JSRedir-R(通称,GENOウイルスやGumblar)の模倣犯が増加している。FTPアカウントの盗用によるWebコンテンツ改ざんにより,そのWebサイトを閲覧したユーザーのパソコンにウイルスを埋め込む手口である。代表的なものの一つに,4万サイト以上を改ざんしたとされる「Nine-ball」がある。Nine-ballの特徴は,JSRedir-Rの感染メカニズムに過去に流行したサイバー攻撃手法の仕組みを取り込んだことだ。どうやら,攻撃手法がパターン化され,アンダーグラウンド・ビジネスに悪用されつつあるようだ。
今回注目したいのは,改ざんされたWebコンテンツからリダイレクトされる先のサーバーである。5月に話題になったJSRedir-Rが利用していたサーバーは,Adobe ReaderとFlash Playerに的を絞ったものだけだった。これらの攻撃コードは頻繁に微妙な変更を繰り返しており,一定の攻撃者の存在を感じさせた。ところがNine-ballなどの模倣ウイルスのリダイレクト先に設置されている攻撃コードは,誰もが作成可能な攻撃ツールを悪用している。そのうちの一つが「YES Exploit System」と呼ばれるロシアのアンダーグラウンドで売買されているツールである。
JSRedir-Rウイルスは,どことなく感染目的がはっきりしないウイルスだった。しかしNine-ballに移り変わると,背後にアンダーグラウンド・ビジネスの臭いが感じられるようになった。このように考えると,一般企業におけるテストマーケティングからサービス・リリースという具合に解釈できる。
そして,この展開から思い当たるのが,2007年に流行したMpackである。Mpackの場合は,ロシアでの配布後に中国語へローカライズされ,中国でも配布された。今回も同様のパターンで配布された場合,アジア地域での被害も増大することが懸念される。
YES Exploit System(写真1)やUnique PackなどのExploitツールキットからどのような攻撃コードが作成されるのかを知っておくことは,防衛面において重要である。現在の攻撃のトレンドをつかむことができ,事前対策を講じることができるからだ。現在,売買されているExploitツールキットが悪用する代表的なぜい弱性を表1に紹介しよう。
全体的にマイクロソフト製品とアドビ製品の悪用が目立つ。言い換えれば,これらのぜい弱性の攻撃成功率が高いということになる。これらの情報は本コラムをはじめとして他のWebサイトでも公開されるため,ウォッチも比較的容易にできる。
新たなサイバー攻撃に備えて
これらの攻撃コードのトレンドをウォッチしていても,ゼロデイのぜい弱性を悪用していた場合には,対応策が限られる。
(1)パッチ以外の回避策があるものに関しては設定変更を実施
(2)悪意あるWebサイトのURLが公開されている場合は,ファイアウォールなどのアクセス制御リストを変更
(3)攻撃コードが公開されているのであれば,攻撃トラフィックの特徴的な個所をシグネチャ化してIPS/IDSへ登録
ここで,“適切なセキュリティ・ツール”を利用しないと十分な効果を得られないことは覚えておく必要がある。もう一つ忘れないでほしいのが,事故発見後の対応策だ。どんなに対策を実施しても,攻撃を完全に防御することは困難である。そのため,インシデント・トリガーから事後対応までのフローについて,テクニカル面とマネジメント面,リスク管理面など様々な視点から整理しておくことが重要である。
先日の,韓国と米国へのDDoS(分散型サービス妨害)攻撃を思い出してみよう。現在(7/16),マルウエア情報は出てきているものの,ゾンビ・パソコンの感染原因など根本的な要因は何も分かっていない。ゼロデイだけでなく,いかなるサイバー攻撃もわずかに手を加えるだけで,原因究明が困難になってしまう。今こそ,迅速かつ正確,確実な事後対応力が求められる。
ラック コンピュータセキュリティ研究所 所長
