以前、Gumblar攻撃の被害に遭ったクライアントPCの調査から判明した、クライアントパソコン(PC)に放置されやすい脆弱性について解説した(関連記事)。前回の調査では、クライアントPCに放置されやすい脆弱性の1位はJava、ほぼ同数の2位がAdobe Readerという結果だった。前回の調査から1年経過し、この傾向に変化があるか、改めて同様の調査した。その結果について解説する。
前回の調査では、Gumblar攻撃の被害に遭ったクライアントPCを対象としたが、今回は、Black Hole Exploit Kitと呼ばれるドライブバイダウンロード攻撃ツールの被害にあったクライアントPCを対象にした。この攻撃ツールは、2011年上半期に日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)の観測範囲において最もウイルス感染の被害が多かった攻撃ツールである(表1)。
表1●Exploit Pack別ウイルスダウンロード発生件数(上位5件)
(東京SOC調べ:2011年1月1日~6月30日)
No. | Exploit Pack Name | ウイルスダウンロード検知数 |
---|---|---|
1 | Black Hole Exploit Kit | 223 |
2 | Incognito Exploit Kit | 141 |
3 | SEO Exploit Kit | 122 |
4 | Phoenix Exploit Kit | 90 |
5 | Eleonore Exploit Pack | 26 |
Black Hole Exploit Kitに代表されるドライブバイダウンロード攻撃ツールは、Exploit Packと呼ばれ、アンダーグラウンドで多数売買されている(表1)。また、ツールを管理するために写真1のようなWeb GUIが準備されており、Webサーバーへインストールするためのインストールマニュアルなどが付属している場合もある。
Black Hole Exploit Kitは、クライアントPCにウイルスを感染させるために多数のクライアントアプリケーションの脆弱性を攻撃する機能を持っている。表2は、攻撃のターゲットとなる脆弱性の一覧である。この11種類の脆弱性のうち、最も攻撃の成功率が高い(脆弱性が残されたままになっている)アプリケーションは、JRE / JDKの脆弱性(CVE-2010-0840)だった。Javaの脆弱性はそのほかにも三つ利用されているが、その中で最も古い脆弱性(脆弱性公開日:2010年3月30日)が最も被害を与えていることが分かる。つまり、最近のアップデート適用をたまたま忘れていたために被害を受けたということではなく、古いバージョンをアップデートすることなく使い続けているケースが多いことがうかがえる。また、Javaの脆弱性をすべて合わせると58%となり、半数以上がJavaの脆弱性が放置されていた結果、被害を受けていたことが分かる。
表2●Black Hole Exploit Kitが攻撃対象とする脆弱性一覧
脆弱性公開日 | アプリケーション | CVE |
---|---|---|
2006年4月11日 | MDAC (Microsoft Data Access Components) | CVE-2006-0003 |
2008年2月6日 | Adobe Reader / Acrobat | CVE-2007-5659 |
2008年11月4日 | Adobe Reader / Acrobat | CVE-2008-2992 |
2009年3月18日 | Adobe Reader / Acrobat | CVE-2009-0927 |
2009年12月14日 | Adobe Reader / Acrobat | CVE-2009-4324 |
2010年2月16日 | Adobe Reader / Acrobat | CVE-2010-0188 |
2010年3月30日 | JRE(Java Runtime Environment) / JDK(Java Development Kit) | CVE-2010-0840 |
2010年4月9日 | JRE / JDK | CVE-2010-0886 |
2010年6月10日 | Windowsのヘルプとサポートセンター | CVE-2010-1885 |
2010年10月12日 | JRE / JDK | CVE-2010-3552 |
2011年2月15日 | JRE / JDK | CVE-2010-4452 |
さらに、Adobe Readerの脆弱性が放置されている割合が高く、すべて合わせると35%という結果だった(図1)。
JavaとAdobe Readerを合わせるとサードパーティーのアプリケーションだけで全体の93%を占めており、サードパーティーアプリケーションのアップデート未適用がウイルスダウンロードの主な原因となっていることが分かる。なお、Windows OSの脆弱性が原因となった(Windowsのヘルプとサポートセンターおよび、Microsoft Data Access Components)割合は7%程度であり、Windows OSの脆弱性にはパッチが適応されているが、サードパーティーのアプリケーションまで対応できていない環境が多数存在することがうかがえる。
最近では、上記のアプリケーション以外にAdobe Flash Playerの脆弱性を悪用する事例も増加している。2011年3月、4月、5月と3カ月連続でAdobe Flash Playerのゼロデイ脆弱性(CVE-2011-0609、CVE-2011-0611、CVE-2011-0627)を悪用する攻撃が確認されており、Java、Adobe Readerに加えてAdobe Flash Playerの脆弱性にも注意する必要がある。
前回の調査から1年ほど経過しているが、JavaとAdobe Readerの脆弱性が、問題となっている状態は変わっていなかった。1年前と比べると、Javaの脆弱性を悪用する攻撃はインターネット上で明らかに増加している。攻撃者も、サードパーティーのアプリケーションはアップデートされていない状況を把握したうえで、攻撃ツールを作成していると考えられる。
今後も、JavaとAdobe Readerを含めたサードパーティーのアプリケーションが攻撃のターゲットとなる状況は続いていくと考えられる。改めて、クライアントPCのセキュリティ状況を確認していただきたい。
朝長 秀誠
日本アイ・ビー・エム セキュリティー・オペレーション・センター
セキュリティー・アナリスト
「今週のSecurity Check」は,セキュリティに関する技術コラムです。日本アイ・ビーエム マネージド・セキュリティー・サービスのスタッフの方々を執筆陣に迎え,同社のセキュリティオペレーションセンター(SOC)で観測した攻撃の傾向や,セキュリティコンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より) ■IBM Security Servicesが提供するネットワークセキュリティの最新情報はこちら■ |