このところセキュリティー・コミュニティでは、WebブラウザーのプラグインやWeb体験を向上するための各種技術が攻撃に悪用されている、という話をよく耳にする。これらの問題の大きさを理解するための手助けとして、IBMマネージド・セキュリティー・サービス(MSS)の脅威分析部門では、Webブラウザー関連技術で表面化しつつある問題についての研究を重点的に行った。特に今回は、Java Runtime Environment(JRE)/Java Development Kit(JDK)のバージョン6.19以前に存在した、アーギュメント・インジェクション(引数挿入)のぜい弱性(CVE-2010-1423)に関する問題を紹介しよう。
攻撃者がこのぜい弱性の悪用に成功すると、被害者のパソコンで任意のコードを実行することができる。つまり、攻撃者は対象パソコンにマルウエアを送りつけられるのだ。このような攻撃の影響度を把握するために、IBM MSS では、ぜい弱性の存在が明らかにされた直後からの1カ月間について調査を行った。かなり驚異的なことに、この期間(2010年4月21日から5月26日)において、MSSではCVE-2010-1423のぜい弱性に対する攻撃を4,118回も観測していたことが判明した。
図1●2010年4月21日~5月26日の攻撃回数
この攻撃の特徴は回数の多さだけでない。攻撃元IPアドレスが161個もあり、上位10個のIPアドレスが全攻撃の約44%を実行していたのだ。そして攻撃には3847個のドメイン名が使われていて、そのうち80%のトップレベルドメインが「.ru」または「.info」だった。
これらドメインをさらに調べ、各Webサイトがどのような悪事を企てているのか確認したところ、いくつか分かったことがある。まず、攻撃用Webサイトのほとんどが80番や443番といった一般的なWebアプリケーション用TCPポートを使っていない。その代わり、外部向けHTTPアクセスにはあまり利用されない8080番などばかり使っていた。
また攻撃用Webサイトの多くは、以前から「悪質なWebサイト」に分類済みのものだった。こうしたWebサイトは、同じドメイン内にある複数のWebページで複数のエクスプロイトを実行することが多いことを考えると、この調査結果は意外ではない。なお、いろいろな理由があって攻撃用Webサイトを閉鎖させることは極めて難しい(ただし、Webサイトをフィルタリングしやすい点はメリットだ)。
そして最後に、大多数の攻撃用Webサイトがエクスプロイト・ツールキット「Fragus」と関係していた。Fragusはボットネットの管理や運用を行うためのコンソール・アプリケーションであり、よく知られた手段でWebブラウザーを直接攻撃する機能も備えている。攻撃が成功した場合、被害者のパソコンはボットネットに取り込まれ、Fragusからコントロールされることが可能になる。Fragusは800ドルで購入可能で、またインターネット上の様々な場所からダウンロードすることができる(関連記事:エクスプロイト・ツールキット「Fragus」,ビジネス・モデルを変更)。
今回の調査を通じて、以下のことが分かった。まず、インターネットには攻撃しようと待ち構えているWebサイトが数多く存在し、広く宣伝されたぜい弱性だけでなく、比較的平凡なものまで悪用対象になる。また、今回の攻撃は規模が大きいため最初から恐れられたようだが、攻撃の手口は比較的単純で追跡しやすい面があった(そして多くの場合、配信モデルも単純だった)。我々は相当量の調査を行い、やっとFragusが犯人であることを突き止めた。とはいえ、Fragusは数あるエクスプロイト・ツールの一つに過ぎない。同様の事例は大量にあって、セキュリティ専門家が普段から最もよく目にする攻撃といえる。
用心を怠らず、コンテンツフィルターを最新状態に保ち、不正侵入防御システム(IPS)を調整するよう心掛けたい。インターネットが安全な場所になるまで、まだ時間がかかる。
Copyrights (C) 2010 IBM, Corp. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,日本IBMの許可を得て,米国のIBM Managed Security Service X-Forceの研究員が執筆するブログIBM Internet Security Systems Frequency-X Blogの記事を抜粋して日本語化したものです。
オリジナルの記事は,Review of the Java Web Start Jailbreak Vulnerabilityでお読みいただけます。
