ニュース

日本の省庁などへ“水飲み場型攻撃”、IEのゼロデイを突き、8月に起きていた

 株式会社ラックは9日、日本で8月に発生していた“水飲み場型攻撃”について報道関係者向けの説明会を開催し、その攻撃で実際に悪用されたInternet Explorer(IE)のゼロデイ脆弱性を突いて標的PCを遠隔操作する様子などをデモした。また、企業・組織のネットワーク管理者に向けて、自社の従業員・職員が今回の水飲み場型攻撃で標的になっていなかったかログなどから確認することを呼び掛けるとともに、メールを使った標的型攻撃に比べて気付きにくいという水飲み場型攻撃を防御するための対策のあり方にも言及した。

株式会社ラック取締役CTOの西本逸郎氏

 水飲み場型攻撃とは、猛獣がオアシスなどに潜んで獲物を待ち伏せ、そこに水を飲みに集まってくる動物を狙って襲いかかるのになぞらえた名称。ウェブサイトにあらかじめウイルスを仕込んでおき、標的がそのサイトにアクセスしてくるのを待って感染を仕掛ける。この“狩り場”となるサイトは、多くのユーザーがアクセスしてくる規模の大きいサイトのほか、特定の組織・業界の人がよく利用するようなサイトも攻撃対象を絞り込むために使われるという。

 ラックが解説した水飲み場型攻撃の事例は、日本の“ある情報提供サイト”に8月上旬に仕掛けられ、それが8月下旬に発見されたものだ。攻撃手順は周到・綿密で、閲覧した人に無差別に感染を試みるわけではなかったという。アクセスしてきたクライアントのIPアドレスを判定する機能が、サーバーサイドのスクリプトを改ざんして追加されており、判定の結果、標的とする組織のIPアドレス範囲だった場合にのみ、攻撃コードをダウンロードさせる。そこで標的となっていたのは、国内の中央省庁や重要インフラなど20ほどの組織だったという。

 あわせて、確実に標的を仕留められるよう、OSやブラウザーのバージョンをチェックしており、今回はWindows 7/XPのIE 9/8が狙われた。攻撃コードのダウンロードに悪用されたのは、8月当時は未知だったIEの脆弱性。ラックの複数の顧客においてこの攻撃を検知したことを受けて調査したところ、ゼロデイ脆弱性であることが判明。ラックからMicrosoftに報告し、その脆弱性はMicrosoftが10月9日に公開した月例パッチ「MS13-080」で修正されている。

 説明会では、パッチ公開前の10月8日時点で最新状態のWindwos 7で改ざんされたウェブサイトを閲覧すると、IEがクラッシュすると同時に、攻撃者が送り込んだプログラムが動作する様子がデモされた。デモで使ったのは実際の攻撃とは異なる攻撃ツールだというが、1回侵入してしまえば、攻撃者のPCから標的のPCを遠隔で操作し、検索したファイルをコピーして窃取することも簡単にできることを示した。

画面左が標的PC、左が攻撃者のPC。標的PCに保存されている機密と名の付くファイルを検索したところ

 ラックによると、従来の標的型攻撃で多かったウイルス添付メールを標的に送りつける手法では、攻撃であることが知れ渡りやすく、また、最近では「怪しいメールは開かない」といった意識が定着してきたことから成功率が低下しているという。

 これに対して水飲み場型の標的型攻撃では、標的以外は攻撃しないために知れ渡りにくく、悪用するゼロデイ脆弱性のライフサイクルも長くできるという。そのため、標的型攻撃はメールからウェブにシフトしており、昨年はウェブからの標的型攻撃が7%だったのに対し、今年は9月時点で14%に拡大しているとした。

 一方で攻撃に対策する立場からは、水飲み場型は発見が難しく、従来のセキュリティ対策では対応できなくなったと指摘。今回標的となった組織では、IEのゼロデイ脆弱性を突かれた段階ではもちろん検知できなかったが、その後にダウンロードされたウイルスに対して、ふるまい検知型のウイルス対策ソリューションにより食い止めたため、実被害には至らなかったとしている。

 さらに、今後はゼロデイ攻撃が当たり前に行われることを前提とした対策が求められるという。セキュリティパッチをきちんと適用し、ウイルス対策ソフトを最新の状態にするだけでは不十分だとし、ネットワークセキュリティ対策(入口・出口対策)なども常識になるとした。

 今回の水飲み場型攻撃の発生を受けてラックでは、組織のネットワーク管理者やウェブ管理者などに向けて、水飲み場型攻撃の被害発見や防御のための対策方法をとりまとめて公開している。

 その中には、今回の攻撃でウイルスのダウンロード元となっていたサイトのIPアドレスと、標的に侵入したウイルスを遠隔操作するC&CサーバーのIPアドレスのリストもある。組織のネットワーク管理者に対して、プロキシーやファイアウォールのログの中にそれらのIPアドレスとの通信が含まれていないか確認することを勧めている。

 これらはあくまでもラックが把握しているものだけであり、現在はすでに閉鎖されているものもあるというが、8月時点のログを確認することで今回の水飲み場型攻撃の標的になっていなかったかどうか確認できるとしている。

 ウェブ管理者に向けては、ログやファイルなどから改ざんの有無を確認するよう求めている。また、改ざんされたウェブサイトの対応としては従来、改ざん部分を復旧した上で、閲覧者に対してウイルスチェックを求めるとともに、情報漏えいの有無を発表して終了するのが通常であり、改ざん内容について詳細な調査をすることはなかったというが、ラックでは、改ざんされた側も単なる改ざんなのか、水飲み場攻撃なのかといった部分まで突っ込んで調査することも必要だということを啓発していきたいとしている。

 今回の事例は、攻撃対象となった標的側の組織の調査だけでなく、改ざんされた側の調査もラックが担当することができた珍しいケースだったという。その結果、両側の調査・情報から、IEのゼロデイ脆弱性を悪用し、特定の組織を標的とした水飲み場型攻撃だったことが判明したためだ。

 なお、今回の攻撃で水飲み場として悪用されたサイトの具体的な名称は、ラックからは公表できないとしている。また、たとえ水飲み場として改ざんされたサイト自身が公表するとしても、前述のように、それが水飲み場型かどうかといった部分まで詳しく調査・公表することはないため、組織のネットワーク管理者にとって把握・対応しにくい面もある。この点についてラックでは、どこかのウェブが改ざんされたとの報道があった場合は、自組織からそのサイトへのアクセスがなかったかどうかチェックすることは有効なのではないかとしている。

永沢 茂