information-security-frontline3_tab
- 攻撃ツールの流通- selected tab,
- 攻撃ツールの影響と対策
サイバー攻撃が増えてきた背景の1つに、攻撃ツールやその開発キットなどがアンダーグラウンドに流通するようになった状況があります。技術的な専門知識があまりなくてもウィルスなどを作成できるツールがブラック・マーケットで売買され、それがサイバー犯罪の組織化や分業化の契機になっています。
「集中連載:情報セキュリティー最前線」第3回目は、こうしたサイバー攻撃ツールの概要と、それによって高まる危険性、およびその対策について紹介します。
ドライブ・バイ・ダウンロード攻撃とExploit Pack(Exploit Kit)
ドライブ・バイ・ダウンロード攻撃は、Webサイトを閲覧したPCなどにウィルスを感染させる攻撃手法です。攻撃者は、一般のWebサイトを改ざんし、そこにアクセスしてきたユーザーをウィルスが仕込まれた不正なWebサイトへ自動的にリダイレクトさせることで攻撃を行い、Webサイト閲覧者のPCにウィルスを感染させます。
たとえば東京セキュリティー・オペレーション・センター(以下SOC)では、2011年、有名な検索サイトの画像検索の結果をクリックすると不正なサイトに転送される現象を発見し警告レポートを出しましたが、これはSEO(Search Engine Optimization: 検索サイトにおいてより上位に検索結果が表れるようにする技術)を悪用して、不正サイトへのリンクが検索結果の上位に表示されるよう操作されたためでした。知らずにこの不正なサーバーにアクセスすると、JavaやAdobe Readerなどの脆弱性を悪用してウィルスに感染させようとする攻撃が行われました。
SOCにおけるドライブ・バイ・ダウンロード攻撃検知数は2010年から横ばいで、減少する傾向はありません。
東京SOCによるドライブ・バイ・ダウンロード攻撃検知件数
ドライブ・バイ・ダウンロード攻撃で感染するウィルスとして最も多く確認されたのは、偽のアンチウィルス・ソフトなどの購入を強要する「スケアウェア」と呼ばれる脅し目的のウィルスでした。これまで、スケアウェアはWindows OSに感染するものが主流でしたが、2011年5月ごろからMac OSを対象にするものも確認されるようになりました。
Exploit Pack
ドライブ・バイ・ダウンロード攻撃を行う攻撃者に利用されているのが「Exploit Pack」または「Exploit Kit」と呼ばれるツール群です。Exploit Packは、OSやブラウザー、アプリケーションなどの脆弱性を悪用する攻撃コードと、一般のWebサイトからリダイレクトされてきたWeb閲覧者のPCなどにウィルスを感染させるための仕組みを提供します。
ドライブ・バイ・ダウンロード攻撃とExploit Packの役割
Exploit Packは、ブラック・マーケットで売買されていますが、ソフトウェアのツール・キットとして販売されるほか、EaaS(Exploit Pack as a Service)などと呼ばれるウィルスが仕込まれた攻撃用不正Webサイトがサービスとして提供されるケースも増えています。
東京SOC が検知したExploit Packの中で最も多かったのは、Black Hole Exploit Kitと呼ばれるツールによる攻撃でした。このツールによる攻撃は2011年2月ごろから徐々に検知数が増加し、現在でも多数検知されています。
ウィルス検知確認サービスの悪用
「ウィルス検知確認サービス」は、ファイルがウィルスに感染しているかどうかを、複数のアンチウィルス・ソフトによって確認することができるWebサービスで、通常は一般のユーザーがセキュリティーを維持するために利用するものです。たとえば「VIRUS TOTAL」という無償で利用できるウィルス検証サイトでは、PCのドライブに保存されているファイルをアップロードするだけで、さまざまなアンチウィルス・ソフトで、そのファイルがウィルスとして検出できるかどうかを回答してくれます。
しかし、アンダーグラウンドには、サイバー攻撃者にとってより利用しやすい類似の有償サービスがあり、攻撃者が、開発したウィルスの有効性を確認するために悪用する場合があります。こうしたアンダーグラウンドのサービスは、攻撃に使用するウィルスがターゲットの防衛線を擦り抜けられるかどうかを事前に確認することで、ウィルスの選択や改変に利用されています。
次ページでは、攻撃ツールの流通が犯罪活動に与えている影響や、多発する攻撃への対策について解説します。
