Symantec Security Response Weblog

Exploiting trust: ISTR XII」より
September 19,2007 Posted by David McKinney

 インターネット・セキュリティ脅威レポート(ISTR)Volume XIIが発表された。同レポートでは,攻撃者がどのように信頼できるWebサイトを悪用し,被害者に到達するかを取り上げている。このような傾向の一部は,特定のWebサイトやサービスに限られたぜい弱性,いわゆる「サイト固有のぜい弱性」が拍車をかけている。これらのぜい弱性は通常,Webサイトで提供されるサービスを担うWebベースの独自開発アプリケーションに存在する。

 サイト固有のぜい弱性の広まりが最初に明らかになったのは,Webアプリケーションのぜい弱性の割合が減少したためだ。今回のレポートでは,Webアプリケーションに影響を及ぼすぜい弱性は61%で,前回報告時の66%から減少している(ここでのWebアプリケーションのぜい弱性は,第三者がダウンロードしてインストールするWebアプリケーションのぜい弱性のみを含む。これらの数字には,BloggerやHotmailのようなホスト・サービスで報告されたものは含まない。ただし,sl.ackers.orgやXSSed.comのようなサイト固有のぜい弱性を明らかにするフォーラムが最近登場しつつある点は軽視できない)。

名声につながる不名誉

 サイト固有のぜい弱性は,さまざまな方法で開示されている。その中の一つに「shame for fame(名声につながる不名誉)」と呼びたくなるアプローチがある。研究者たちが,さまざまな「バグ月間」プロジェクトで用いているものだ。一種の売名行為であり,通常ベンダーは虚を衝かれた形でバグを修正し,バグの発見に関わったセキュリティ研究者は注目の的となる。サイト固有のぜい弱性は,「Month of MySpace Bugs」および「Month of Search Engine Bugs」で大きく取り上げられた。これらのぜい弱性は,この手の開示方法において格好の題材だ。発見が容易な上,目には見えず,一部の限られたユーザーにしか影響を与えられないWebアプリケーションのぜい弱性を開示するよりもメディアで取り上げられる可能性が高いからだ。旋風を巻き起こす可能性もあるため,研究者たちは情報開示がメリットになる。

 サイト管理者と協力し,これらのぜい弱性を開示する前に修復を試みる研究者も存在する。ただし,セキュリティ・チェックの実施許可をサイト管理者から得られなければ,法律を犯すリスクにさらされる。このようなケースの場合,実際の監査において,あるいは不慮に発見したぜい弱性を報告するための安全な場所はない。Webサイトでぜい弱性を発見した場合,このWebサイトを技術的に攻撃したことになる。また,サイト固有のぜい弱性の調査は,実験室の中では行えない。研究者は常に何らかの形で,Webサイトを中断したり,ダメージを与えたりする可能性がある。セキュリティ研究者は今後どのようにすべきか。一部の研究者はこのようなリスクを認識して,ほかの研究者に対してサイト固有のぜい弱性の調査は回避するべき,と忠告する。このような冷淡な対応は,攻撃者がぜい弱性を悪用した後で研究者がこれを発見した場合に,ベンダーが最終的に痛手を被る可能性がある。

 米グーグルや米マイクロソフトなどのベンダーは,自社Webサイトのぜい弱性に関してのセキュリティ研究者による報告に前向きな姿勢を示している。いずれのベンダーも,この取り組みを円滑に進めるため,ぜい弱性の報告手順を示したWebページを設け,適切にぜい弱性を開示してくれた人々に感謝の意を表している。このような対応は,研究者がこれらベンダーのWebサイトのぜい弱性を開示したことに対し責任を負わずに済むことが保証される。正しい方向に向けた第一歩といえよう。

野放しにされているサイト固有のぜい弱性

 ユーザーが徐々に知恵を付けているため,攻撃者たちはサイト固有のぜい弱性を見つけ出すことに強い関心を持っている。これはつまり,ユーザーが迷惑メールに記載されたリンクをクリックしたり,インターネットの保護されていない領域に入り込んだりする可能性が少なくなってきたことを意味する。この結果,攻撃者たちはユーザーを悪意のあるソフトウエアに感染させる手段として,合法的なWebサイトを攻撃するようになっている。名の知られたWebサイトは安全だと多くのユーザーは考えるため,これらのWebサイトからの攻撃や悪意のあるコンテンツには簡単につけ込まれてしまう。これは,一般的なプロバイダが運営するWebサイトが大量に攻撃される,あるいは有名なWebサイトに悪意のあるコンテンツを埋め込むため,Webアプリケーションのぜい弱性を巧妙に利用する形で表面化している。

 要するに,これらのぜい弱性はサイトの信頼性を悪用したものであり,これは今回のISTR全体のテーマとなっている。我々の分析では,Webブラウザのプラグインのぜい弱性が高まっている点を取り上げた。この種のぜい弱性は攻撃ツール「MPack」などに取り込まれているため,攻撃者の間でよく使われるようになっている。ソーシャル・ネットワーキング・サービス(SNS)「MySpace」と米アップルのメディア・プレーヤ「QuickTime」のぜい弱性を同時に悪用した高度なフィッシング攻撃で示された通り,Webブラウザのプラグインのぜい弱性とサイト固有のそれは表裏一体だ。汚染されたWebサイトは,Webブラウザのエクスプロイトにとっては理想的なプラットフォームとなる。その結果,2006年後半には74件だったプラグインのぜい弱性が,2007年前半には237件まで増えた。気がかりなところだ。WebアプリケーションとWebブラウザのプラグインそれぞれのぜい弱性を組み合わせたものは,合法的なWebサイト,これらのWebサイトにおけるユーザーの信頼,引いてはユーザーそのものを悪用した,ありとあらゆる多段攻撃につながる可能性がある。

 サイト固有のWebアプリケーションのぜい弱性は,合法的なWebサイトの信頼性につけ込んだ攻撃を隠す上で重要な役割を果たすため,インターネットの地下コミュニティで定着しており,Webベースのワーム,悪意のあるコード,クライアント側のエクスプロイト,データ侵害,スパム,フィッシングで用いられてきた。タイプの異なる攻撃者が似通った攻撃手段と動機のもとに集まれば,信頼性の悪用という点も,策略の上で重要な戦術となる。



Copyrights (C) 2007 Symantec Corporation. All rights reserved.

本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。

◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,Exploiting trust: ISTR XIIでお読みいただけます。