2015年10月に行われた越後湯沢セキュリティワークショップ。JPCERTコーディネーションセンターの竹田春樹氏が基調講演を実施した。主な趣旨は以下の通りだ。【山下雄太郎】
--------------------------------------------------------------------
2015年4月~6月にかけてのインシデントの対応状況を調べてみると、全インシデント件数が4,188件、なかでも標的型攻撃に関する報告が60件あがっている。これらをみると攻撃の被害のトレンドを見て取ることができる。
例えば2015年11月7日に、医療費通知を偽装した不審メールを擬装し、利用者に不正プログラムを感染させようとする攻撃が行われている。JPCERTではすでに2012年頃からこのような日本国内の組織をターゲットとした攻撃を観測している。
特定の組織にメールを送り、送られた人がファイルを開き、ウイルスに感染する。これら一連の攻撃で代表的なものは「Emdivi」と呼ばれるものだ。日本年金機構の情報流出もこのEmdiviによるものだった。
Emdiviの攻撃のやり方はまず、標的型メール、組織の関係者を語ってメールを送るといったもの。なかには情報を漏えいさせるためにAdobe Flashの脆弱性をついたものもある。侵入行為が行われたあとに、実際に一部の人がファイルを開いてしまうものだ。
ウェブ表示だけで、ウイルス感染
このEmdivi自体が、外部と通信することによって、組織の侵入し、横の展開を広げていこうという動きがある。Active Directryで攻撃を試みるといったケースもある。
共通のパスワードをもったアカウントがあれば、そのパスワードをつかって、ネットワーク内の別の端末に感染・攻撃するものもある。
横への展開では、Active Directryでドメインの管理ユーザのアカウントがのっとられてしまった場合、そのユーザのファイル共有機能を使われて被害が拡大するケースも目立つ。内部の仕組みをかなり熟知したうえで、攻撃を仕掛ける。
EmdiviはHTTPボット。ファイルのアップロード、ダウンロードをする機能が備わっている。また、リモートでコントロールされ、感染端末内での調査、ネットワーク調査なども行われる。
侵入につかわれるマルウェアで、Emdiviはt17というタイプがよくつかわれている。さらにt19も侵入後に送り込まれるレベルだ。
一方、ドライブバイダウンロードのケースも存在する。ドライブバイダウンロードは、ウェブサイトを表示させるだけで、ウイルスに感染させるもの。具体的にはオンライン銀行詐欺ツールやランサムウェアを忍び込ませるものがある。
ランサムウェアの感染事例としては、何らかの形で攻撃者が改ざんする。攻撃者はそういった攻撃用エクスプロイットキットを使う。エクスプロイットキットとは脆弱性を複数抱えたウェブ攻撃を行うものだ。
このキットを使うことで脆弱性の成功率はどれくらいだったのかがわかる。使用言語も英語など幅広く対応しており、支払方法もウェブマネーなどが使えるようになっている。高機能だ。
不正なSSL証明書を設定する攻撃者
攻撃が行われる場合、Javaスクリプトが攻撃手法に関与し、不正送金が行われるケースがある。さらにリバースリモートデスクトップによって感染したPCを不正に操作されるものもある。
新しい攻撃も確認されている。Tsukubaというウイルスがある。2015年2月、3月頃に日本の金融機関を攻撃したのが確認されている。端末のプロキシ設定を変更し、感染端末を攻撃者が用意したサーバに誘導して攻撃を行っている。
不正なプロキシサーバによって誘導されるサイトでは、攻撃者が不正なSSL証明書を設定している。攻撃ターゲットとする金融機関のサイトごとに、偽のSSL証明書を設定している。
脅威の変化に気づける体制作りを
ここで有効な手は、脅威の存在を知って、変化への対応を行うことだ。OS、ソフトウェアを最新の状態にすること。不要なソフトウェアを無効、削除すること。ウイルス対策ソフトウェアを導入することなどだ。
脅威の検知と変化に気づける体制作りも必要だろう。必要なログの取得、セキュリティベンダの情報の収集、他の組織との連携ももちろん重要となる。
JPCERTは、改ざん被害を受けているWebサイトやマルウェアの通信先などを調べている。それとともに攻撃対象となったIPアドレスを保有する組織を連絡するなど、被害拡大を防止する活動を行っている。
近年のサイバー攻撃ではマルウェアや攻撃インフラが刻々と変化してきている。そのため、変化への対応が重要になってくる。その際、個別対応に限界があるので、組織の情報共有が大切だ。(終)
クリックして、さらに記事を読む。 HH NEWS togetter 記事一覧
