攻撃パターン（その２）スパイウェア・ボットの特徴「トロイの木馬」的攻撃パターンとは「暗号とセキュリティ」（第１０回目）今井慈郎（[email protected]）外部からの攻撃とは？その１ • DoS攻撃 DoS(Denial Of Service)：システムが提供するサービスの「妨害」や「機能停止」を図る攻撃．サービス妨害の代表：(1)過負荷をかけるもの，(2)例外処理ができないもの等． • DDoS攻撃 DDoS(Distributed Denial Of Service)：DoS攻撃を行うマシンが単独であれば，そのマシン(IPアドレスは既知)からのパケットを遮断することも可能．しかし，DoS攻撃を行うマシンがネットワーク上に分散している場合をDDoS と呼ぶ．これは防御が難しい攻撃手法の代表． DDoS：千台〜数万台といった多数のホストから「一斉攻撃」を受けるため，サービスやネットワークが停止．しかも，DDoS攻撃の原因と攻撃したホストを特定しようとしても，攻撃側は第三者のホストに操られているだけで，特定が非常に難しい．また，「踏み台」となったホストの管理者もDDoSのモジュールが埋め込まれ踏み台にされていることを気づかない場合もある（攻撃側の特定は困難）．出典 http://www.ipa.go.jp/security/fy14/contents/soho/html/chap1/dos.html 外部からの攻撃とは？その２ • ポートスキャン本来の目的：管理者が，ネットワークで使用したいポートの状態を確認する行為．・・実は某先生も「研究」として実施クラッキング手法：サーバに対して多様な手段で接続を試み，弱点を探して攻撃のためのデータを取得（パッケージ化されたソフトが流通）．少しでもPCがポートスキャンを受けている恐れがある場合，一般ユーザ：OSやアプリケーションの（既知の）脆弱性の問題を悪用される前に，アップデートやアンチウィルスソフト導入が必要．システム管理者：ルータやファイアウォールといったネットワーク機器を適切な設定が必要．ポートスキャン後の被害（の危険性）を低減することが望ましい．外部からの攻撃を分類すると・・ ① サーバやPCのサービスや操作（活動）を機能不全に貶める目的の攻撃パターン ② サーバやPCへの侵入を目的として，その侵入経路や対象を探る目的の攻撃（というより「斥候」or 調査）パターンどちらも攻撃を受ける側は困難に直面するが，後者は以下でも説明するように，より深刻なダメージを受ける危険性が高い．特に後者は「侵入」されることの危険性が問題．では「侵入」されると・・・外部からの攻撃の後，侵入を受けるとどうなるか・・内部からの攻撃とは？その１ • トロイの木馬被害者（となるユーザ）が自ら，ダウンロードしたプログラム実行形式のファイル(Windowsであれば.exe)を実行し，悪意ある動作を開始するプログラム(自己増殖機能がない場合もあるので，ウィルスとは呼ばない)．ギリシア神話に登場する「トロイの木馬」に由来． • バックドア型：被害者の認識を経ずインストール・実行される遠隔操作のためのプログラム(ワーム)．最も危険なトロイの一種．RAT(Remote Administration Tool)と呼ばれ，OSの管理者権限を有するかの振る舞いで，比較的低い検知率． • パスワード窃盗型：被害者のマシン上のあらゆる種類のパスワード，IPアドレス，被害者のマシンの詳細な情報などを収集．電子メイル等の通信手段を用い，攻撃者へ送信．「トロイの木馬」の物語（出典：ギリシャ神話「岩波新書」）ギリシャ軍はトロイ軍と10年間消耗戦を続けてきたが、ある日、トロイ軍がギリシャ軍陣地を見ると、ギリシャ軍は巨大な木馬を残して全部退却してしまった(ように見えた)。トロイ軍は自軍の勝利と思い込んで、木馬を戦利品として城内に引き入れ、盛大な戦勝の宴を催した。しかし、実はこの木馬の中にはギリシャ兵が隠れており、トロイ軍が酔い潰れた夜中に木馬から出て城内からトロイ軍を総攻撃し、かくてトロイは滅亡させられてしまったという。 2009年4月9日：音楽ファイルに寄生するトロイの木馬．ネットにつながらない(ウイルス対策ソフトが出す警告が消えない)． 2009年9月7日：Firefoxを狙う偽 FlashPlayerが，実はトロイの木馬． Flashだと思ってインストールすると，ユーザがGoogleで検索した内容を記録し，外部のサーバに送信する．内部からの攻撃とは？その２スパイウェア(spyware)：ユーザの行動や個人情報などの収集，マイクロプロセサ空き時間借用(予め設定された)による計算実行などを行うアプリケーションソフト．実行結果より取得データはスパイウェア作成元(マーケティング会社や個人など)に送付．狭義のスパイウェア：知らないうちに勝手にPCにインストールされ，スパイ活動を行うプログラム．スパイ活動とは，PC内に存在する情報・アクセス情報・PCに対する操作の情報(パスワードなど)を許可無しに第三者に送信する行為．広義のスパイウェア（マルウェアという呼称あり）：知らない内に勝手にPCにインストールされ，ユーザに「害」を与えるプログラム全般．ウィルス等も含む広義のスパイウェア．狭義のスパイウェア(No1) 狭義：入力情報・閲覧履歴などユーザ行動履歴（個人情報）を外部に送信するソフトウェア次も「スパイウェア」に含む場合あり • ユーザ操作の監視(キーロガーKeylogger) • コンピュータ内特定ファイルの検索・無許可での転送(「Winnyを悪用した情報流出」を参照) • ブラウジング中に特定サイトの強制的表示(ブラウザハイジャッカ) 狭義のスパイウェア(No2) 「あなたのブラウザ、乗っ取られていませんか？」 ― 見知らぬページが勝手に開くようになったら即対処！ ― 出典： http://www.ipa.go.jp/security/txt/2009/09outline.html 情報処理推進機構セキュリティセンター(IPA/ISEC) 狭義のスパイウェア(No3) (a) 無断で特定広告を画面表示(アドウェアAdware，ポップアップ広告) (b) 無断で国際電話・ダイヤルQ2へダイヤルアップ接続(ダイヤラ) (c) 無断で特定プログラム等のダウンロード(ダウンローダ，自動インストールの場合も) (d) ユーザのサーバ・PCに重大欠陥ありと偽りメッセージの表示・ソフト購入の要求これってスパイウェア？ • ソフトウェアベンダーによる「不正使用を防ぐ目的での情報取得」(reading) • ツールバーによる「検索キーワードの送付」 (writing) • ツールバーによる「検索結果に対するアクションのデータ送付」(writing) • 動画再生ソフトによる「対象調査のための統計データ送付」(writing) （正当？な）スパイウェアが読出す情報 ① 個人情報 (メイルアドレス，本名，住所，電話番号・・) ② Web上での秘密情報 (クレジットカード番号，ID，パスワード・・) ③ PC使用履歴 (どのような情報を入手したか，どのようなソフトがインストールされているか・・) ④ ブラウザ使用履歴 (閲覧サイト情報，クリック対象の情報・・) ③④は主として情報取得のため・・もちろん許可無く実行するのは犯罪 Cookieとスパイウェアの「悩ましい」関係 • まず「Cookie」について：ウェブブラウザのユーザに関する情報をクライアント側に記録する技術． • 電子商取引等を利用する際，既入力情報の繰返し入力を簡単化できる利点あり（メモリ機能を活用） • Cookieを利用すれば，ユーザに無断で，複数サイトにまたがって同じCookieの内容を追跡する手法が可能． • 複数サイトに広告を配信するWebサーバでは，閲覧ユーザ毎にユニークなIDをCookieとして発行，「いつ・どこのサイトの，どのバナー広告を見たか」を広告配信用Web サーバで情報収集可能． • Cookieの有効期限が切れるかユーザが削除しない限りこのIDによる記録は可能 Cookieとスパイウェアの「悩ましい」関係２ • Cookieの行為自体に問題なし．しかし，一部にはウェブサイトの閲覧履歴そのものを記録するトラッキングクッキー(tracking Cookie)として利用できる場合あり． • その仕組みを使い，スパイウェアでは自身で用意したCookieを使用し，ブラウザに導入，サイト閲覧の際にサーバに送信することで，巧みに個人情報を送信（スパイウェア側が送信or受信・格納）するメカニズムを実現可能．スパイウェア侵入（感染）経路 • 他の有用プログラム中に，スパイウェアコンポーネントを隠しておく方法：スパイウェア含有プログラムは無料ダウンロード可能という場合も多い．利便性をユーザにアピール． • OSやブラウザのセキュリティホールを利用する方法：ウェブサイト閲覧中に欠陥や安全上の問題をついて，コンピュータ内に侵入． • ウィルス・電子メイルに添付されたプログラムを不注意などで実行，ダウンロード：配信元を匿名とし，迷惑メイル中継機能など含む場合あり．スパイウェアを敢えて分類すると ① サーバやPCに侵入し，ユーザ情報などを「秘密裏に」取得する窃盗型．情報取得が第一の目的． ② サーバやPCに侵入後，サーバやPCを破壊・遠隔操作などを行う乗取り・破壊型．ウィルスやボットなどがこのパターン．・・マルウェアと分類どちらも被害は大きいが，②はより直接的 http://www.higaitaisaku.com/spyware.html http://ja.wikipedia.org/wiki/スパイウェア参考マルウェア(Malware) • 「悪意のある(Malicious)」「Software」的な合成語．ウィルス・ワームが代表例．クラックツール，スパイウェア，悪質なアドウェアなどを含む場合あり． • サーバ・PCの処理を妨害し，データやシステムの改竄(ざん)によりマシン内部に悪影響を与えるもの多数． • マルウェアの中には，システムの設定ファイルなどを書き換え，利用者の処理をあまり妨げずに潜伏し続けるものあり．インターネット接続時には，マルウェア自体の二次頒布・クラッキング許容などバックドアとして機能する場合も少なくない．情報漏洩などの二次被害の危険性あり．ハッキングとクラッキング • ハッキング（hacking）：コンピュータのハードウェア・ソフトウェアの仕組み等を研究・調査する行為．ハッキング自体は「高い技術レベルを必要とするコンピュータ利用」といった意味あいで使用．善悪の要素を持たない． • クラッキング（cracking）：破壊などを伴い他者に迷惑をかけるもの，秘匿されたデータに不正にアクセスするものなど，悪意・害意を伴う行為．「クラッキング」という表現は，「ハッキングの能力を，悪意・害意を伴って使用」する好ましくない行為と考えられる．内部からの攻撃とは？その３ボット PCなどに「害」をもたらす悪意的なプログラム（マルウェア）の中で，感染したPCに対して害を与えることを主な目的としたプログラムの総称．ネットワークを通じて侵入し，害をもたらすという点で，広義のウィルスに該当． 2002年頃から顕在化．サーバやPCを遠隔で自在に操作する（ロボット制御）意味で「ボット」と呼称．内部からの攻撃とは？その３−２ボットのプログラムは既存ウィルスの活動パターンの組み合わせが主体．ウィルスが広く感染することを目的に動くのに対して、ボットは感染したPCに深く関わり（害を集中し），そのPC を悪用することを主眼としているところがこれまでのウィルスとの相違点．ボットは侵入したPCの内部から，外部クラッカ＊と通信し，遠隔操作する．＊クラッカ（ー）：攻撃が主体であるためハッカ（ー）と区別内部からの攻撃とは？その３−３感染後の動きとして，サーバやPCが乗っ取られた結果， ①他のサーバ（PC）などに対してDoS攻撃を仕掛ける ②スパムメイルの踏み台となり，スパムメイルの発信元（転送・中継を含む）となる ③新たに感染元になって他のサーバやPCを攻撃するなど，サーバやPCのユーザが，知らず知らずの内に加害者になってしまう点が大きな特徴．（外部からみれば，当該マシンが犯行に及んでいると認識されるので．③はウィルス系の特徴とも言える）ボットネットワークの脅威 • ボットウィルスに感染したコンピュータ(群)は，攻撃者が用意した指令サーバなどに自動的に接続され，数十〜数百万台のボットウィルス感染コンピュータ群を従えた「ボットネットワーク（BotNet）」と言われる巨大ネットワークを形成． • 感染コンピュータは，攻撃者からの命令を待機し，命令により，攻撃者の意のままに数十〜数百万台の感染コンピュータ群が操作され，フィッシング目的などのスパムメイル大量送信，特定サイトへの DDoS攻撃などに利用され、大きな脅威．「フィッシング」「スパムメイル」は次回ボット侵入（感染）経路 • ネットワーク感染型：Windows等の基本ソフトや、その他のプログラムのセキュリティホールや設定の不備を悪用し感染．インターネット等のネットワークに接続するだけで感染する． • メイル添付感染型：メイルの添付ファイルをクリックし感染． • Web閲覧感染型：ブラウザで閲覧したホームページに埋め込まれたウィルスをダウンロードして感染．ホームページを見ただけで感染する場合あり． • Web誘導感染型：迷惑メイルのURL等をクリックしアクセスしたホームページからウイルスをダウンロードして感染． • 外部記憶媒体感染型：USBメモリ，デジタルカメラ，ミュージックプレーヤーなどの外部記憶媒体を介在して感染．ボットの特徴（No1） • ボット感染後も従来のウィルス・ワームと比較して特別な症状が現れないことが多い．感染前との差異を感じることなくコンピュータを使用．感染をユーザに気付かせない場合も多い． • ボット自身を自動的にアップデートする機能を使い，新機能の追加，自身の不具合修正が可能．アップデート周期は短かく(数週間程度か)，ボットの発見が困難な要因． https://www.ccc.go.jp/bot/ ボットの特徴（No2） • ボットのソースコードやボットを簡単に作成するツールがインターネット上で公開．あるボットをモデルにした亜種が数多く作成可能．亜種の多さがウィルス対策ソフトによるボット駆除を困難する要因． • 従来，ウィルス作成者は愉快犯が多かったが，ボット作成者の場合，ボットネットワーク構成すると，時間単位で迷惑メイル配信会社への貸出しや，盗んだ個人情報の販売など，ボットの犯罪利用で，利益を得ることを目的．ボット感染後の活動（破壊行為）１ • 迷惑メイル送信：感染コンピュータを踏み台にし，迷惑メイルの中継送信を実行．ユーザに気付かれないよう，１つのコンピュータからは少量メイルが送信されるだけだが，数万台規模のボットネットを利用するため，大量メイルを送信可能． • DoS攻撃：特定のWebサーバに大量パケットを送信し，サーバ機能を麻痺させる(利用不能DoS)ことで，サービスを妨害．迷惑メイルの送信と同様，１つのコンピュータが送信する攻撃データは少量ながら，ボットネットによって数十万台〜数百万台から攻撃データを送信可能なため，大規模なサーバであっても攻撃は脅威．ボット感染後の活動（破壊行為）２ • ネットワーク感染(二次頒布)：迷惑メイルやDoS攻撃に利用するコンピュータの増員(ボットネット構築)のため，他のコンピュータのセキュリティホールを狙った感染拡大活動を実行．ボットはセキュリティホールを持つコンピュータを乗っ取り，ボットに感染させるためのプログラムを送付． • ネットワークスキャン：ネットワーク感染を進めるため，セキュリティホールを持つコンピュータの情報をインターネット上で収集．ポートスキャンによって収集された情報を使い，次の感染対象とする(二次頒布する)コンピュータを選出．ボット感染後の活動（破壊行為）３ • 機能変更：自身を自動的にアップデートする機能を使い，新機能の追加，自身の不具合修正を実行．攻撃者からの命令を仲介する「指令サーバ」がウイルス駆除などで使用不可となる場合に備え，新しい指令サーバへの変更・準備も実行． • スパイ行為：キーボードの操作履歴や、コンピュータに保存されている情報を外部へ送信します。このため、クレジットカード番号やID、パスワード等を盗み出し，メーラのアドレス帳に登録しているアドレスや個人情報の収集，その後，指令サーバの命令を受け，コンピュータ内情報が外部流出．「Winny」とこれを悪用した情報流出・著作権侵害 • WinNYという名前：開発当時に流行していたファイル交換ソフト「WinMX」の次を目指すという意味合いに由来 • 2002年5月6日，電子掲示板サイト「2ちゃんねる」のダウンロードソフト板でベータ版が公開 • 元・東京大学大学院情報理工学系研究科助手の金子勇(氏) が開発・配布者．後に、著作権侵害行為幇助の疑いで逮捕 • Winny は、ファイル共有に中央サーバを必要としないピュア P2P方式で動作． • それ以前の「P2Pファイル交換ソフト」では，各クライアントの情報をサーバに集積する様式（ハイブリッドP2Pモデル）が主流であったため，サーバ非稼動時には利用できないという問題あり．「Winny」とこれを悪用した情報流出・著作権侵害（その２） • 従来問題の改善により，Winnyは稼動性が高く，一度稼働を始めたネットワーク（サービス）は止められないことが特徴． • Winny の高度な機能： ①通信の暗号化 ②転送機能（一定確率で複数コンピュータを仲介させ，各コンピュータ上にキャッシュを残し，データ拡散を支援） ③クラスタ機能（類似ファイルを要求するノード同士の接続支援） ④匿名での電子掲示板機能 ⑤高い匿名性と効率の良いファイル共有の２点を高レベルなバランスにおいて実現ここまではむしろ良い特徴が顕著！「Winny」とこれを悪用した情報流出・著作権侵害（その３） • Winny の匿名性：著作権法・わいせつ物頒布罪（児童ポルノ規制法）・個人情報保護法などに抵触する違法なファイル交換を行う場合に好都合（利用者数の急速拡大） • それに乗じ Winny で流通するファイルに Antinny などといったウィルスが仕組まれる．それによってファイルをダウンロードした者の個人情報が Winny を媒体としてネット上にばらまかれるという問題を引き起こす（このウイルスは亜種も数々出現．必ずしもWinnyを感染媒体とせずネット上でも感染被害が発生・増加）・・本学でも被害（ある意味で加害者）「Winny」とこれを悪用した情報流出・著作権侵害（その４） • 2003年11月27日，著作権法違反（公衆送信権の侵害）容疑で Winny 利用者が，京都府警察ハイテク犯罪対策室によって逮捕（２名） • 2004年5月9日，開発・配布者もこの事件の著作権侵害行為を幇助した共犯の容疑を問われ逮捕 • 著作権侵害行為幇助の疑いに関わる裁判では公開・提供行為の方法が罪に問われており，技術開発の是非についてははっきり言及されず（「裁判所が判断を避けた」のではなくどんな技術を開発しようともそれを自分の頭に秘めておく限り思想・良心の自由の範疇に含まれるので技術開発の是非自体は論じる必要なし．一方，技術を何かに使用した時点で、「使用法」が問題視） Winny（正確にはAntinny等暴露ウィルス）による情報流出事件 • Antinnyなどの「暴露ウィルス」は勝手になどのファイル交換ソフトを媒介とし，個人情報・（政府や各企業の）機密情報をネットに流出させ（ファイル共有によって）社会問題を発生． • Antinnyの実行ファイル，あるいはAntinny同梱ファイルを実行することにより感染．Antinnyファイルを所有していても，Antinnyファイルを実行しなければ感染せず（感染したとしてもWinnyを起動させなければ）情報流出もしない． • このウイルスに感染すると，PC自体には大した害はないものの，個人情報・保存してあるデータおよび画像などが Winnyなどを通じてネット上に流出し，Winnyとは無縁の人々までもが社会的に二次被害を受けるケースが多い． Winny（正確にはAntinny等暴露ウィルス）による情報流出事件２ • 事例：自衛隊情報漏洩被害では，武器庫情報など軍事機密情報がAntinnyにより流出（対策とし，2006年には40 億円で隊員用にPCを供給し、私物PCの持込みなどを禁止．その後も流出が続き，2007年7月に日本が購入を検討している次期主力戦闘機導入計画(F-X)についてアメリカ議会調査局が報告書で懸念していると記載されている。 • 事例：2007年5月に警視庁による大規模な情報漏洩が発生（暴力団や少年犯罪などの被害届詳細，暴力団と関係がある人物一覧などの個人情報が１万人規模で流出．ネット上で騒然） Winny（正確にはAntinny等暴露ウィルス）による情報流出事件３ • 初期の暴露をウィルス（ワーム）はデスクトップをキャプチャしてアップロードする程度の働きに限定 • その後，暫時改変され，デスクトップ上のデータの共有・電子メイル（Outlook Expressの保存データ）の共有などの機能増強． • ワームの１つ「山田オルタナティブ」は，感染PC自体をHTTPサーバとして立ち上げ，PCに保存されているデータ総てをインターネットを通じて世界中に公開し，なおかつワームに感染した者同士をHTTPリンクで相互接続する機能が付加． • ワーム被害は個人・民間企業・地方自治体・官公庁でも流出事件が続発．社員・公務員が機密情報や職務上知りえた個人情報などを自宅に持ち帰り，ファイル交換ソフトをインストール・利用中のPCに入れて使用するずさんな管理実態が露呈し，不用意にWinnyなどを使用しているという実態が暴露（社会問題） Winny（正確にはAntinny等暴露ウィルス）による情報流出事件４ • 嫌がらせのために個人情報を盗み出して故意にWinny に流出させるという手口も発覚． • ウイルスバスターなどのウィルス対策ソフトを提供しているトレンドマイクロからも社員がAntinnyに感染しWinnyへ個人情報を流出させる事故を発生 • 住基ネットに関する情報（パスワード・使用手順）も流出していたことが確認 • ひとたびWinnyで流出した情報は、キャッシュを保持するコンピュータが存在する限り継続的にWinnyのネットワーク上にとどまり続けることが分かっており、それを削除することはWinnyの利用者の全端末のデータをすべて削除しない限りは不可能