プレスリリース全文（590KB） - IPA 独立行政法人 情報処理推進機構

プレスリリース
2009 年 7 月 21 日
独立行政法人情報処理推進機構
「ツールを利用した標的型攻撃の広がり」についての調査結果の公開
～「脆弱性を利用した新たなる脅威の監視・分析による調査」最終報告書～
IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、
「脆弱性を利用した新たなる脅威の
監視・分析による調査」を実施し、その最終報告書を、2009 年 7 月 21 日（火）から公開しました。
URL：http://www.ipa.go.jp/security/vuln/report/newthreat200907.html
本報告書では、近年のマルウェア1の動向についての調査・分析、今後の標的型攻撃2などの新たな脅
威に向けた対策方法を検討しています。
近年、ソーシャル・エンジニアリング3やマルウェアなどの、情報セキュリティ上の新たなる脅威によ
る被害が発生していることから、IPA では、
「脆弱性を利用した新たなる脅威の監視・分析による調査」
を実施し、2009 年 2 月 6 日には「脆弱性を狙った脅威の分析と対策について」の第一弾として「ソー
シャル・エンジニアリングを巧みに利用した攻撃の分析と対策」を公開しました。
URL：http://www.ipa.go.jp/security/vuln/report/newthreat200902.html
このドキュメントでは、2008 年 4 月に発生した、IPA を騙った「なりすましメール」による攻撃の詳
細を明らかにすることで、脆弱性とソーシャル・エンジニアリングを利用した標的型攻撃への対策方法
を示しました。
今回公開した最終報告書においては、IPA 設置の窓口、不審メール 110 番に 2008 年第 4 四半期に届
けられたマルウェアの解析を行い、その攻撃手法や対策についてまとめました。調査の結果、この攻撃
の裏側には、ソフトウェアの脆弱性を悪用する、悪意の PDF ファイルを自動的に生成するツールの存
在を確認しました。また、そういったツールを売買する地下組織ビジネスが存在することも推測されま
した。
マルウェアを利用した攻撃を行う環境が整備されつつある一方で、ユーザー側ではその対策環境の整
備や周知徹底は未だ不充分のままです。そこで、IPA では今後も継続的に調査を行うと共に、
「脆弱性を
狙った脅威の分析と対策について」として、定期的に調査結果の発表を行っていく方針です。
なお、IPA では、本報告書の事例のような「不審メール」の情報収集、および予防・対処方法などの
情報提供を目的とした「不審メール 110 番」相談窓口を設置しています。詳細は、以下の URL を参照
ください。
URL：http://www.ipa.go.jp/security/virus/fushin110.html
本報告書（全 20 ページ）は、次の URL よりダウンロードの上、ご参照ください。
URL：http://www.ipa.go.jp/security/vuln/report/newthreat200907.html
■ 本件に関するお問い合わせ先
IPA セキュリティセンター 中野／長谷川
Tel: 03-5978-7527 Fax: 03-5978-7518 E-mail: [email protected]
■ 報道関係からのお問い合わせ先
IPA 戦略企画部広報グループ 横山／白石
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: [email protected]
1
2
3
Malicious Software：悪意あるプログラム。ユーザーの望まない悪さをするプログラムのこと。
特定の企業あるいは組織内のイントラネット内のパソコンを標的とした攻撃
話術や盗み聞き・盗み見等を利用し、人間の心理・行動の隙を突くことで情報を不正に取得する手段の総称。
別紙
1.
マルウェアの解析結果
1.1.
概要
本攻撃は、2008 年 4 月に発生した IPA を騙った標的型攻撃同様、電子メールに悪意の PDF ファイル
が添付されており、当該 PDF ファイルを脆弱性の存在するソフトウェアで閲覧することで、PDF ファ
イルに含まれているマルウェアが実行されるという仕組みになっています。この攻撃も、IPA のケース
と同様に Adobe Reader の脆弱性が利用されており、脆弱性の攻略・悪用によるマルウェア実行の仕組
みが共通しています。しかし、実行されるマルウェアは異なっており、後述する PDF マルウェア作成
ツールにより生成された可能性が高いと考えられます。以降、マルウェアの動作について記載します。
1.2.
マルウェアの全体像
図 1 攻撃の全体像
悪意の PDF ファイル内には、Zlib 圧縮された悪意の JavaScript コードが含まれています。この Zlib
圧縮された悪意の JavaScript コードは、Adobe Reader の実行時に自動的にメモリ上に展開され、Adobe
Reader に存在する CVE-2007-5659（JVNDB-2008-001095）の脆弱性を利用し、攻撃コードを実行し
ます。これにより、悪意の PDF ファイル内に含まれるマルウェアがファイルシステム上に生成され、
実行されます。
1.3.
本マルウェアの特徴
生成されたマルウェアは、レジストリの値を変更し、ログオン時に自動的に実行されるように設定し
ます。その後、2 つのスレッドを作成し、それらは、それぞれキーロガーの役割、リモートサーバーと
の通信を監視する役割を担っています。また、このマルウェアは Internet Explorer 等のプロセスにコー
ドをインジェクトします。このインジェクトされたコードは、リモートサーバーと通信を行い、受信し
たコードブロックをメモリ上で実行することができるバックドア機能をもっています。また、リモート
サーバーとの通信において、チャレンジ・レスポンス方式による認証、カメリア暗号方式4を用いた送受
信データの暗号化が行われており、マルウェア検知および、解析に対する対策が施されていると考えら
れます。
4
NTT と三菱電機が共同で開発した共通鍵暗号方式の一種
1
2.
攻撃者によるツールの利用
過去に発見されたマルウェア作成ツールを紹介します。これらのツールは洗練されたユーザインター
フェースにより、プログラミングに精通していない攻撃者であっても、容易に様々な機能を持つマルウ
ェアを作成することができます。図 2 にツールの利用による前述の悪意の PDF ファイルの作成イメー
ジを示します。
図 2 ツールの利用による悪意の PDF ファイルの作成
アンダーグラウンドビジネスとして、このようなマルウェア作成ツールが売買されていることも確認
されているため、ツールが犯罪組織などに流通することにより、前回の調査結果により得られた様なソ
ーシャルエンジニアリングを使った攻撃が早期に可能になると考えられます。
2.1.
PDF マルウェア作成ツール
2008 年 6 月に、フィンランドのセキュリティ企業であるエフ・セキュアから PDF マルウェア作成ツ
ールが発見されています5。このツールは、ダミーとなる PDF ファイルとそのファイルに埋め込む実行
形式ファイル、攻撃対象の OS と Adobe Reader のバージョンを指定するだけで、簡単に攻撃対象の環
境に対する悪意の PDF ファイルを作成することができます。
図 3 PDF マルウェア作成ツール(エフ・セキュアの情報から引用)
5
http://www.f-secure.com/weblog/archives/archive-062008.html#00001450
2
2.2.
Microsoft Server サービス脆弱性を狙ったツール
米 Microsoft 社が「深刻度:緊急」でリリースを行った「MS08-067」の脆弱性を利用した攻撃ツール
が発見されています6。このツールは、脆弱性の存在するコンピュータを検索し、脆弱性を悪用すること
で指定した URL からマルウェアをダウンロード・実行させることが可能です。
図 4 MS08-067 の脆弱性のあるコンピュータに対し、任意プログラムのダウンロード攻撃を仕掛ける
ツール
2.3.
複数の機能を持つマルウェア作成ツール
2008 年 12 月にスペインのセキュリティ企業であるパンダセキュリティにより、実装したい機能を選
択するだけで、複数の機能を持ったマルウェアを作成することができるツールが発見されています7。
マルウェアに組み込める機能は 50 種類以上存在し、Windows ファイアウォールや自動更新機能の無
効化、特定のソフトウェアの起動防止機能等が用意されています。ツールの利用者は、マルウェアに実
装したい機能にチェックボックスを入れ、CreateVirus ボタンをクリックするだけでマルウェアを作成
することが可能です。
6
7
http://blog.trendmicro.co.jp/archives/2115
http://pandalabs.pandasecurity.com/archive/_2200_Constructing_2200_-bad-things_2E002E002E00_again.aspx
3
図 5 複数の機能を持つマルウェア作成ツール（パンダセキュリティの情報から引用）
発見されているツールは氷山の一角であり、上記のツールより高い機能を持つツールが存在する可能
性は大いに考えられます。
これらのツールは脆弱性に対する攻撃のアプローチを広げ、機能を追加することで、攻撃の幅を広げま
す。ツールにより作成されたマルウェアによる被害を最小限にとどめるためにも日々の対策が重要にな
ります。
3.
事前対策
最新版ソフトウェアの利用
攻撃に利用されている Adobe Reader の脆弱性は、2008 年 2 月に報告されたものであり、既にベ
ンダーから脆弱性の修正されたバージョンが公開されています。そのため、ソフトウェアを常に最
新版にアップデートし、利用することで脆弱性を利用した攻撃による脅威を低減することが可能で
す。最新版の Adobe Reader は、以下の URL より入手することができます。
http://get.adobe.com/jp/reader/
ハードウェア DEP の利用
Microsoft Windows XP SP2 以降では、ハードウェア DEP と呼ばれるセキュリティ機構が OS に搭
載されており、ハードウェア DEP を利用するためには、OS、およびコンピュータに搭載されてい
るプロセッサの両方がこれに対応している必要があります。ハードウェア DEP が利用可能な環境
では、これを利用することで、本攻撃において利用されたメモリ破壊に起因する脆弱性によるコー
ド実行の多くを防止することが可能です。ハードウェア DEP の詳細については、以下の URL を参
照。
http://support.microsoft.com/kb/884515/ja
不要な機能の無効化
本攻撃は、Adobe Reader の JavaScript エンジンに実装されている特定の関数の脆弱性を利用して
おり、そのため、Adobe Reader において JavaScript サポートが必要ない場合は、設定からこれを
無効化することで攻撃を防止することが可能です（次頁図 6）
。
4
図 6 Adobe Reader における JavaScript エンジンの無効化
4.
事後対策
レジストリ値の確認
レジストリを変更することで、自身をログオン時に自動起動するよう設定します。当該レジストリ
の有無を確認することで、感染の有無を特定することができます。
管理者権限がある場合は、HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Active Setup¥Installed
Components
配下のいずれかに"StubPath = C:¥WINDOWS¥system32¥winsys.exe"が設定されます。
管理者権限がない場合は、
HKEY_CURRENT_USER¥Software¥Microsoft¥Windows¥CurrentVersion¥Run
配下のいずれかに作成されます。
システムディレクトリにある怪しいファイルの確認
本攻撃において、キーロガーの結果を保存するファイルがシステムディレクトリに作成されます。
マルウェアによっては、システムディレクトリに情報を格納するファイルを作成する場合があるた
め、定期的にシステムディレクトリを確認することにより、マルウェアに感染の有無を確認できる
ことがあります。今回のケースの場合では、システムディレクトリに winsys ファイルが存在する
か確認することで、感染の有無を特定することができます。
5.
さいごに
マルウェア作成にツールを利用することで、1 つの脆弱性を利用して、様々な個人・組織を標的にし、
搾取する情報に応じたマルウェアを選択することが可能となります。また、ツールを利用することで、
プログラミングやネットワークなどコンピュータに精通していなくても、容易に高機能をもつマルウェ
アの作成や利用が可能になることは、大きな脅威になります。
このような脅威による被害を防ぐためにも、公開された修正パッチの適用を迅速に行うとともに、定
期的にセキュリティの動向や対策について、確認をしておくことが重要となります。
当機構では、今後の新たな脅威についても、調査・分析を実施し、対策を発表します。
5