IBMのSOC(Security Operations Center)からユーザーの機器を監視していると,ITセキュリティ脅威の世界的な状況について独自の見通しが立てられる。この数カ月間は,全般的にWebブラウザを狙った攻撃が増えており,特に悪質なPDFファイルを使う激しい攻撃が増加している。同じ期間に,複数の顧客に対する攻撃に,全く同じ攻撃用WebサイトやIPアドレス,ファイルが見られることは珍しい。そこで当ブログ記事では,攻撃に用いられる悪質なPDFファイルを取り上げ,この世界規模の脅威の攻撃手法にも触れる。
大量のクライムウエア(犯罪目的で使用されるソフトウエア)用ツールキットに,パソコンへの感染手段として2個または3個のPDFエクスプロイトが含まれていた。この種のクライムウエア用ツールキットは,パソコンに感染させる目的で簡単に流用できるよう,犯罪グループがエクスプロイトとマルウエアをパッケージ化したものだ(これに対し,侵入試験用のツールキット「Metasploit」は被害につながる機能を削除してある)。こうしたツールキットを使う理由は様々だが,簡単に利用できて成功率も高い点が大きい。多くの攻撃者が,偽ウイルス対策ソフトなどのマルウエアをパソコンへ送り込むために世界中で使っている。今回の場合,攻撃者はパソコンにマルウエアをインストールできると成功報酬を獲得し,マルウエア開発者は感染したパソコンのユーザーに犯罪を仕掛けて利益を得る。ボットネットの所有者も,攻撃用ネットワークを拡大する手段として同様のツールキットを使う。こうした金儲けのほか,政治目的で使われる例もある。
最近,あるサイトに注目した。そのドメインのWebサイトには,現時点で「pdf.php」というファイルが使われている。ユーザーがこのWebサイトにアクセスすると,IBMの侵入防止(IPS)アプライアンス「IBM Proventia Network IPS(NIPS)」やUTM(統合脅威管理)アプライアンスである「Proventia Network MFS」は大量の攻撃を検知する。これらに実装されているセキュリティ対策技術は,攻撃用PDFファイルに埋め込まれたり,PDFファイル内で難読化されたりしているJavaScriptを検出するほか,IBM独自の技術「Shellcode Heurisitcs(SCH)」で悪質なシェルコードを見つけるなど,複数の方法で脅威に対抗することが可能である。
このPDFファイルによる攻撃は,IBMのユーザーが受け取ったメールにも見られた。不正な手段などで集めたメール・アドレスに対する悪質なフィッシング・メール攻撃が発生源らしい。上記Webサイトによる攻撃と同様,受信者がだまされて一度でもPDFファイルを開くとかなり高い確率でパソコンがマルウエアに感染する。
このPDFマルウエアAPSB08-19」による攻撃の様子を,コンセプト実証(PoC:Proof of Concept)用PDFファイルを開いた際の動画で示す。
動画を見ると,問題のPDFファイルを閉じてもPDF閲覧ソフト「Adobe Reader」のプロセスが動き続けていることに気付くだろう。つまり,PDFファイル内のJavaScriptとシェルコードが動いているのだ。これらが処理を終えると,「calc.exe」が勝手に起動する。calc.exeと思われるものは遠隔サーバーからダウンロードされたマルウエアと入れ替わっている可能性があり,パソコン内でさらに異常なコマンドを実行されかねない。
Webブラウザと有効化されているプラグインを悪用するパソコン攻撃手法は,攻撃者が高度なやり取りを行わずに済むことから,急激に増えている。システムへの修正パッチ適用とウイルス対策ソフトのアップデートを怠らないことが必要だ。防御対象の環境に合わせてNIPSをきちんと調整しておくことも,新たなソフトウエア修正パッチやウイルス対策ソフト用シグネチャがリリースされるまでの期間,効果的にシステムを保護する対策となる。
将来Webブラウザは安全になるだろうか。安全性の向上は期待できないが,ActiveX非対応または未使用のWebブラウザを使えばセキュリティは大幅に高まる。景気が低迷している現在,攻撃用Webサイトを立ち上げて簡単に金儲けする行為は,ITの知識が豊富で困窮状態にある人からは例外なく魅力的に見える。
今後,当ブログではクライムウエア用キットをいくつか分析し,プログラミングとサーバーの観点から仕組みを解説する。攻撃や動作を理解することは,自分自身と管理しているネットワークのユーザーを守るために欠かせない作業なのだ。
Copyrights (C) 2008 IBM, Corp. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,日本IBMの許可を得て,米国のセキュリティ・ラボであるIBM Internet Security Systems X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,「Stopping PDF Malware At The Network」でお読みいただけます。
