「2005年中,インターネット上で観測した攻撃の7割以上が,バッファ・オーバーフローの脆弱性(セキュリティ・ホール)を突くものだった。最近では,ボットの多くがバッファ・オーバーフロー脆弱性を突いて感染を広げている」---。セキュリティ・ベンダーであるラックのセキュリティプランニングサービス部 担当部長の新井悠氏は4月27日,セキュリティ会議/展示会の「RSA Conference Japan 2006」において,バッファ・オーバーフロー脆弱性の現状や対策について講演した。(写真1)。
ここ数年,毎日のようにさまざまなソフトウエアに脆弱性が見つかっている。そのうちバッファ・オーバーフロー脆弱性が占める割合はおよそ10%程度であり,それほど多くはないという。「数としては,SQLインジェクションやクロスサイト・スクリプティングなどのほうが多い」(新井氏)。
だが,バッファ・オーバーフロー脆弱性を悪用すれば,リモートから任意のプログラムを実行できるケースが多いので,実際の攻撃には頻繁に悪用されている。新井氏によると,2005年に同社で観測したネット上の攻撃のうち,73%がバッファ・オーバーフロー脆弱性を悪用するものだったという(写真2)。
その攻撃の“担い手”になっているのが,多くの場合,ボットであるという。ボットとは,コンピュータに感染して,そのコンピュータを攻撃者が自由に操れるようにする悪質なプログラム(マルイウエア)のこと。ボットで構成されるボットネットは,さまざまな攻撃の踏み台になるため,大きな問題になっている(関連記事)。
ボットの感染経路は,メールやWeb,P2Pアプリケーションなどさまざま。なかでも,「脆弱性を突いて他のコンピュータにボットを感染させる『能動的な感染』が最も多い」(新井氏)。Telecom-ISAC JapanやJPCERTコーディネーションセンターなどが2005年1月に実施した調査によると,能動的な感染で悪用される脆弱性の76%が,バッファ・オーバーフロー脆弱性だったという(関連記事)。
バッファ・オーバーフロー脆弱性を悪用した攻撃の被害に遭わないためには,「修正プログラムを適用することが第一」(新井氏)。その上で,脆弱性を突く攻撃を遮断できるセキュリティ製品の利用や,バッファ・オーバーフロー対策機能(DEPなど)を備えた製品を使うことなどを対策として挙げた。
「ユーザーばかりではなく,開発者もバッファ・オーバーフロー脆弱性を作りこまないようにすることが重要だ。例えば,ランタイム保護手段を備えたコンパイラやコード監査ソフトウエアの利用が対策となる。セキュリティを意識した開発体制を整備することも重要だ」(新井氏)
