SpyEyeホスティングにAmazon S3を悪用

2011.08.11

　最近のセキュリティ関連ブログの中から、気になる話題を取り上げる。最初はロシアのカスペルスキーラボのクラウドコンピューティングに関連した注意喚起だ。

　同社は、サイバー犯罪者がマルウエアツールキットのホスティングに米アマゾンのクラウドサービスを悪用しているとして注意を促した。

　クラウドサービスプロバイダーが無償提供するオンラインストレージは、サイバー犯罪者がマルウエアの保守や拡散に利用しているが、たとえ有償でもこれらサービスはサイバー犯罪者にとって魅力的。アマゾンのクラウドサービスなら、「Amazon S3」（Amazon Simple Storage Service）が都合がいいという。

　カスペルスキーラボの調査によると、サイバー犯罪者はこの数週間、Amazon S3からマルウエアツールキット「SpyEye」のサイトを運営している。

SpyEyeサイト

　Amazon S3を利用するサイバー犯罪者にとって障害の一つは、Amazon Web Services （AWS）アカウントを作成しなければならないこと。アカウント登録には正当なID情報と決済手法が必要となるため、サイバー犯罪者は明らかに盗んだデータを使ってこの難題を克服している。

　アマゾンのクラウドサービスが7月にマルウエアを拡散するために著しく悪用されたことがデータから分かる。以下のグラフは、7月後半にマルウエア拡散に使われたドメインを示している。

　サイバー攻撃者がクラウドストレージなどのサービスを悪用する傾向は既に広がっている。この傾向はオンラインストレージサービスにとって今後を左右する問題であり、特別な対策を講じる必要があるとカスペルスキーラボは警鐘を鳴らしている。

Twitterのトレンド機能を悪用したインジェクション攻撃

　米ウェブセンスは、Twitterを悪用した大量インジェクション攻撃を検出したと報告した。この攻撃により、既に1万以上のWebサイトが被害を受けているという。

　同社が注目したのは、埋め込まれた不正コードが6000Kバイト超と大きいサイズであること。これほど大きいと多くの悪意あるコンテンツを含むことができ、攻撃者は最終的なリダイレクトコードを隠ぺいするために5層の手法を使用していた。リダイレクト先はTwitterのトレンド機能に応じて決定され、それは毎日変化し、昼と夜でも異なる。

インジェクションコードの一部

　リダイレクトコードは、Twitterのトレンド機能に問い合わせ、2〜3日中のトレンドデータを取得する。トレンドデータの7時または18時の上位トレンドワードをキーとして使用し、複雑な計算を実行したのち、最終的なリダイレクトURLを生成してiFrameタグに埋め込む。

リダイレクトURLを埋め込んだコード

　コードは毎日、二つのURLを計算する。これら二つは、不正コードを埋め込まれたサイトにユーザーが訪問する時間によって使い分けられている。一つは5時から16時、もう一つはそれ以外の時間帯向けだ。

　これらURLは攻撃ツール「Blackhole Exploit Kit」が仕込まれたサイトにユーザーを誘導し、偽ウイルス対策ソフトをインストールするよう促す。ウェブセンスは、Blackhole Exploit Kitをホスティングしている以下の7件のIPアドレスを特定している。

46.165.192.232
46.20.119.80
66.135.59.143
216.155.147.12
64.150.187.129
200.35.147.150
108.59.2.202

IPv6のフラグメンテーション

　最後に、米アーバーネットワークスが紹介しているIPv6におけるフラグメンテーション（断片化）について。いわゆるインシデントに関する内容ではないが、重要なテーマなので紹介しておく。同社がこのテーマを解説しているのは、フラグメンテーションがIPv4ではしばしばセキュリティ上の脆弱性の元になってきたため。フラグメンテーションによって、ファイアウォールやルーターといった中継ノード、パソコンなどのエンドノードで、予期しない現象が起こることがある。これがIPv6ではどう変わるかを解説している。

　IPv6ではパケットを断片化できないという誤解があるが、ルーターやファイアウォールなどの中継地で断片化できないという点では合っている。しかし発信元ではパケットを断片化できる。そのため受信ノードと中継ノードは、断片化したパケットを適切に処理できなければならない。

　IPv6でパケットの断片化が行われる場合に、注意すべき重要な問題が二つある。一つは、断片化拡張ヘッダーを使う必要があること。断片化拡張ヘッダーを使用するため、レイヤー4ヘッダーのバイトオフセットは8バイトに変換され、各ノードはレイヤー4ヘッダーを特定する方法を心得ている必要がある。二つ目は、IPv4と同様に、一つの断片だけがレイヤー4ヘッダーを持ち、他の断片が持たないこと。中継ノードはレイヤー4ヘッダーを持つ断片のレイヤー4情報とほかの断片を関連付けるか、あるいは、断片が関連する結合パケットのレイヤー4情報を認識せずに断片を転送しなければならない。

　IPv4と異なり、IPv6では中継ノードは断片化を行わないため、発信元は回線の最大転送ユニット（MTU）を超えないサイズのパケットまたは断片を送る必要がある。

　IPv4では「あれば便利」だったパス最大転送ユニットディスカバリー（PMTUD）は、IPv6では極めて重要だ。パスのMTUに対して大きすぎるパケットを中継ノードが受け取った場合、パケットを破棄し、「パケットが大きすぎる」というICMPv6メッセージを発信元に返す。これはとても大事なことで、もし発信元がパケット過大メッセージを受け取らなければ、目的地に届かないパケットを送り続けることになり、重大なリスクが生じる。

　PMTUDを実行しない場合には、発信元はIPv6の最小MTUである1280バイト以内でパケットを送らなければならない。一部のインターネットサービスでは、PMTUDによって起こる問題を回避するために、1280バイト以内でパケットを送信する。1280バイト以内で送信すれば、パケットは決して破棄されることがなく、送信元はパケット過大メッセージに頼る必要がない。この方法は安全だが、世界規模のIPv6トライアル「World IPv6 Day」の期間中に判明したように、議論の余地が大きい。