今週のSecurity Check

 以前、Gumblar攻撃の被害に遭ったクライアントPCの調査から判明した、クライアントパソコン(PC)に放置されやすい脆弱性について解説した(関連記事)。前回の調査では、クライアントPCに放置されやすい脆弱性の1位はJava、ほぼ同数の2位がAdobe Readerという結果だった。前回の調査から1年経過し、この傾向に変化があるか、改めて同様の調査した。その結果について解説する。

 前回の調査では、Gumblar攻撃の被害に遭ったクライアントPCを対象としたが、今回は、Black Hole Exploit Kitと呼ばれるドライブバイダウンロード攻撃ツールの被害にあったクライアントPCを対象にした。この攻撃ツールは、2011年上半期に日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)の観測範囲において最もウイルス感染の被害が多かった攻撃ツールである(表1)。

表1●Exploit Pack別ウイルスダウンロード発生件数(上位5件)
(東京SOC調べ:2011年1月1日~6月30日)

No.Exploit Pack Nameウイルスダウンロード検知数
1Black Hole Exploit Kit223
2Incognito Exploit Kit141
3SEO Exploit Kit122
4Phoenix Exploit Kit90
5Eleonore Exploit Pack26

 Black Hole Exploit Kitに代表されるドライブバイダウンロード攻撃ツールは、Exploit Packと呼ばれ、アンダーグラウンドで多数売買されている(表1)。また、ツールを管理するために写真1のようなWeb GUIが準備されており、Webサーバーへインストールするためのインストールマニュアルなどが付属している場合もある。

写真1●Black Hole Exploit KitのWeb管理画面
[画像のクリックで拡大表示]

 Black Hole Exploit Kitは、クライアントPCにウイルスを感染させるために多数のクライアントアプリケーションの脆弱性を攻撃する機能を持っている。表2は、攻撃のターゲットとなる脆弱性の一覧である。この11種類の脆弱性のうち、最も攻撃の成功率が高い(脆弱性が残されたままになっている)アプリケーションは、JRE / JDKの脆弱性(CVE-2010-0840)だった。Javaの脆弱性はそのほかにも三つ利用されているが、その中で最も古い脆弱性(脆弱性公開日:2010年3月30日)が最も被害を与えていることが分かる。つまり、最近のアップデート適用をたまたま忘れていたために被害を受けたということではなく、古いバージョンをアップデートすることなく使い続けているケースが多いことがうかがえる。また、Javaの脆弱性をすべて合わせると58%となり、半数以上がJavaの脆弱性が放置されていた結果、被害を受けていたことが分かる。

表2●Black Hole Exploit Kitが攻撃対象とする脆弱性一覧

脆弱性公開日アプリケーションCVE
2006年4月11日MDAC (Microsoft Data Access Components)CVE-2006-0003
2008年2月6日Adobe Reader / AcrobatCVE-2007-5659
2008年11月4日Adobe Reader / AcrobatCVE-2008-2992
2009年3月18日Adobe Reader / AcrobatCVE-2009-0927
2009年12月14日Adobe Reader / AcrobatCVE-2009-4324
2010年2月16日Adobe Reader / AcrobatCVE-2010-0188
2010年3月30日JRE(Java Runtime Environment) / JDK(Java Development Kit)CVE-2010-0840
2010年4月9日JRE / JDKCVE-2010-0886
2010年6月10日WindowsのヘルプとサポートセンターCVE-2010-1885
2010年10月12日JRE / JDKCVE-2010-3552
2011年2月15日JRE / JDKCVE-2010-4452

 さらに、Adobe Readerの脆弱性が放置されている割合が高く、すべて合わせると35%という結果だった(図1)。

図1●マルウエアダウンロードの原因となった脆弱性の割合(東京SOC調べ 総数549件)
[画像のクリックで拡大表示]

 JavaとAdobe Readerを合わせるとサードパーティーのアプリケーションだけで全体の93%を占めており、サードパーティーアプリケーションのアップデート未適用がウイルスダウンロードの主な原因となっていることが分かる。なお、Windows OSの脆弱性が原因となった(Windowsのヘルプとサポートセンターおよび、Microsoft Data Access Components)割合は7%程度であり、Windows OSの脆弱性にはパッチが適応されているが、サードパーティーのアプリケーションまで対応できていない環境が多数存在することがうかがえる。

 最近では、上記のアプリケーション以外にAdobe Flash Playerの脆弱性を悪用する事例も増加している。2011年3月、4月、5月と3カ月連続でAdobe Flash Playerのゼロデイ脆弱性(CVE-2011-0609、CVE-2011-0611、CVE-2011-0627)を悪用する攻撃が確認されており、Java、Adobe Readerに加えてAdobe Flash Playerの脆弱性にも注意する必要がある。

 前回の調査から1年ほど経過しているが、JavaとAdobe Readerの脆弱性が、問題となっている状態は変わっていなかった。1年前と比べると、Javaの脆弱性を悪用する攻撃はインターネット上で明らかに増加している。攻撃者も、サードパーティーのアプリケーションはアップデートされていない状況を把握したうえで、攻撃ツールを作成していると考えられる。

 今後も、JavaとAdobe Readerを含めたサードパーティーのアプリケーションが攻撃のターゲットとなる状況は続いていくと考えられる。改めて、クライアントPCのセキュリティ状況を確認していただきたい。


朝長 秀誠
日本アイ・ビー・エム セキュリティー・オペレーション・センター

セキュリティー・アナリスト

 「今週のSecurity Check」は,セキュリティに関する技術コラムです。日本アイ・ビーエム マネージド・セキュリティー・サービスのスタッフの方々を執筆陣に迎え,同社のセキュリティオペレーションセンター(SOC)で観測した攻撃の傾向や,セキュリティコンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)

■IBM Security Servicesが提供するネットワークセキュリティの最新情報はこちら