著作権問題に対して裁判が行われるなど話題になってい
る。また、日本ではウイルスによる情報流出という独自の問題をも抱えている。
海外では、著作権保有団体からの圧力や裁判によって、相次いで P2P サービスが停止している。
9 月には eDonkey が音楽業界の圧力を受けサービスを停止19。これ以外にも米連邦地裁でファイル交
換ソフトの Morpheus が数百万人のユーザに音楽や映画などの著作権付き作品を無許可で共有する
ことを助長したと判断され、違法とする判決が下されている20。
フランスでは、この問題に対して著作権法の改正を行い罰則の強化を図った21。インターネット経由で
不正にファイルをダウンロードすることにより、5 年の禁固刑と 50 万ユーロの罰金を科すことができるとさ
れている。
日本では、P2P ファイル共有ソフトの開発者が著作権違反の幇助で裁判が行われ、9 月 4 日に結審
した。判決は12月13日に言い渡される予定である22。
世界的に著作権違反を軽視する風潮に対して、各国で規制の強化が行われているなか、日本における
P2P ファイル共有ソフトの今後を占う上で重要な判決になると考える。
18
「Proventia Desktop」(インターネット セキュリティ システムズ)
19
WinMX や Grokster などに続き、eDonkey が音楽業界の圧力を受けてサービスを停止した。
http://www.itmedia.co.jp/news/articles/0609/13/news084.html
20Morpheus
に違法判決
http://www.itmedia.co.jp/news/articles/0609/29/news103.html
21フランス憲法裁判所、新著作権法のさらなる強化を裁定──不正コピーには厳罰を
http://www.computerworld.jp/topics/gov/45249.html
22「警察に協力的すぎたのが問題だった」Winny 裁判の結審で金子氏がコメント
http://internet.watch.impress.co.jp/cda/news/2006/09/05/13199.html
-10-
一方、ファイル共有ソフトであっても合法的な目的で使われる機会が増えたソフトもある 23。このソフト
は匿名機能を備えないことで発信者が特定できる点に特徴がある。
このことからも、ファイル共有ソフトにおける匿名性によって、著作物を公開しても発信者の特定が難
しい為、告訴されることはないだろうという発想が、著作権違反の要因のひとつになっていると考えられ
る。今後の P2P 技術を考える上で、匿名機能の利用について考慮する必要があるだろう。
日本では、著作権問題以外にも P2P ファイル共有ソフトを介して感染するウイルスが問題になってい
る。このウイルスに感染するとコンピュータ内の情報が流出するため、社会問題になっている。
情報流出による具体的な被害として、ネットバンキングの ID とパスワード情報を不正に利用したとして、
2 件の不正アクセス事件が報道され24
25、総務省では、このような問題への対策として、新技術の開発
を行うと発表している26。その技術はファイルに電子的なマークを埋め込み、インターネットでの流通を
制御するものであるとされている。今後も同様の事件が発生する恐れがあるため、流出した情報への対
応が注目される。
3.3. ボットネットとアドウェアソフトの関係
今期も新たな脆弱性を狙ったボットがいくつか確認された。また、ボットネットを利用した犯罪に対して
裁判が行われ、その中で、攻撃対象や目的などについて報道された。
新たなボットとして、7 月には「Joomla」や「Mambo」が27、9 月には「Tikiwiki」や「Pmwiki」28など、
オープンソースの CMS(コンテンツマネジメントシステム)の脆弱性を狙ったボットが相次いで確認されて
いる。これ以外にも AOL Instant Messenger29やマイクロソフト製品の MS06-04030の脆弱性を狙った
ボットも新たに確認された。
最近の事例からも、ボットは特定の OS やアプリケーションに限定することなく常に新たな攻撃手法を
プログラムに組み込んでいることがわかる。そのため、インターネットに接続しているすべてのコンピュー
タが攻撃対象といえる。
BitTorrent、独立系配給会社のビデオ配信
http://www.itmedia.co.jp/news/articles/0607/12/news027.html
24「山田オルタナティブ」感染 PC から盗んだ ID でネットバンクに不正アクセス
http://internet.watch.impress.co.jp/cda/news/2006/07/03/12544.html
23
25
LimeWire でパスワード入手 郵貯口座から窃盗で逮捕
http://www.itmedia.co.jp/news/articles/0607/27/news118.html
26総務省が特定のファイルをネット上から消滅させる技術の開発を計画
http://slashdot.jp/security/06/08/23/0055230.shtml
サードパーティ製コンポーネントにも注意を――SANS が 2 種類のボットに警告
http://www.itmedia.co.jp/enterprise/articles/0607/18/news101.html
28 Tikiwiki や Pmwiki を狙うボットが登場
http://www.itmedia.co.jp/enterprise/articles/0609/07/news097.html
29 感染するとボットに――AIM ワームに警告
http://www.itmedia.co.jp/news/articles/0609/20/news035.html
30 Mocbot を追え――ボットネット調査が浮き彫りにする攻撃者の狙い
http://www.itmedia.co.jp/enterprise/articles/0608/21/news003.html
27
-11-
これ以外の問題として、今までのボットは感染したコンピュータに対して命令を行う場合、一般的に
IRC31の通信を利用することが SOC の調査によってわかっている。この通信は暗号化されていない為、
命令内容や接続先を確認することが出来る。しかし、Tor32と呼ばれる暗号化通信を利用したボットが確
認されており33、通信の暗号化が匿名性を向上させていると考えられる。
海外では、8 月にボットネットによって 5 万台のコンピュータを攻撃した犯人に懲役 3 年と賠償金 25
万ドルの支払いを命じる判決が報道された34。犯人はボットネットを利用して、広告を表示させるアドウェ
アを不正にインストールすることで 10 万ドル以上の広告収入を得ていたとされている。
別の記事によると、ボットネットを利用して、DollarRevenue と呼ばれるアドウェアソフトのインストール
によって広告収入を得ていたことが確認されている35。また、興味深い情報として、このアドウェアによっ
て得られる収入はインストールした地域によって変わり、アメリカでは一台につき 30 セント、日本では一
台につき 2 セント支払われていることがわかった。
ボットネットは、新たな脆弱性の利用や通信の暗号化を図るなど、ボットネットワークを維持することを
目的とした改良が日々行われている。これらの改良に犯罪者が躍起になる背景には、金銭的な利益を
得られることが原動力になっていると考える。
31
IRC とは、Internet Relay Chat の略であり、リアルタイムに文字ベースの会話を行うシステムのこと
32
Tor とは、The Onion Router の略で、匿名接続を実現するためのソフトウェアのこと
33
匿名システム「Tor」によるボットの通信を確認---セキュリティ組織
http://itpro.nikkeibp.co.jp/article/USNEWS/20060713/243289/
34 米国防総省攻撃「ゾンビキング」に懲役 3 年の判決
http://www.itmedia.co.jp/news/articles/0608/31/news017.html
35 Money Bots: Hackers Cash In on Hijacked PCs
http://www.eweek.com/article2/0,1895,2013957,00.asp
-12-
3.4. オンラインゲームとリアルマネートレード(RMT)
第 2 四半期ではオンラインゲームの RMT に関わる行為が、犯罪の高度化・悪質化につながっていく
と述べたが、この流れを証明するような事件が報道された。
7 月に、オンラインゲーム会社の元社員が在職中にサーバに不正アクセスを行い、不正に取得したゲ
ーム内通貨を RMT 業者に 1,400 万円で売却したことが報道された36。
また、8 月には、ユーザから自分のキャラクターのアイテムが紛失したという届けに対して調査したところ、
オンラインゲーム会社のサーバが外部からの不正アクセスを受け、36 万人のアカウント情報などが流出
する事件が発生している37。
この事件でも不正アクセスによって盗んだアイテムを RMT 業者に売却したものと考えられる。
これらの事件からゲーム上のバーチャルマネーがリアルマネーと取引され、多額の金銭が流通してい
ることを示す結果となった。
オンラインゲームのアカウント情報、ゲーム内通貨およびアイテムを狙った犯罪が今後もますます増加
することが予想される。
3.5. フィッシング詐欺による個人情報の収集
海外の話題に目を向けると、個人情報やクレジット番号を狙った新たなフィッシング詐欺が確認され
ている。また、背景として不正に収集された情報を取引する組織の存在が浮かび上がってきている。
フィッシング詐欺の新たな手口として、賞金を語るもの38やフィッシング警告を装うものが確認されてい
る39。多くの手口が存在する背景として、フィッシング・サイトを構築するためのツールが流通していること
が挙げられる40。これにより知識のない者であってもサイトが構築できるようになったことが影響していると
考える。また、フィッシングサイトの構築先として、無料のホスティング・サービスの利用が目立っている41。
無料のホスティング・サービスは、住所・氏名・年齢などを入力することで利用できるサービスである。偽
りのデータを入力しても確認が行われない為、事実上匿名で利用できることが背景にあると考える。
36「ラグナロク」のゲームマスター、自社サーバへの不正アクセスで逮捕
http://internet.watch.impress.co.jp/cda/news/2006/07/20/12720.html
37 情報流出は最大 36 万件超 「ローズオンライン」不正アクセス事件
http://www.itmedia.co.jp/news/articles/0608/11/news073.html
Google をかたるフィッシングが再び,今度は「500 ドルが当たりました!」
http://itpro.nikkeibp.co.jp/article/USNEWS/20060711/242946/
39フィッシング警告を装うフィッシング
http://www.itmedia.co.jp/enterprise/articles/0609/13/news016.html
40 フィッシング・サイトを作成した男が告訴される,「構築ツールを 150 ドルで販売」
http://itpro.nikkeibp.co.jp/article/USNEWS/20060818/245933/
41 フィッシング・サイトは無料のホスティング・サービスに巣食う
http://itpro.nikkeibp.co.jp/article/NEWS/20060829/246668/
38
-13-
技術的には、「Vishing」や「中間者攻撃フィッシング」と呼ばれる新たな手法も確認された。
「Vishing」とは、無作為に電話をかけ録音されたメッセージによって、相手を巧みに騙し、クレジット番
号や暗証番号の情報を盗み取る手口である42。
また、「中間者攻撃フィッシング」とは、情報の精度を高めるため、フィッシング・サイトに入力された情報
を一旦本物のサイトに送り、入力された情報に誤りがないか確認を行っているとされている。
攻撃手法も改良されており、攻撃がより巧妙になっているといえる43。
インターネットでの犯罪を考える上で、FBI の現役捜査官によって発表された情報が参考になる44。こ
のなかで、 CARDER と呼ばれる組織が存在し、クレジットカード情報の収集や売買・交換などを行っ
ていると発表された。
このような組織が存在することで、個人情報の売買が容易に行えるようになり、金銭的な利益と結びつき
ゃすくなりフィッシング詐欺を増長させていると考える。
42フィッシングが電話の世界を侵食−−米セキュリティ会社が警告
http://itpro.nikkeibp.co.jp/article/NEWS/20060711/242996/
43ワンタイム・パスワードでは防げない 中間者攻撃フィッシング が出現
http://itpro.nikkeibp.co.jp/article/USNEWS/20060713/243303/
44 FBI: Cybercriminals taking cues from Mafia
http://www.infoworld.com/article/06/08/07/HNcybercriminals_1.html
-14-
4. SOC が注目する攻撃について
SOCで観測される「インターネット脅威状況の傾向」で挙げた「SSH と FTP へのブルートフォースアタ
ック」「ボットネット」「受動的攻撃」を注目すべき出来事とし、以下に解説する。
4.1. SSH と FTP へのブルートフォースアタック
ブルートフォースアタックとは、機械的にアカウントとパスワードの組み合わせによるログインを試みるも
ので、バッファオーバーフローや、コマンドインジェクションといった攻撃を行わず、正規のユーザとして
システムを利用する。類似の攻撃として、「辞書攻撃」と呼ばれる手法もあるが、ここでは「辞書攻撃」もブ
ルートフォースアタックの手法としている。
ブルートフォースアタックは、常識的な対策を行っていれば成功する可能性は低い。それにも関わら
ず SSH や FTP へのブルートフォースアタックが頻発しているのは、想像以上に攻撃の成功率が高いも
のと思われる。
SSH ブルートフォースアタックで実際に使用された攻撃ツールを調べたところ、約 5500 種類のアカウ
ントと約 14000 種類のパスワードを含む辞書ファイルの存在を確認した。また、辞書ファイルの 90%が
「root」アカウントを標的としており、72%が「123456」のパスワードを使用してログインを試みるように設
定されていた(図4)。
情報セキュリティの常識ではあるが、root アカウントによるリモートからのログインを禁止するとともに、十
分に複雑なパスワードを利用する必要がある。
なお、今回の調査ではアカウントとパスワードの組み合わせに同一の文字列が使用されるケースを 41%
確認した。攻撃者は、管理者が新規でユーザを作成する場合、初期パスワードとしてアカウントとパスワ
ードを同一に設定することを想定して攻撃していると考えられる。
図 4 SSH ブルートフォースアタックが攻撃対象としているアカウントと使用されるパスワードの比率
-15-
SOC での検知データを調査したところ、FTP へのブルートフォースアタックは、多くが administrator
のアカウントに対して行われており、約 1800 種類のパスワードが使用されていることを確認した。パスワ
ードの中には日本人名のパスワードも含まれており、日本のサーバが狙われていると考えられる。
ブルートフォースアタックは、システムログに大量の認証エラーを残す。このため、システムログを確認
することで攻撃があったことを容易に知ることが出来る。
ブルートフォースアタックによる侵入を防ぐための基本的な項目を表 6 としてまとめた。特にインター
ネットからのアクセスを許可しているサービスについては、これらの対策を確実に行う事が重要となる。な
お、「IT Pro 今週のセキュリティチェック」にブルートフォース対策を寄稿しているので、あわせて参考
にしていただきたい45。
表 6 ブルートフォース対策
■システムのコントロール
・脆弱性が公表されていないバージョンを利用する(一般に最新版)
・認証に公開鍵認証等を使用する。(SSH の場合)
・接続を許可する IP を限定する
・繰り返し認証が失敗した場合に一定時間アカウントをロックし、管理者に通知する
■アカウントのコントロール
・接続を許可するアカウントを限定する
管理者権限(特に root や administrator)での接続を禁止する
・使用していないアカウントを無効にする
・システムの設定やツールを使って複雑なパスワードを強制する
大文字、小文字、数字、記号を組み合わせた、十分に長い文字列(一般に8文字以上)
・定期的なパスワード変更を強制する
45
IT Pro パスワードの重要性を再認識せよ〜“破り方”を知り,対策に役立てる〜
http://itpro.nikkeibp.co.jp/article/COLUMN/20060513/237782/
-16-
4.2. ボットによる攻撃と仕組み
2006 年第 3 四半期の話題でも触れたが、新たな脆弱性を利用したボットが相次いで発見されている。
ボットネットによって可能な動作を見て行くと、あらゆるネットワーク犯罪に利用可能であることがわかる
(表7)。
例えば、スパムの送信はフィッシング詐欺メールの送信に利用可能であり、また、リアルマネートレードと
いう視点で考えると、オンラインゲームの ID 情報をネットワークトラフィックの盗聴やキーボードの入力値
を収集することで盗み出すことが可能である。
表 7 ボットネットによって可能な動作46
■情報の収集機能
・ネットワークに流れるトラフィック情報の収集
・キーボードからの入力された情報の収集
■攻撃
・DDoS 攻撃
・IRC チャットへのサービス妨害
■その他機能
・スパムの送信
・ポップアップ広告をクリックすることによる収入
・オンラインゲームの操作
ボットネットの感染活動について、ハニーポッド47を利用して 9 月 9 日〜10 月 19 日の約 1 ヶ月の期
間を調査対象とし、確認を行った。
調査の結果、システムへの侵入は多くが脆弱性を利用して行われていた。侵入後は本体である実行フ
ァイルをインターネットから侵入したシステムへコピーすることで感染活動が行われる。実行ファイルのコ
ピーには FTP と TFTP のプロトコルが約 80%を占め(図 5)、感染後の命令は、IRC のトピック48という機
能を使用して実行されることが判明した。
46 Know your Enemy:Tracking Botnets
http://www.honeynet.org/papers/bots/
47不正アクセスの挙動を調査するために設置されたおとりのシステム。今回は
48
WindowsOS にて構築した。
トピックとは、そのチャンネルが現在どんな話題を扱っているかを示すのに使用される機能
-17-
感染元への
逆接続
1%
感染元からの
TCP接続
21%
感染元への
FTP
46%
感染元への
TFTP
32%
図 5 実行ファイルのコピー方法(調査期間 9/9 13:00-10/19 18:00)
この調査結果から、感染活動に必要な実行ファイルのコピーを防止するため、内部ネットワークから外
部ネットワークへの TFTP と FTP の通信を制限することや、IRC の通信を制限することで被害の軽減が
図れると考える。また、ボットネットからの攻撃を防ぐにはセキュリティパッチの適用など基本的なセキュリ
ティ対策を実施することが重要である。
-18-
4.3. 受動的攻撃に利用される脆弱性
受動的攻撃とは、攻撃を受ける側の何らかの行動を トリガー にする攻撃である49。
2006 年第 3 四半期の話題でも触れたが、最近ではオフィスソフトを狙った攻撃も確認されており、危
険性が強く認識されるようになった。
SOC では主に Web ブラウザに対する受動的攻撃が観測されている。ここでは、今期の観測データを
もとに攻撃で利用された脆弱性についてまとめた(表 8)。受動的攻撃で最も多く検知しているのが、
MS06-001 に対する攻撃であり、71%を占めている。
表 8 受動的攻撃で使用される脆弱性
検知比率
パッチ番号
概要
71%
MS06-001
Graphics Rendering Engine の Windows メタファイル (WMF) の画像形式を処理する
方法にリモートでコードを実行される脆弱性が存在する。
16%
MS05-002
カーソル、アニメーション カーソルおよびアイコンのフォーマットが処理される方法に、リモート
でコードが実行される脆弱性が存在する。
9%
MS06-055
Microsoft Windows に実装された Vector Markup Language (VML) に、リモートでコー
ドが実行される脆弱性が存在する。
4%
MS06-057
WebViewFolderIcon ActiveX コントロール (Web ビュー) が起動された際の、入力パラメ
ータの不適切な検証のために、Windows Shell にリモートでコードが実行される脆弱性が存
在する。
受動的攻撃は次のような手順で行われる。
① 攻撃者が、脆弱性を悪用する Web サイトを用意し、スパイウエア・ボット等を用意する
② 匿名の掲示板やメールを利用し、被害者を Web サイトへアクセスするよう誘導する
③ 被害者が誘導に従って Web サイトにアクセスする
④ 被害者が利用するシステムに脆弱性がある場合、コードが実行され、攻撃者が用意したスパイウ
エアやボットなどに感染する
なお、著名な Web サイトを改ざんする場合や、Web サイトを用意せずにメールに攻撃コードを添付す
る手口もあるため、注意する必要がある。
受動的攻撃を防ぐには、IPS、Web フィルタリング、アンチウイルス、アンチスパムといったネットワーク
レベルの対策に加えて、すべての PC に確実にパッチを適用することが必要となる。
なお、Web ブラウザやメール・ソフトの設定によっても、受動的攻撃に対する耐性が大きく異なる。
具体的なソフトウェアの設定については、「ブラウジングと電子メールの安全性を強化する50」が参考に
なる。
49
50
IT Pro 「受動的攻撃」に気をつけろ〜その実態と対策〜
http://itpro.nikkeibp.co.jp/article/COLUMN/20060408/234847/
Microsoft ブラウジングと電子メールの安全性を強化する
http://www.microsoft.com/japan/security/incident/settings.mspx
-19-
5. まとめ
今後のインターネット上の脅威を考える時に、
つにしても、コピー(複製)することで可能である
昨今の動向ではフィッシング詐欺などによるクレ
為、盗まれたことを発見することは、現実社会と
ジット番号の収集が注目すべきポイントと考えま
比べて難しいと考えます。このような現状を理解
す。
し、インターネット上の脅威に対して対策を検討す
る必要があると考えます。
今回の分析レポートをまとめるにあたって、フィ
ッシング詐欺によるクレジット番号の収集に関わ
インターネット セキュリティ システムズでは、こ
る話題を調べてみると、 CARDER と呼ばれる組
のような情報セキュリティに対する脅威がビジネス
織によって仲介され、情報の売買や交換が行わ
に与えるリスクを軽減するために、予防を前提と
れている事例を確認しました。例えば、クレジット
したセキュリティ対策を、現実的な方法で実現す
カード番号などは一枚 10 ドルから 150 ドルで売
る必要があると考えており、その対策モデルとし
買されています。また、金銭ではなく、攻撃ツール
て 「 Proventia
と交換される場合もあります。このようにクレジッ
Platform)」と呼ぶ手法を提唱しています。
ESP ( Enterprise
Security
ト番号などの個人情報が闇市場において、現金
SOC では、Proventia ESP を実現するために
のように扱われるようになっています。このことが
「マネージド プロテクション サービス」と「マネージ
インターネット上の犯罪を助長させていると考えら
ド プロテクション サービス for SMB」 の 2つの
れます。
サービスを提供しています。
インターネット上の犯罪行為が行われる背景と
これらのサービスでは、Proventia シリーズを利
して、FBI の Thomas X Grasso 氏は、「銀行強盗
用して、専門技術者が 24 時間 365 日 監視
によって得られる収入は平均して 3000 ドルであ
/運用/管理を行います。ビジネスに与えるリス
るが、非常にリスクが高い。しかし、フィッシング
クを軽減させるための手段として利用をご検討い
詐欺はだれもが何十万ドルという収入を得ること
ただければ幸いです。
インターネット セキュリティ システムズは、社会
ができる」とスピーチしています。
的な基盤へと成長した情報システムを守るため、
過去の日本の情報セキュリティ犯罪を確認して
も、同じことが言えると思われます。また、インタ
高度化・多様化を続ける脅威に対して、常に
ーネットの匿名性を利用することで犯人が逮捕さ
Ahead of the threat™. を実現する製品とサービ
れるリスクが低いことも要因のひとつであるでしょ
スを提供することで、情報社会の発展を支援して
う。
いきたいと考えています。
インターネットでの犯罪は、盗むという行為ひと
-20-
(c) 2006 Internet Security Systems K.K. All rights reserved.
Internet Security Systemsは IBM Internet Security Systems, Inc.の商標 Internet Security Systems のロゴ、およびX-Forceは
同社の登録商標です。各社の社名および商品名は、各社の商標または登録商標です。本書の記載事項および内容は予告なし
に変更される場合があります。
掲載内容の無断転載を禁じます。
2006 年
10月