クライアントパソコン(PC)に放置されやすい脆弱性は何か。本コラムでは、以前にも同じテーマの記事を掲載した。日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)で、ドライブバイダウンロード攻撃の被害に遭ったPCについて調査した結果に基づいた解説である。今回は、最近まとめた今年(2012年)の調査結果について解説する(参考:2010年の調査結果、2011年の調査結果)。
今回の調査では、Black Hole、Incognito、RedKit、Sakuraの4種類および名称不明の1種類のドライブバイダウンロード攻撃ツール(Exploit Pack)の被害に遭ったクライアントPCを対象に、悪用された脆弱性を調査した(表1)。これらは、東京SOCで検知したドライブバイダウンロード攻撃によく使われた攻撃ツール上位5種類で、いずれも頻繁にアップデートされ、次々に新たな脆弱性を攻撃する機能が追加されている。
| 順位 | エクスプロイトキットの名前 | マルウエア・ダウンロード検知数 |
|---|---|---|
| 1 | Incognito Exploit Kit | 276 |
| 2 | Black Hole Exploit Kit | 194 |
| 3 | 名称不明 ※ | 179 |
| 4 | RedKit | 48 |
| 5 | Sakura Exploit Pack | 32 |
調査の結果、JRE(Java Runtime Environment)/JDK(Java Development Kit)の脆弱性を突く場合が最も攻撃の成功率が高い(脆弱性が残されたままになっている)ことが分かった(図1)。JREの脆弱性がトップになるのは、これで3年連続である。しかもその割合は、2010年が38%、2011年は58%と年々増加し、今年はさらに84%まで上昇している。つまり、被害を受けている攻撃のほとんどは、JREの脆弱性が原因となっていたことが分かる。
これに対し、JREと同じく原因となる割合が高いとされているAdobe Readerは、2010年が36%、2011年は23%、今年は12%と割合が減少している。近年、攻撃者はドライブバイダウンロード攻撃ツールにAdobe Readerの脆弱性を攻撃する機能を追加することが少なくなっていることが影響していると考えられる(2012年にドライブバイダウンロード攻撃で新たに悪用されたAdobe Readerの脆弱性は0件。JREは2件)。このほか、Windows OSの脆弱性を悪用する機能も追加されることはほとんどなく、被害発生の原因となる割合も3%と少なくなっている。
こうした脆弱性が放置されている原因として、利用者のセキュリティに対する意識不足が挙げられることが多いが、JREに関しては、筆者はそれだけが理由ではないと考えている。Javaを利用するアプリケーションによっては、古いバージョンの使用を推奨しており、それが原因でアップデートができないことがある。これはJREを利用するアプリケーションを開発する側の問題であり、これによってアプリケーションを利用するユーザーをマルウエア感染の危険にさらしているのである。
JREは現在、バージョン7が推奨バージョンとなっており、バージョン6は2013年2月にサポートが終了することがアナウンスされている。早いうちにクライアントPC利用者だけでなく、アプリケーションを開発する側もバージョン7へ対応を進めることをお勧めする。
悪用されているJREの脆弱性の多くはパッチがリリースされた後の既知の脆弱性であり、JREのアップデートをリリース直後に適用していれば、攻撃の影響を受けることはほとんどない。JREを使用している場合は、自動アップデート機能などを利用して常に最新のバージョンに保つことが重要である。古いバージョンのJREの利用を強いられているのであれば、ブラウザーでJavaの利用を無効にしておき、必要な時だけ有効にするなどの対策を行うことでマルウエア感染の被害を抑えることができる。さらに、JREを利用していないのであれば、アンインストールすることもよいだろう。この機会に一度今後のJREの利用について見直すことをお勧めする。
朝長 秀誠
日本アイ・ビー・エム セキュリティー・オペレーション・センター
セキュリティー・アナリスト
| 「今週のSecurity Check」は、セキュリティに関する技術コラムです。日本アイ・ビーエム グループのスタッフの方々を執筆陣に迎え、セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より) ■IBM Security Servicesが提供するネットワークセキュリティの最新情報はこちら■ |
