今回は,日本IBMの東京セキュリティ・オペレーション・センター(以下,東京SOC)で検知している誘導型攻撃の情報を基に,「狙われやすいクライアントアプリケーション」の傾向について考察する。
誘導型攻撃とは
クライアント・パソコンのセキュリティ対策の一つに,よく“怪しいサイトにアクセスしない”という項目が挙げられる。しかし最近,そのルールが通用しなくなってきた。企業のWebサイトがアクセスしてきたユーザーを攻撃サーバーに誘導するように,改ざんされる事件が多発しているためである(図1)。よく知られているWebサイトにアクセスしただけでもウイルスに感染してしまう。
2008年3月に多発したSQLインジェクション攻撃によるWebサイト改ざんもこの典型的な事例で,クライアントをウイルスに感染させることを目的に行われた(関連記事)。SQLインジェクション攻撃のほかにも,リモート・ファイル・インクルード攻撃やFTPサービスへの総当たり攻撃などによって,同様のWebサイト改ざんの試みが行われている。
攻撃サーバーに誘導されたユーザーは,自動的に攻撃コードをダウンロードさせられ,ユーザーのシステムに攻撃コードが狙うぜい弱性が存在しているとウイルスに感染してしまう。誘導型攻撃といわれるこの手法は,2006年から増加し,現在ではクライアントを攻撃する最も一般的な攻撃方法となっている。
こんなぜい弱性が狙われる
誘導型攻撃の攻撃対象となるぜい弱性は,大きく分けて(1)Webブラウザのぜい弱性と(2)ブラウザ・プラグイン(ActiveXコントロール)のぜい弱性の2種類ある。ブラウザ・プラグインはWebブラウザの機能を拡張するアプリケーションで,Flash PlayerやRealPlayerが代表的だ。
攻撃の傾向を見ると,この2種類のぜい弱性は攻撃のターゲットとして利用される期間が違っている。Webブラウザへの攻撃は、ぜい弱性情報や攻撃コードの公開直後に攻撃数が増加するが,一定期間を過ぎるとほとんど攻撃されなくなる。これに対し,プラグインのぜい弱性は,古いものであっても継続して攻撃に利用されるケースが多い。
図2と図3は,2007年10月から2008年7月の間に東京SOCで検知した攻撃に関するデータである。それぞれの種類に当てはまるぜい弱性が攻撃に利用された回数の遷移を示した(縦軸は,対象期間に最も攻撃数が多かった月の検知数を100とした場合の,それに対する割合)。
グラフを見ると,エクスプロイトの公開などと攻撃数がピークに達している時期にズレがあることが分かる。ぜい弱性の種類によってこのような違いが生じる原因は,ソフトウエアの更新方法の違いから,それぞれのぜい弱性に対する攻撃の成功率が異なるためだと推測される。
Internet ExplorerやFirefox,OperaといったWebブラウザには,自動アップデート機能が搭載されている。このため,ユーザーが発見されたぜい弱性を意識しなくても,一定の時間が経てば自動的に修正されていく。これに対してプラグインには,自動アップデート機能を備えているものが少ない。ぜい弱性を修正するアップデートがリリースされてもユーザーが気付きにくく,ぜい弱性が長期にわたって放置されてしまうことが多い。攻撃者にとっては,それだけ成功率が高くなるわけだ。こうした理由から,この種類のぜい弱性が継続的に攻撃されていると考えられる。
![Word 最速時短術 [増補新版]](https://info.nikkeibp.co.jp/atclnxt/books/25/03/07/00396/B_9784296207329.jpg)
