この記事では,日本IBM ISSのセキュリティ・オペレーション・センター(SOC)が注目している攻撃方法の一つである「受動的攻撃」を解説したい。
受動的攻撃とは,攻撃を受ける側の何らかの行動(例えば,「Webサイトへアクセスする」,「メールを開く/プレビュする」)を“トリガー”にする攻撃である。攻撃者から見れば“受動的”であるために,この名称が付けられている。ほとんどの場合,OSやアプリケーションの脆弱性(セキュリティ・ホール)を突く。
注目している理由は,まず第一に,受動的攻撃が頻繁に確認されているためである。広く使われているOSやアプリケーションに深刻な脆弱性が見つかるたびに,その脆弱性を突くような受動的攻撃が出現している。
攻撃者側から仕掛けられる能動的な攻撃とは異なり,インターネット境界(ゲートウエイ)で防ぐことが難しいことも,その注目している理由として挙げられる。受動的攻撃を防ぐには,個々のユーザー(ホスト)による対策が不可欠である。
Webページやメールを開くだけで被害に
受動的攻撃のシナリオとして最も多いのは,脆弱性を悪用するコードを仕込んだWebサイトへユーザーを誘導するケースである。
誘導する手口としては,例えば匿名の掲示板などに,ニュースやアダルト・コンテンツなどへ誘導するリンクを装って,攻撃サイトへのリンクを貼り付けておく。脆弱性があるシステムを使っている場合には,リンクをクリックして攻撃サイトへアクセスするだけで被害に遭う。例えば,ウイルスやスパイウエアなどを勝手にインストールされてしまう。
ほかには,フィッシング詐欺と同じように,攻撃サイトへのリンクを仕込んだ偽メールを送信し,アクセスさせる手口もある。
怪しいサイトへアクセスしなければ大丈夫かというと,そうとも限らない。いつも利用しているサイトが不正侵入されて,攻撃コードが仕込まれている場合があるからだ。2005年5月に価格比較サイトで発生したインシデント(事件/出来事)がそうだった。
価格比較サイトが不正侵入されてWebページ中に攻撃コードが仕込まれた。その結果,そのサイトにアクセスしただけで,「Win32/PSW.Delf.FZ」や「TROJ_DELF.RM」などと呼ばれるウイルスに感染する危険性があった[注1]。このウイルスはネットワーク・ゲームのパスワードなどを盗むためのものだったので,スパイウエアと呼んだほうが適切かもしれない。
注1 「カカクコムがサイト閉鎖の経緯を説明,『当初は対策ソフトの多くが未対応,ウイルスを確認できず』」
最近では,「MPack」「IcePack」といった攻撃ツールを使って,一般のWebサイトにiframeを仕込む手口が急増している。犯罪者は高さ0,幅0のフレームをWebページに埋め込み,ユーザーには見えない形で不正なサイトに誘導する。見えないフレームには攻撃コードが含まれていて,ユーザーは気付かないうちに攻撃コードを送り込まれる。
<編集部注>
脆弱性を突くコード自体をHTMLメールに仕込んで送りつける方法もある。この場合には,メール・ソフトなどの設定にもよるが,HTMLメールをプレビュするだけで被害に遭う可能性がある。2001年9月に出現した「Nimda」ワームは,まさにこのケースだった(後述)。
受動的攻撃の実態
受動的攻撃は,2000年8月に公表された“Brown Orifice”と呼ばれる脆弱性によって,広く知られるようになった。Brown Orificeは,Netscape Communicatorに実装されたJavaの脆弱性のこと。この脆弱性を突けば,ローカル・ファイルを含む任意のURLへのアクセスや,サービスの起動が可能となる[注2]。Brown Orificeについては,デモ・サイトも用意されている[注3]。この問題については,ITproでも過去の「今週のSecurity Check」で紹介している[注4]。
注2 Netscape 4.74「Brown Orifice」セキュリティ・ホール問題に関するまとめ。ISS:Brown Orifice, BOHTTPD, a Platform Independent Java Vulnerability in Netscape
注3 Netscape 4.74のセキュリティホール(安全上の欠陥)がいかに深刻なものか疑似体験する
注4 「Netscapeの遅すぎる『Brown Orifice』対応に考えたこと」
2000年10月にはInternet Explorer,2001年3月にはMRJ(MacOS Runtime for Java)でも,同様の脆弱性が見つかっている。
2001年には,「不適切なMIMEヘッダーが原因でInternet Explorerが電子メールの添付ファイルを実行する (MS01-020)」[注5]を悪用するNimdaの出現により,受動的攻撃が再び大きな話題となった。Nimdaは,メールおよびWeb経由で感染を広げるワーム(ウイルス)。Nimdaに感染しているWebサイトにアクセスするだけ,あるいはNimdaが添付されたHTMLメールをプレビュするだけで感染する可能性があったために,感染は急速に拡大した。
注5 不適切なMIMEヘッダーが原因でInternet Explorer が電子メールの添付ファイルを実行する (MS01-020)
Windows Meta File(WMF)の実装に関する脆弱性[注6]や,WinampのPlaylistに関する脆弱性[注7]を突く攻撃が,受動的攻撃の代表例として挙げられる。
注6 JVN Tracking Note Microsoft WindowsのWindowsメタファイルハンドラにバッファオーバーフローの脆弱性
注7 TRTA06-032A Winamp の Playlist ファイル処理にバッファオーバーフローの脆弱性
 図1 WMFに対する攻撃 [画像のクリックで拡大表示] |
 図2 ブラウザからcalc.exeを起動 [画像のクリックで拡大表示] |
 図3 Mozillaに対する攻撃の例 [画像のクリックで拡大表示] |
WMFの脆弱性を突くコードは,2005年12月末に公表された(図1)。このコードは,パッチが用意されていない段階で公表された,いわゆる「Zero-Day」である。危険性が高かったことから,マイクロソフトは“月例の公開日”を待たずに,2006年1月6日に緊急の修正プログラムをリリースした。
Winampの脆弱性は,米iDEFENSEによって2005年12月に公表され,2006年1月末には攻撃コードが公開された。この攻撃コードは,脆弱なバージョンのWinampをインストールしているユーザーに対してのみ有効だが,Webブラウザを経由して任意のアプリケーションを起動できるため,危険度が高く注目された(図2)。
受動的攻撃の対象となるのは,Windowsシステムとは限らない。例えば,2006年2月には,Mozilla製品の脆弱性を突く受動的攻撃が確認されている。
この脆弱性は,2006年2月7日に「LocationおよびNavigatorオブジェクト上でのQueryInterfaceを使ったメモリ破壊」として公表された[注8]。そして,その日のうちに攻撃コードが公開された(図3)。
注8 TRTA06-038A Mozilla製品群に複数の脆弱性
境界で防ぐことは困難
冒頭で書いたように,受動的攻撃はファイアウオールなどの「境界領域防御」で防ぐことが難しい。このことが,対策を困難にしている。
|
