セキュリティベンダー各社のブログから、最近の攻撃手口に関わるものを紹介する。
まず最初はARPスプーフィングの自動化ツールについて。トレンドマイクロが、最近確認したとして、ブログで報告した。同ツールは、ログイン認証などの重要情報を盗むのにARPスプーフィングが大変有効であることを示している。
ARPスプーフィングはターゲット型攻撃の侵入拡大段階でよく使われる。トレンドマイクロが発見したツールは、ARPスプーフィングを自動化し、WebサイトへのIFRAME挿入、偽装ソフトウエアアップデートの配信、SSL接続を侵害などを実行する。
●ARPスプーフィング
まず最初に、このツールはネットワークトラフィックに割り込み、ネットワークサービスのログイン情報を取得する。さまざまなプロトコルをサポートしており、FTP、HTTP、IMAP、NetBIOS、POP3、SMB、SMTPといったプロトコルから重要な情報を盗むことができる。
同ツールはネットワークトラフィックをスキャンしてユーザー名やパスワードを入手する。これらは暗号化されたファイルに保存され、攻撃者はこれを自由にアップロードする。ユーザーは異なるアカウントに対して同じパスワードを使うことが多いので、別のさまざまなサービスでも同一のパスワードを使える可能性がある。
さらにこのツールはTLS/SSLトラフィックに対して中間者(man-in-the-middle)攻撃を仕掛ける能力を持つ。もしユーザーが無効な証明を気にとめずに見過ごすと、TLS/SSLを使用するサイトに送信される重要情報は、安全に送られるどころか攻撃者に盗まれてしまう。
●IFRAMEインジェクション
このツールは、ユーザーが訪問するサイトにIFRAMEを挿入する機能を備える。システムのHTTPトラフィックを監視し、可能となればいつでも見えないIFRAMEを挿入する。
挿入されたIFRAME
上図の場合、無害なIFRAMEがHTTPサーバー上のデフォルトWebサイトに挿入され、攻撃者はこれを使ってユーザーを不正URLに誘導する。不正URLでは悪質なコードを埋め込んだページをホスティングしており、ユーザーのシステム上に存在するさまざまな脆弱性を利用する。
●偽装アップデート
このツールは、ARPスプーフィングを利用して、システムに「Windows Media Encoder 9」のアップデートが提供されていると思い込ませる。しかし実際には悪質なアップデートファイルが配信される。
偽装アップデートのコード
●潜在的攻撃対象
機能の1つに、考えられる攻撃対象のヒントが見つかった。一部のコードが、明らかに中央チベット行政府のユーザーをターゲットにしている。中央チベット行政府は、ユーザーへの電子メール配信に米グーグルの「Google Apps」を導入している。
中央チベット行政府のユーザーを狙ったコード