...

2013年 下半期

by user

on
Category: Documents
6

views

Report

Comments

Transcript

2013年 下半期
IBM Security Services
Ahead of the Threat. ®
2013 年 下半期
Tokyo SOC
情報分析レポート
目 次
エグゼクティブ・サマリー ...................................................................... 3
1
公開サーバーに対する攻撃の動向 ......................................................... 4
1.1 Web サイトに対する攻撃の全体像 ....................................................................... 4
1.2 SQL インジェクション ...................................................................................... 6
1.3 ミドルウェアに対する攻撃 .............................................................................. 10
1.4 辞書/総当たり攻撃 ......................................................................................... 15
1.5 まとめ ........................................................................................................ 16
[Column1] 中国を送信元とする攻撃の増加 .............................................................. 17
2
クライアント PC を狙った攻撃 ........................................................... 18
2.1 ドライブ・バイ・ダウンロード攻撃 ................................................................... 18
2.2 Web を侵入経路とした標的型攻撃 ..................................................................... 25
2.3 まとめ ........................................................................................................ 26
[Column2] Tor を利用する Mevade の活動 ............................................................... 27
おわりに ............................................................................................ 29
2
2013 年下半期 Tokyo SOC 情報分析レポート
エグゼクティブ・サマリー
本レポートは、IBM が全世界 10 拠点のセキュリティー・オペレーション・センター(SOC)にて観
測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向
を、Tokyo SOC が独自の視点で分析・解説したものです。
IBM では、世界 10 拠点の SOC で 10 年以上蓄積されてきたセキュリティー・インテリジェンスを
相関分析エンジン(X-Force Protection System)へ実装し、1 日あたり約 200 億件(毎秒約 23 万件)の
膨大なデータをリアルタイムで相関分析しています。
2013 年下半期に Tokyo SOC で観測された攻撃を分析した結果、以下の実態が浮かび上がりました。
「ドライブ・バイ・ダウンロード攻撃」は 2012 年下半期比 2 倍
改ざんされた Web サイトの閲覧によりマルウェアに感染させられるドライブ・バイ・ダウンロー
ド攻撃(見ただけ感染)は 2012 年下半期と比較して 2 倍の件数でした。また、この攻撃の成功率は
2013 年上半期とほぼ変わらず、12.2%と引き続き高い成功率でした。さらに、マルウェアの配布が
海外の Web サイトからだけでなく、日本の Web サイトからも行われるようになりました。
Web を侵入経路とした「日本の特定組織向け標的型攻撃」を確認
特定組織を標的とする攻撃の侵入経路としてメールだけでなく、Web を利用する攻撃が確認されま
した。2014 年 1 月上旬に GRETECH 社 GOM Player のアップデート通信でマルウェアに感染させ
られる事例が話題となりましたが、Tokyo SOC では GOM Player のアップデート通信が確認された
23 組織のうち 1 組織のみでマルウェアのダウンロードを確認しており、特定の組織が標的とされて
いる実態が浮かび上がりました。
Apache Struts2 の脆弱性を狙った攻撃が 2.3 倍に増加
2013 年下半期では、Web アプリケーション・フレームワークやコンテンツ・マネジメント・シス
テム(CMS)の脆弱性を狙った Web サイトの改ざんが増加しました。特に Apache Struts2 の脆弱性を
狙った攻撃は、2013 年上半期と比較して 2.3 倍に増加していました。
本レポートでは上記の分析に加えて、
「中国を送信元とする攻撃の増加」と「Tor を悪用するマルウ
ェア」に関するコラムを紹介しています。
これらの情報を、セキュリティー・ポリシーの策定や、情報セキュリティー対策を検討する際の参考
として、また、情報セキュリティーに関する知識向上の一助として、ご活用いただければ幸いです。
3
2013 年下半期 Tokyo SOC 情報分析レポート
1 公開サーバーに対する攻撃の動向
2013 年上半期に引き続き、2013 年下半期も日本国内の多くの Web サイトにおいて、改ざんや情
報窃取の被害が発生しました。
本章では、このような Web サイト改ざんに悪用されるケースが多い公開サーバーの脆弱性に対する
攻撃の動向として、今期 Tokyo SOC で確認した Web アプリケーションに対する攻撃とミドルウェア
に対する攻撃、FTP や SSH サーバーに対する辞書/総当たり攻撃について解説します。
1.1 Web サイトに対する攻撃の
全体像
Webアプリケーションの
脆弱性
今期は引き続き、Web サイトの改ざんが多数発生し
ています。JPCERT/CC のレポート12によると、2013
ミドルウェア
(CMS/フレームワーク/
管理ツール)の脆弱性
年 7 月には、過去 2 年間で最も多い 1,106 件の改ざん
が報告されています。また、7 月から 12 月までの半年
間の Web サイト改ざん報告件数も、前年同期比で約 3
倍の 4,378 件に増加しています。
Webサーバーの
脆弱性
多発する Web サイト改ざんの状況を受け、201
3年 9 月には IPA および JPCERT/CC より「ウェブサ
イト改ざん等のインシデントに対する注意喚起」3が公
表され、Web サイトの運営者および管理者に対し、改
めて点検と備えが呼びかけられました。
OSの脆弱性
攻撃者が Web サイトを改ざんする際の主な方法と
管理アカウントの奪取
・辞書/総当り攻撃
・マルウェア感染
しては、以下の 5 つがあります(図 1)。
1)
Web アプリケーションの脆弱性を悪用
2)
ミドルウェアの脆弱性を悪用
3)
Web サーバーの脆弱性を悪用
4)
OS の脆弱性を悪用
5)
管理アカウントの奪取
図 1
Web サイト改ざんの手法
1
JPCERT/CC インシデント報告対応レポート[2012 年 10 月 1 日
~2012 年 12 月 31 日]
http://www.jpcert.or.jp/pr/2013/IR_Report20130117.pdf
2
JPCERT/CC インシデント報告対応レポート [2013 年 10 月 1
日~2013 年 12 月 31 日]
http://www.jpcert.or.jp/pr/2014/IR_Report20140116.pdf
3
独立行政法人情報処理推進機構および JPCERT/CC ウェブサ
イト改ざん等のインシデントに対する注意喚起~ウェブサイト改
ざんが急激に増えています~
http://www.ipa.go.jp/security/topics/alert20130906.html
4
2013 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
Web アプリケーションに対する攻撃は、Tokyo SOC
管理アカウントを奪取する手法としては、辞書/総当
で検知している攻撃イベント全体の中で最も多いイベ
たり攻撃のほか、ドライブ・バイ・ダウンロード攻撃
ントとなっています。前述の注意喚起では、Web アプ
などにより、Web サイトの管理用クライアント PC が
リケーションの脆弱性を悪用する代表的な攻撃手法と
マルウェアに感染させられ、クライアント PC 内に保
して、SQL インジェクションが挙げられています。こ
存されているユーザーID・パスワードを窃取される攻
れは、Web アプリケーションへの入力を介して、Web
撃があります5。
アプリケーションと連動するデータベースに SQL 命
令を不正に実行させる攻撃です4。
また、OS の脆弱性や、Web サーバーの脆弱性につ
次節以降では、今期 Tokyo SOC で観測された、こ
れら脆弱性を狙った攻撃を紹介します。
いては対策が進んだ一方で、Web アプリケーションと
Web サーバーの中間で機能する、コンテンツ・マネジ
メント・システム(CMS)や Web アプリケーション・フ
レームワーク、管理ツールといった、ミドルウェアの
脆弱性を狙った攻撃が目立つようになりました。前述
の注意喚起でも、攻撃対象となっている CMS や Web
アプリケーション・フレームワークの具体的な脆弱性
が挙げられています。
4
その他、Web アプリケーションに対する攻撃手法全般について
は、「OWASP Top 10-2013:The Ten Most Critical Web
Application Security Risks」などをご参照ください。
https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN
.pdf
5
Web サイトの管理端末への侵入手法については、「2013 年上
半期 Tokyo SOC 情報分析レポート」の p.28-p.29 “攻撃の事
例”をご参照ください。
http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_
h1.pdf
5
2013 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
1.2 SQL インジェクション
図 3 は、今期の SQL インジェクションの検知数の
推移です。ピーク時の 1 日の検知数が 2013 年上半期
SQL インジェクションは、Web アプリケーション
への入力を介して Web アプリケーションと連動する
データベースに不正に SQL 命令を実行させる攻撃で
す。挿入した SQL 文の問い合わせ結果の違いによって
攻撃者が得たい情報を引き出す「ブラインド SQL イン
ジェクション」や、攻撃者が意図した情報を取得する
ために UNION 句などの SQL 文を使用したもの、
Microsoft SQL Server など特定のデータベース製品固
有の機能による情報取得や Web サイト改ざんを行う
ものなど、さまざまな攻撃手法が存在します。
図 2 は SQL インジェクションの半期ごとの検知数
推移です。2013 年上半期と比較すると今期は半分程度
にまで減少していますが、2012 年下半期と同程度の検
知数であり、依然として継続的に攻撃が行われている
状況です。
の 5 万件程度から 2 万件程度に減少していますが、今
期も 2013 年上半期に引き続き、特定の攻撃者が特定
のターゲットに対して短期間で大量に攻撃を行ってい
る傾向は続いています。
図 4 は、SQL インジェクションの種類別の割合を
示しています。最も多いのが 37.4%を占める Microsoft
SQL Server を狙う攻撃、次いで Union 命令を利用す
る SQL インジェクションが 35.8%となっており、
2013 年上半期では 44.2%を占めていたブラインド
SQL インジェクションが 25.4%に減少しています。
今期の SQL インジェクションの傾向としては、主に
SQL インジェクションの脆弱性調査を目的としたブ
ラインド SQL インジェクションの検知数が大幅に減
少し、情報窃取を目的とした Union 命令を利用する
SQL インジェクションや Microsoft SQL Server を狙っ
た攻撃の割合が増加しています。
700,000
検知数
600,000
500,000
400,000
300,000
200,000
100,000
0
2012年下半期
2013年上半期
2013年下半期
図 2 SQL インジェクションの半期別検知数推移
(Tokyo SOC 調べ:2012 年 7 月 1 日~2013 年 12 月 31 日)
6
2013 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
25,000
検知数
20,000
15,000
10,000
5,000
2013/12/30
2013/12/23
2013/12/16
2013/12/09
2013/12/02
2013/11/25
2013/11/18
2013/11/11
2013/11/04
2013/10/28
2013/10/21
2013/10/14
2013/10/07
2013/09/30
2013/09/23
2013/09/16
2013/09/09
2013/09/02
2013/08/26
2013/08/19
2013/08/12
2013/08/05
2013/07/29
2013/07/22
2013/07/15
2013/07/08
2013/07/01
0
図 3 SQL インジェクションの日別検知数推移
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
1.5%
25.4%
37.4%
ブラインドSQLインジェクション
Union命令を利用する
SQLインジェクション
Microsoft SQL Serverを狙う攻撃
その他のSQLインジェクション
35.8%
図 4 SQL インジェクションの種類別割合
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
7
2013 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
図 5~図 7 は、
ブラインド SQL インジェクション、
このように、SQL インジェクションの脆弱性に対す
Union 命 令 を 利 用 す る SQL イ ン ジ ェ ク シ ョ ン 、
る攻撃は引き続き確認されており、注意が必要な攻撃
Microsoft SQL Server を狙う攻撃それぞれの日別の検
であるといえます。
知数の推移です。
SQL インジェクションによる被害を未然に防ぐた
ブラインド SQL インジェクションと Union 命令を
めに、独立行政法人 情報処理推進機構(IPA)が発行し
利用する SQL インジェクションは 2012 年下半期と同
ている「安全なウェブサイトの作り方」6などを参考に
程度の攻撃を継続して検知しています。
この攻撃への対策を検討してください。
また、Microsoft SQL Server を狙う攻撃に関しては
引き続き散発的な攻撃を確認しています。
6
独立行政法人情報処理推進機構 安全なウェブサイトの作り方
http://www.ipa.go.jp/security/vuln/websecurity.html
8,000
検知数
7,000
6,000
5,000
4,000
3,000
2,000
1,000
2013/12/30
2013/12/23
2013/12/16
2013/12/09
2013/12/02
2013/11/25
2013/11/18
2013/11/11
2013/11/04
2013/10/28
2013/10/21
2013/10/14
2013/10/07
2013/09/30
2013/09/23
2013/09/16
2013/09/09
2013/09/02
2013/08/26
2013/08/19
2013/08/12
2013/08/05
2013/07/29
2013/07/22
2013/07/15
2013/07/08
2013/07/01
0
図 5 ブラインド SQL インジェクションの日別検知数推移
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
8
2013 年下半期 Tokyo SOC 情報分析レポート
2013 年下半期 Tokyo SOC 情報分析レポート
2013/12/30
2013/12/30
2013/11/18
2013/11/11
2013/11/04
2013/10/28
2013/10/21
2013/10/14
2013/10/07
2013/09/30
2013/09/23
2013/09/16
2013/09/09
2013/09/02
2013/08/26
2013/08/19
2013/08/12
2013/08/05
2013/07/29
2013/07/22
2013/07/15
2013/07/08
2013/07/01
2013/12/23
0
2013/12/23
5,000
2013/12/16
10,000
2013/12/16
15,000
2013/12/09
20,000
2013/12/09
検知数
2013/12/02
25,000
2013/12/02
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
2013/11/25
図 6 Union 命令を利用する SQL インジェクションの日別検知数推移
2013/11/25
2013/11/18
2013/11/11
2013/11/04
2013/10/28
2013/10/21
2013/10/14
2013/10/07
2013/09/30
2013/09/23
2013/09/16
2013/09/09
2013/09/02
2013/08/26
2013/08/19
2013/08/12
2013/08/05
2013/07/29
2013/07/22
2013/07/15
2013/07/08
2013/07/01
公開サーバーに対する攻撃の動向
12,000
検知数
10,000
8,000
6,000
4,000
2,000
0
図 7 Microsoft SQL Server を狙う攻撃の日別検知数推移
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
9
公開サーバーに対する攻撃の動向
1.3 ミドルウェアに対する攻撃
Tokyo SOC で観測したミドルウェアに対する攻撃
の代表的なものを以下に解説します。
CMS や Web アプリケーション・フレームワークと
 Apache Struts2 の脆弱性に対する攻撃
いった、Web アプリケーションと Web サーバーの中
図 8 は、Apache Struts2 に存在するリモートから任
間で機能するミドルウェア製品は、デファクトスタン
意のコマンドが実行可能な脆弱性(CVE-2010-1870、
ダードといえる製品が存在するため、それらの製品に
CVE-2013-2251 など)に対する攻撃の検知数の推移で
脆弱性が発見されると多数の Web サイトが侵入や改
す。
ざんのリスクを抱えた状態となります。
2013 年 7 月前半は検知数が少ない状況でしたが、7
CMS とは、Web サイトを構成するコンテンツの登
録や更新を総合的に管理するソフトウェアの総称です。
また、Web アプリケーション・フレームワークとは、
Web アプリケーション開発において、共通して必要と
月 16 日に新たな脆弱性(CVE-2013-2251)が公開され
た以降は検知数が増加し、攻撃者によって活発に利用
されている実態が浮かび上がっています。
検知総数としては、2013 年上半期が 30,425 件であ
なる機能をライブラリ化したものです。
ったのに対して、2013 年下半期は 68,527 件と 2.3 倍
に増加しています。
3,000
検知数
2,500
2,000
1,500
1,000
500
2013/12/30
2013/12/23
2013/12/16
2013/12/09
2013/12/02
2013/11/25
2013/11/18
2013/11/11
2013/11/04
2013/10/28
2013/10/21
2013/10/14
2013/10/07
2013/09/30
2013/09/23
2013/09/16
2013/09/09
2013/09/02
2013/08/26
2013/08/19
2013/08/12
2013/08/05
2013/07/29
2013/07/22
2013/07/15
2013/07/08
2013/07/01
0
図 8 Apache Struts2 の脆弱性(CVE-2013-2251 など)を悪用する攻撃の日別検知数推移
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
10
2013 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
 Parallels Plesk Panel の脆弱性に対する攻撃
図 9 は、CVE-2013-4878 の脆弱性に対する攻撃の
2013 年 6 月に Parallels 社の Plesk Panel に存在す
検知数の推移です。脆弱性が公開された直後である 7
る任意のコードが実行可能な脆弱性(CVE-2013-4878)
月が最も検知数が多く、攻撃者によってこの脆弱性が
が公開されました7。この脆弱性は CGI モードの PHP
活発に利用されていました。その後、10 月まで検知数
5.3.12 以前および 5.4.2 以前の環境で動作させている
の多い状況が継続していましたが、11 月以降は減少し
Linux 版 Plesk Panel バージョン 9.0 から 9.2.3 まで
ています。攻撃の送信元は、中国や米国、ドイツ、フ
が影響を受けます。
ランスなど海外の IP アドレスで、日本国内からの攻撃
は確認されませんでした。
7
Parallels Plesk Panel: phppath/PHP vulnerability
http://kb.parallels.com/116241
80
検知数
70
60
50
40
30
20
10
0
2013年7月
2013年8月
2013年9月
2013年10月
2013年11月
2013年12月
図 9 Parallels Plesk Panel の脆弱性(CVE-2013-4878)を悪用する攻撃の月別検知数推移
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
11
2013 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
 PHP の脆弱性に対する攻撃
2013 年 10 月頃より、この脆弱性を悪用する新たな
Tokyo SOC では 2012 年 5 月より PHP の脆弱性
手法による攻撃が確認されています。この新手法によ
(CVE-2012-1823)を悪用する攻撃を継続的に検知し
る攻撃は、いわゆる「Apache Magica 攻撃」8と呼ばれ
ていますが、2013 年 8 月より検知数が急増し、また
るもので、攻撃コードが一般に公開されています。
11 月からはこの脆弱性を悪用する異なる手法の攻撃
従来型の攻撃は、CGI モードで動作する脆弱なバー
が行われるようになってきています。また、海外では
ジョンの PHP サーバーに実際に存在する index.php な
この攻撃を悪用して攻撃対象のサーバーをボット化す
どの PHP ファイルに対して攻撃を行うもので、CGI
る一連の攻撃も確認されています。
モードで動作する PHP サーバーが存在していたとし
この脆弱性は、PHP を CGI モードで利用している
ても、アクセス可能な PHP ファイルが存在しなけれ
場合に影響を受けるもので、この脆弱性を悪用すると
ば実質的には攻撃の被害は発生しないと考えられてい
リモートから不正なスクリプトが実行可能になります。
ました。
ところが、図 11 の新手法では、オプション“-d”の
図 10 は Tokyo SOC にて確認した実際の攻撃例で、
後 に 指 定 す る PHP パ ラ メ ー タ の 設 定 項 目 に
オプション“-d”の後には任意の設定項目を指定するこ
“cgi.force_redirect”と“cgi.redirect_status_env”を利用
と が 可 能 で す 。 例 で は “ allow_url_fopen ” お よ び 、
することにより、
“/cgi-bin/php”などの PHP を実行する
“allow_url_include”を ON にすることで外部のスクリ
パスの指定だけで任意のスクリプトが実行可能になり
プ ト フ ァ イ ル の 読 み 込 み を 許 可 し 、
ます。
“auto_prepend_file”にてリクエストされた PHP スク
この手法によって、攻撃者は実際に存在する PHP
リプトの実行前に外部 Web サイトのスクリプトを実
ファイルを事前に探す必要がなくなり、一般的によく
行させています(http://~ が実行させようとしている
使用される PHP を実行するパスだけを指定して広範
外部スクリプト)
。
囲に攻撃を行えるようになったため、より効率的で成
攻撃者はこのオプションを利用してリモートから不
功率の高い攻撃が可能となりました。
正なスクリプトの実行を試みています。
8
徳丸浩「CGI 版 PHP に対する魔法少女アパッチマギカ攻撃を観
測しました」
http://blog.tokumaru.org/2013/11/apache-magica-attack.html
図 10 PHP の脆弱性(CVE-2012-1823)を悪用する攻撃(従来型)
図 11 PHP の脆弱性(CVE-2012-1823)を悪用する攻撃(新手法)
12
2013 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
図 12 は、PHP の脆弱性を悪用する攻撃の検知数の
推移です。
このように比較的古い脆弱性でも新たな攻撃手法が
発見され、それが一般に公開されることにより、再び
8 月より従来型の攻撃手法による攻撃が増加し、9
活発に攻撃が行われるようになるケースがあります。
月には 5 万件を超える攻撃を検知しましたが、10 月に
すでに一時的な回避策により対策済みであったとし
は減少し、11 月からは以前の水準と同程度まで減少し
ても、バージョンアップやパッチ適用などの根本的な
ています。
対策を行わなかった場合は、新たな手法による被害を
一方で、10 月末より新手法による攻撃が急増し、11
受けてしまう可能性があります。影響を受けるシステ
月には 2 万件超、12 月には 4 万件を超える検知が確認
ムを利用している場合は、今一度対策の実施状況を確
されています。
認してください。
60,000
従来型
新手法
50,000
40,000
30,000
20,000
10,000
0
2013年7月
2013年8月
2013年9月
2013年10月
2013年11月
2013年12月
図 12 PHP の脆弱性(CVE-2012-1823)を悪用する攻撃の月別検知数推移
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
13
2013 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
海外の IBM SOC では、この PHP の脆弱性を悪用し
なお、この“Fred-cot”に該当する攻撃は Tokyo SOC
た攻撃により攻撃対象のサーバーをボットネットの一
で監視をしている国内のお客様では確認されませんで
部にしようとする一連の攻撃を 9 月に検知し、この一
した。
連の攻撃を“Fred-cot”と名付けています 。この名称は
図 13 は、この“Fred-cot”によって使用されていたこ
攻撃で使用される FTP サーバーの URL やログインに
とが確認されているホストの IP アドレスや URI のリ
使用するユーザーID・パスワードに由来するものです。
ストです。これらのホストに関連する通信が発生して
9
いないかを Firewall や Proxy サーバーなどのログで確
PHP の攻撃に成功すると、攻撃対象のサーバーに
“gj.exe”というファイル名の Perl スクリプトを FTP サ
認し、必要に応じて通信の遮断や感染ホストの特定お
よび隔離、駆除を検討してください。
ーバーからダウンロードします。このファイルが実行
されると自身の実行プロセスを発見されにくいように
隠ぺいした後、IRC サーバーに接続し、ボットネット
の一部として攻撃指令を待ち受けるようになります。
9
IBM Security Intelligence Blog SOC Blog: “Fred-cot” attack
targeting web servers attempting to create botnet
http://securityintelligence.com/soc-blog-fred-cot-attack-targe
ting-webservers-attempting-to-create-botnet/
ボットネットの一部と化したサーバーは、攻撃指令
によって他のホストに対し DoS 攻撃やポートスキャ
ンを行うようになります。
図 13 “Fred-cot”によって使用されていたホストの IP アドレスや URI のリスト
14
2013 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
1.4 辞書/総当たり攻撃
に示します。今期、中国の IP アドレスを送信元とす
る攻撃が 51.9%を占めており、2013 年上半期に引き
Tokyo SOC では、アカウントを奪取する方法の一
つとして、ログイン ID とパスワードの組み合わせで
ログイン試行を繰り返し、有効な組み合わせを推測
する「辞書/総当たり攻撃」を 2013 年上半期に引き
続き観測しています。
続き攻撃の半数以上を占めています。
一方、日本国内の IP アドレスが送信元となった辞
書/総当たり攻撃は全体の1.5%でした。
この状況は、SSH や FTP サーバーへの管理アク
セスを許可する IP アドレスを日本国内のみに制限
するだけで、辞書/総当たり攻撃の脅威を 98.5%低減
 辞書/総当たり攻撃の送信元国別傾向
できることを示しています。
SSH および FTP サービスに対する辞書/総当たり
攻撃の送信元 IP アドレスの国別の検知割合を図 14
中国
米国
1.7%
1.7%
2.0%
2.1%
2.1%
2.3%
2.6%
4.0%
19.3%
韓国
コロンビア
ロシア
インド
51.9%
フランス
ドイツ
イギリス
10.3%
トルコ
その他
図 14 SSH および FTP サービスに対する辞書/総当たり攻撃の送信元となった IP アドレスの国別の検知割合
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
15
2013 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
1.5 まとめ
環境が無いためにテストが行えず、結果的に更新を行
わないままになっているケースもあります。
今期は、Apache Struts2 や Plesk Panel といった
Web サイト環境におけるミドルウェア製品の脆弱性
に対する攻撃の増加が確認されました。
特定のミドルウェア製品が多くの Web サイトで使
用されているため、攻撃者は、いち早く脆弱性の情報
を得てすばやく攻撃を行うことで、Web サイトを効率
的に、高い成功率で攻撃を行うことができます。
また、古い脆弱性であっても、新たな攻撃手法が発
見されることにより、再び活発に攻撃が行われるよう
になり、多くの被害が発生するケースがあることも確
認されました。
自社で使用するミドルウェア製品で脆弱性が公表さ
れた場合に、一時的な回避策をすばやく実施すること
も重要ですが、それで対策を完了とせず、バージョン
アップやパッチ適用など恒久的な根本対策の実施を忘
れずに行う必要があります。
しかしながら、本番環境に対する大幅な変更は事前
恒久的に自社でテスト環境を保持することが難しい
場合でも、必要に応じてクラウド上に環境を構築して
テストを行うなどの対応も検討してください。
さらに、脆弱性に対する対策の適用はある程度時間
を要するため、対策を実施する前に攻撃されることも
想定して、多層的な防御策をあらかじめ検討しておく
ことも重要です。
SSH や FTP サーバーに対する辞書/総当たり攻撃も
依然として活発に行われており、2013 年上半期同様、
攻撃元の多くは海外の IP アドレスでした。
引き続き、SSH や FTP、CMS や Plesk Panel など
のサーバー管理用の接続に関して、アクセス元の制限
が有効な対策であるといえます。サーバーをクラウド
環境に構築しているようなケースでは、クラウド事業
者側で Firewall 機能を無償で用意している場合もあり
ますので、このような機能を有効活用することも検討
してください。
のテストが不可欠であり、システムによってはテスト
16
2013 年下半期 Tokyo SOC 情報分析レポート
[Column1] 中国を送信元とする攻撃の増加
2013 年も例年同様、満州事変の発端となった柳条湖事件が起こった 9 月 18 日にむけて、日本をターゲ
ットとした攻撃予告がインターネット上の掲示板などで行われていることを確認しました。
120
2010年
2011年
2012年
2013年
100
80
60
40
20
2013/09/20
2013/09/18
2013/09/16
2013/09/14
2013/09/12
2013/09/10
2013/09/08
2013/09/06
2013/09/04
2013/09/02
2013/08/31
2013/08/29
2013/08/27
2013/08/25
2013/08/23
2013/08/21
2013/08/19
2013/08/17
2013/08/15
2013/08/13
2013/08/11
2013/08/09
2013/08/07
2013/08/05
2013/08/03
2013/08/01
0
図 15 中国からのブラインド SQL インジェクション攻撃送信元 IP アドレス数の日別推移
(Tokyo SOC 調べ: 2010 年~2013 年、8 月 1 日~9 月 20 日)
Tokyo SOC で観測した中国を送信元とする攻撃は例年 9 月 18 日付近の休日がピークとなる傾向が見ら
れます(図 15)
。2010 年は 9 月 18 日(土)、 2011 年は 9 月 18 日(日)、2012 年は 9 月 18 日直前の休
日である 9 月 16 日(日)に攻撃のピークを迎えていました。
2013 年は 9 月 16 日より中国を送信元とする攻撃の増加が観測されました。攻撃内容の大多数は、例年
どおり既知の Web アプリケーションの脆弱性を調査する行為や DoS 攻撃で、特に高度な攻撃は確認され
ませんでした。今年のブラインド SQL インジェクションの攻撃送信元 IP アドレス数は、過去 3 年間と比
較すると半分程度でした。攻撃に参加する人数が少なかったために、攻撃送信元 IP アドレス数が少なかっ
たものと推測されます。
2012 年までの過去 3 年間では、中国漁船が海上保安庁の巡視船に衝突する問題や、尖閣諸島の国有化
など、9 月 18 日の直前に日中関係に端を発する問題が発生したことが攻撃増加の原因の一つと考えていま
す。しかし、2013 年に関しては、同時期にこのような日中関係の問題が発生せず、中国国内で注目が集
まらなかったため、攻撃に参加する人が少なく、結果的に攻撃送信元 IP アドレス数が少なくなったものと
考えています。
このような攻撃は、平時からインターネット上で観測されている一般的な攻撃であるため、日頃から対
策を行うことが重要です。
17
2013 年下半期 Tokyo SOC 情報分析レポート
2 クライアント PC を狙った攻撃
クライアント PC を狙った攻撃では、攻撃者は Web サイトやメールを悪用して侵入します。
その後、
侵入したクライアント PC を踏み台にして、組織内の奥深くにあるシステムの破壊を行ったり、情報
の窃取を行ったりします。また特定の標的を狙うための手段として、メールだけでなく Web サイトに
巧妙な細工を施す手法も確認されるようになりました。
本章では、今期 Tokyo SOC で確認したこれらの攻撃の特徴および動向について解説します。
2.1 ドライブ・バイ・ダウンロード
攻撃
較して約 2.0 倍となっており、引き続き多数の攻撃を
検知しています。
また、今期は複数のセキュリティー企業から日本の
特定組織を標的としたドライブ・バイ・ダウンロード
ドライブ・バイ・ダウンロード攻撃は、改ざんされ
攻撃(水飲み場攻撃)が行われたとの情報が公開され
た Web サイトを閲覧したクライアント PC へマルウェ
ました1314。特定組織を標的とした攻撃については、次
アを感染させる攻撃手法です。攻撃者は、一般の Web
節で解説します。
サイトを改ざんしておき、それを閲覧したユーザーを
自動的に攻撃サーバーへ接続させ、クライアント PC
の脆弱性を悪用して、マルウェアに感染させます。
図 16 および図 17 は、Tokyo SOC におけるドライ
ブ・バイ・ダウンロード攻撃の検知数の推移です。2013
年上半期、日本国内の多くの Web サイトがマルウェ
アを拡散するよう改ざんされた101112ことによって総件
数が 3,972 件と増加していた攻撃ですが、
今期は 1,922
件に減少しました。しかしながら、2012 年下半期と比
10
JPCERT/CC Alert 2013-06-07 Web サイト改ざんに関する注
意喚起
http://www.jpcert.or.jp/at/2013/at130027.html
11
独立行政法人情報処理推進機構 2013 年 6 月の呼びかけ
https://www.ipa.go.jp/security/txt/2013/06outline.html
12
独立行政法人情報処理推進機構 2013 年 7 月の呼びかけ
https://www.ipa.go.jp/security/txt/2013/07outline.html
13
株式会社ラック 日本における水飲み場型攻撃に関する注意
喚起
http://www.lac.co.jp/security/alert/2013/10/09_alert_01.html
14
Kaspersky Lab ZAO SECURELIST Targeted exploit
http://www.securelist.com/en/blog/8133/Targeted_exploit
18
2013 年下半期 Tokyo SOC 情報分析レポート
2013 年下半期 Tokyo SOC 情報分析レポート
2013年12月
2013年11月
2013年10月
2013年9月
2013年8月
2013年7月
2013年6月
2013年5月
2013年4月
2013年3月
2013年2月
2013年1月
2012年12月
2012年11月
2012年10月
2012年9月
2013/12/30
2013/12/23
2013/12/16
2013/12/09
2013/12/02
2013/11/25
2013/11/18
2013/11/11
2013/11/04
2013/10/28
2013/10/21
2013/10/14
2013/10/07
2013/09/30
2013/09/23
2013/09/16
2013/09/09
2013/09/02
2013/08/26
2013/08/19
2013/08/12
2013/08/05
2013/07/29
2013/07/22
90
2013/07/15
2013/07/08
100
2012年8月
2012年7月
2013/07/01
クライアント PC を狙った攻撃
検知数
80
70
60
50
40
30
20
10
0
図 16 ドライブ・バイ・ダウンロード攻撃の日別検知数推移
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
1,200
1,000
検知数
800
600
400
200
0
図 17 ドライブ・バイ・ダウンロード攻撃の月別検知数推移
(Tokyo SOC 調べ:2012 年7月 1 日~2013 年 12 月 31 日)
19
クライアント PC を狙った攻撃
 Exploit Pack
GongDa Exploit Kit)でした。この Exploit Pack は 10 月
ドライブ・バイ・ダウンロード攻撃を行う攻撃者は、
から 11 月上旬にかけて頻繁に利用されていました。
Exploit Pack と呼ばれる攻撃管理ツールを利用するこ
また、この Exploit Pack が利用されていた攻撃では、
とが常套手段となっています。この攻撃ツールはアン
以前は確認されていなかった傾向として、日本の Web
ダーグラウンドで売買されているもので、Tokyo SOC
サイトがマルウェアの配布元になっているケースが確
ではこのようなツールを利用した攻撃を多数検知して
認されています(図 18)。これらはすべて、自組織で管
います。
理されているネットワーク上に構築された Web サイ
表 1 は今期確認した Exploit Pack の中で検知数の多
い上位 5 件です。
トではなく、レンタルサーバーやクラウドに構築され
ていた Web サイトでした。
2013 年 上 半 期 に 猛 威 を 振 る っ て い た Blackhole
12 月以降は Magnitude Exploit Kit の利用が増加して
Exploit Kit が 11 月以降は検知が無くなっています(表
おり、KaiXin Exploit Kit の次に多く利用されるように
2)。2013 年 10 月 9 日の報道15によると Blackhole
なりました。KaiXin Exploit Kit と Magnitude Exploit
Exploit Kit の作成者が逮捕されました。F-Secure のレ
Kit は 2014 年 1 月以降も引き続き積極的に利用されて
ポートでは、作成者の逮捕に伴って使用されている
います。
Exploit Kit の中で Blackhole Exploit Kit およびその亜種
である Cool Exploit Kit が占める割合が減少したとの報
告1617がありました。Tokyo SOC でも同様の傾向を確
認しており、作成者逮捕による開発停止が要因と考え
られます。
今期、Blackhole Exploit Kit に替わって最も検知数が
多かった Exploit Pack は、KaiXin Exploit Kit (別名
15
ZDNet Blackhole malware toolkit creator 'Paunch' suspect
arrested
http://www.zdnet.com/blackhole-malware-toolkit-creator-paun
ch-arrested-7000021740/
16
F-Secure News from the Lab Blackhole, Supreme No More
http://www.f-secure.com/weblog/archives/00002622.html
17
エフセキュア エフセキュアブログ 最高に終わっている
Blackhole
http://blog.f-secure.jp/archives/50713300.html
表 1 2013 年下半期 Exploit Pack 検知数(上位 5 件および Blackhole Exploit Kit)
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
順位
名称
検知数
2013 年上半期順位
1
KaiXin(GongDa) Exploit Kit
711
12 (↑)
2
Styx/Kein Exploit Kit
260
4 (↑)
3
Neutrino Exploit Kit
174
3 (→)
4
Cool Exploit Kit
149
2 (↓)
5
Sweet Orange Exploit Kit
137
5 (→)
Blackhole Exploit Kit
45
1 (↓)
…
9
20
2013 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
表 2 月別 Exploit Pack 検知数(上位 5 件および Blackhole Exploit Kit, Magnitude Exploit Kit)
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
名称
7月
8月
9月
10 月
11 月
12 月
1
8
14
480
123
85
Styx/Kein Exploit Kit
70
32
30
42
44
42
Neutrino Exploit Kit
37
29
72
36
0
0
0
118
19
12
0
0
Sweet Orange Exploit Kit
13
21
58
42
2
1
Blackhole Exploit Kit
22
13
10
4
0
0
Magnitude Exploit Kit
0
0
0
20
13
49
KaiXin(GongDa) Exploit Kit
Cool Exploit Kit
25
検知数
20
15
10
5
2013/12/30
2013/12/23
2013/12/16
2013/12/09
2013/12/02
2013/11/25
2013/11/18
2013/11/11
2013/11/04
2013/10/28
2013/10/21
2013/10/14
2013/10/07
2013/09/30
2013/09/23
2013/09/16
2013/09/09
2013/09/02
2013/08/26
2013/08/19
2013/08/12
2013/08/05
2013/07/29
2013/07/22
2013/07/15
2013/07/08
2013/07/01
0
図 18 マルウェア配布元となっていた日本の Web サイトの週別検知数推移
(Tokyo SOC 調べ:2013 年7月 1 日~2013 年 12 月 31 日)
21
2013 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
 悪用される脆弱性
引き続き新しく発見された脆弱性が Exploit Pack に対
図 19 はドライブ・バイ・ダウンロード攻撃で悪用
して積極的に組み込まれています。
されている脆弱性の割合を示しています。Tokyo SOC
また、その他の脆弱性では、特定組織に対するゼロ
で観測されたドライブ・バイ・ダウンロード攻撃で
デイ攻撃で悪用 されたこと により注目を集 めた、
Oracle Java Runtime Environment (JRE)の脆弱性が多
Microsoft Internet Explorer の脆弱性(CVE-2013-3897,
数悪用される傾向は 2013 年上半期から引き続き変わ
MS13-080)も Exploit Pack に対して積極的に組み込ま
っていません。2013 年上半期の JRE の脆弱性を悪用
れていました。
した攻撃は 3,192 件で全体の 80.4%を占めていました
Adobe Reader の脆弱性は 2012 年下半期以降、引き
が、今期は 1,718 件、全体の 89.4%となり、ほとんど
続き割合が減少しています。これは Adobe Reader で
の攻撃で JRE の脆弱性が悪用されています。使用され
2012 年 4 月に公開された CVE-2012-0775 以降、容易
て い る 脆 弱 性 も 2013 年 6 月 に 公 開 さ れ た
に悪用可能な脆弱性が新たに発見されておらず、
CVE-2013-2465 や CVE-2013-2471 が悪用されており、
Exploit Pack に組み込まれていないことが要因と考え
られます。
6.5%
4.2%
JREの脆弱性
Adobe Readerの脆弱性
その他
89.4%
図 19 ドライブ・バイ・ダウンロード攻撃で悪用されている脆弱性の割合
(Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日)
22
2013 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
 攻撃の成功率
た要因としては、攻撃成功率の高い CVE-2013-2465
図 20 は Tokyo SOC で検知したドライブ・バイ・ダ
などの JRE の脆弱性を悪用する KaiXin Exploit Kit によ
ウンロード攻撃の成功によって、マルウェアをダウン
る攻撃が頻発していたためです(図 21)。
ロードした割合です。
今期は 234 件、全体の 12.2%でマルウェアのダウン
18
ロードが成功していました。
2013 年上半期は 523 件、
13.2%18であったことから成功率はほぼ同程度でした。
特に 10 月にマルウェアのダウンロード件数が増加し
過去のドライブ・バイ・ダウンロード攻撃の攻撃成功率につい
ては「2013 年上半期 Tokyo SOC 情報分析レポート」の
p.26-p.27 “攻撃の成功率”をご参照ください。
http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_
h1.pdf
12.2%
4.5%
マルウェア・ダウンロード発生
影響不明
影響なし
83.3%
ドライブ・バイ・ダウンロード攻撃の成功率
図図2120ドライブ・バイ・ダウンロード攻撃の成功率
(Tokyo
SOC
調べ:2013
7月
1 日~2013
日)
(Tokyo
SOC
調べ:2013
年年
7月
1 日~2013
年年
1212
月月
3131
日)
250
50.0%
45.0%
200
40.0%
150
30.0%
25.0%
100
20.0%
攻撃成功率
検知数
35.0%
15.0%
50
10.0%
5.0%
0.0%
2013/07/01
2013/07/08
2013/07/15
2013/07/22
2013/07/29
2013/08/05
2013/08/12
2013/08/19
2013/08/26
2013/09/02
2013/09/09
2013/09/16
2013/09/23
2013/09/30
2013/10/07
2013/10/14
2013/10/21
2013/10/28
2013/11/04
2013/11/11
2013/11/18
2013/11/25
2013/12/02
2013/12/09
2013/12/16
2013/12/23
0
マルウェア・ダウンロード発生
影響不明
影響なし
攻撃成功率
図 20
21 ドライブ・バイ・ダウンロード攻撃の週別件数と成功率の推移
ドライブ・バイ・ダウンロード攻撃の週別件数と成功率の推移
図
(Tokyo SOC
SOC 調べ:2013
調べ:2013 年
年7
7月
月1
1 日~2013
日~2013 年
年 12
12 月
月 31
31 日)
日)
(Tokyo
23
2013 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
また、影響不明となっている 4.5%では、図 22 のス
断できなくなっています。これは、JAR 形式でマルウ
テップのように、攻撃の成否にかかわらずマルウェア
ェアを転送することにより、サンドボックスなど検査
がダウンロードされているため、ネットワーク上の監
対象のファイル形式に制限のあるセキュリティー製品
視ではドライブ・バイ・ダウンロード攻撃の成否が判
の検査を回避しようする手口と考えられます。
図 22 JAR ファイルにマルウェアを含まない/含む場合の感染ステップの比較
24
2013 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
2.2 Web を侵入経路とした標的
型攻撃
がありました。株式会社ラックによると、標的として
いる組織以外に攻撃をしないように何らかのアクセス
制御が行われていた可能性に言及21しています。
図 23 は Tokyo SOC で観測した、GOM Player を使
今期は複数のセキュリティー企業から日本の特定組
用していた組織を業種別に分類したものです。合計 23
織を標的としたドライブ・バイ・ダウンロード攻撃(水
組織で GOM Player を使用していましたが、1 組織の
飲み場攻撃)が行われたとの情報が公開されました。
みでマルウェアのダウンロードを確認しています。こ
Kaspersky Lab ZAO の解析19によると、この攻撃では
れらの検知状況から、この攻撃が特定の組織を標的と
改ざんされたサイトにアクセスしたクライアント PC
していた可能性が高いと考えられます。
の IP アドレスを判別し、標的とした組織の IP アドレ
スだった場合にのみ脆弱性を悪用するコードが送信さ
れるような細工を施すことで、特定の組織に攻撃を行
っていたといわれています。
また、
2014 年 1 月には、
GRETECH 社の GOM Player
のアップデート通信で 2013 年 12 月 27 日から 2014
19
Kaspersky Lab ZAO SECURELIST Targeted exploit
http://www.securelist.com/en/blog/8133/Targeted_exploit
20
株式会社グレテックジャパン 報道に対する弊社からのお詫び
とお知らせ
http://www.gomplayer.jp/player/notice/view.html?intSeq=284
21
株式会社ラック 正規のソフトウェアのアップデートで、不正な
プログラムが実行される事案について
http://www.lac.co.jp/security/alert/2014/01/23_alert_01.html
年 1 月 16 日の間にマルウェアに感染させられる事例20
機械製造, 1
レジャー・エンタメ
(旅行・ゲーム・ホ
テル), 1
自動車, 1
官公庁・地方自治
体・独立行政法人
など, 5
マスコミ・サービス
(メディア・各種
サービス・コンサ
ル), 1
建設・不動産・エ
ネルギー・住宅, 2
金融(銀行・証券・
保険・クレジット
カード), 2
電機・精密機器, 4
教育, 3
運輸・航空・鉄道・
倉庫, 3
図 23 GOM Player を使用していた組織の業種別数
25
2013 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
2.3 まとめ
ィー機器だけでなく、セキュリティー機器以外のネッ
トワーク機器やサーバー、クライアント PC のログを
クライアント PC を狙った攻撃では、ドライブ・バ
イ・ダウンロード攻撃の 12.2%が入口対策をすり抜け、
マルウェアのダウンロードに成功していることが示す
ように、攻撃が防御策をすり抜けてくることを前提と
しなければならない状況に変わりありません。さらに、
GOM Player のアップデート通信でマルウェアに感染
させられる事例のように、正規のソフトウェアによる
通信を侵入経路として悪用するなど、攻撃者は攻撃手
法をより高度に進化させています。このような攻撃を
発見し、被害を最小限に抑えるためには、セキュリテ
収集、分析する体制が必要です。この事例では、Firewall
や Proxy サーバーで許可された通信のログを記録・保
存し、脅威情報を元に分析を行うことで、攻撃を発見
することが可能です。
新しい攻撃手法が発見されると新しいテクノロジー
を用いた対策が注目されがちですが、上記のように現
在実装している対策を強化することで対応が可能な場
合があります。漏れや無駄のない効果的な対策を実装
するためには、脅威の仕組み(シナリオ)を理解する
ことが非常に重要です。
26
2013 年下半期 Tokyo SOC 情報分析レポート
[Column2] Tor を利用する Mevade の活動
2013 年 8 月 19 日以降、匿名通信システム「Tor」への接続ユーザー数が増加したことが話題となり、
その要因として Mevade と呼ばれるマルウェアによる通信であるとの情報22が公開されました。Mevade
は、攻撃指令サーバー(C&C サーバー)との通信を隠ぺいするために、Tor ネットワークを利用するとい
う特徴的な機能を有しています。Tokyo SOC では、このマルウェアの感染行為および Tor ネットワークを
利用した活動を 2013 年 8 月から検知していました。
図 24 は、Tokyo SOC での Mevade の感染行為の検知状況です。8 月末から 9 月初めにかけてホストに
感染させようとする通信が増加しましたが、9 月 13 日以降の検知はありません。
14
検知数
12
10
8
6
4
2
2013/08/01
2013/08/03
2013/08/05
2013/08/07
2013/08/09
2013/08/11
2013/08/13
2013/08/15
2013/08/17
2013/08/19
2013/08/21
2013/08/23
2013/08/25
2013/08/27
2013/08/29
2013/08/31
2013/09/02
2013/09/04
2013/09/06
2013/09/08
2013/09/10
2013/09/12
2013/09/14
2013/09/16
2013/09/18
2013/09/20
2013/09/22
2013/09/24
2013/09/26
2013/09/28
2013/09/30
0
図 24 Mevade 感染を試みる通信の日別検知数推移
(Tokyo SOC 調べ:2013 年 8 月 1 日~2013 年 10 月 2 日)
27
2013 年下半期 Tokyo SOC 情報分析レポート
700
検知数
600
500
400
300
200
100
2013/08/01
2013/08/03
2013/08/05
2013/08/07
2013/08/09
2013/08/11
2013/08/13
2013/08/15
2013/08/17
2013/08/19
2013/08/21
2013/08/23
2013/08/25
2013/08/27
2013/08/29
2013/08/31
2013/09/02
2013/09/04
2013/09/06
2013/09/08
2013/09/10
2013/09/12
2013/09/14
2013/09/16
2013/09/18
2013/09/20
2013/09/22
2013/09/24
2013/09/26
2013/09/28
2013/09/30
2013/10/02
0
図 25 Mevade による Tor ネットワークを利用した C&C サーバーに対する通信の日別検知数推移
(Tokyo SOC 調べ:2013 年 8 月 1 日~2013 年 10 月 2 日)
一方、図 25 は Tokyo SOC での Mevade による Tor ネットワークを利用した C&C サーバーへの通信の
検知状況です。感染行為と異なり 9 月 13 日以降も検知が続いており、マルウェアが駆除されずに長い期
間活動していると考えられます。このことから、マルウェアの感染行為を検知・駆除ができなかった場合
には、クライアント PC のユーザーやシステム管理者に気づかれることなく、長い期間活動していること
が分かります。
最近のマルウェアは、2013 年上半期 Tokyo SOC 情報分析レポートで紹介した標的型メール攻撃に添付
されているファイル23のように、気づかれないように感染する方法を日々進化させています。さらには、
C&C 通信を Tor で匿名化したり、2.2 節で紹介した GOM Player のアップデート通信のような正常なソフ
トウェアの通信を悪用したりすることで、監視者の目を逃れようとしています。ユーザーの注意やセキュ
リティー機器による防御だけではこのような攻撃を防ぐことが難しくなっている現状では、組織内でこの
ようなマルウェアから機密情報や重要資産を守り、被害を最小限にするため、情報や資産の重要度に応じ
て、クライアント PC やネットワークで使用できるアプリケーションの制御をしていくことも必要になっ
ています。その上で、ネットワーク機器やサーバー、クライアント PC でインフォメーションレベルの情
報を記録し、アプリケーション制御を回避する手法が必ず存在するとの前提に立った監視を行うことが重
要です。
22
Trend Micro Inc. TrendLabs Security Intelligence Blog, The Mysterious Mevade Malware
http://blog.trendmicro.com/trendlabs-security-intelligence/the-mysterious-mevade-malware/
23
Tokyo SOC 2013 年上半期 Tokyo SOC 情報分析レポート p.34 “標的型メール攻撃に添付されているファイル”
http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_h1.pdf
28
2013 年下半期 Tokyo SOC 情報分析レポート
おわりに
Tokyo SOC で観測された 2013 年上半期および下半
期の攻撃を総括すると、攻撃者がより攻撃の効率を強
く意識している姿が浮かび上がりました。
集してセキュリティー機器のアラート情報との相関分
析を行うことが非常に重要です。
その際に、膨大なログの収集とアラート情報の相関
分析をリアルタイムかつ効率的に行うためには、収
公開サーバーに対する攻撃では、管理責任が曖昧に
集・分析を自動化し、事前に定義された相関分析ルー
なりがちなレンタルサーバーやクラウド環境を攻撃対
ル に よ っ て 分 析 の 支 援 が 可 能 な SIEM ( Security
象とする傾向が見られました。KaiXin Exploit Kit を例
Information and Event Management)製品の利用が有
に挙げると、マルウェアの配布元となっていた日本の
効です。
Web サイトはすべてレンタルサーバーやクラウド環
境に構築されていました。
しかしながら、攻撃の「見える化」を行うだけでは
また、広く一般的に使われているミドルウェア製品
インシデントの解決には至りません。イベントを検知
を狙った攻撃による Web サイトの改ざんが増加し、
する「モニタリング」に加え、検知したイベントを分
ドライブ・バイ・ダウンロード攻撃によって多くのク
析し、攻撃の成否や影響範囲の確定を行う「トリアー
ライアント PC がマルウェアに感染しています。
ジ」
、さらにインシデントとして報告された事象に対応
ドライブ・バイ・ダウンロードの成功率という観点
する「レスポンス」といったインシデント・レスポン
では、2013 年に行われた攻撃の 83.2%は JRE の脆弱
スの一連のフローを適切に行える体制を構築すること
性を狙った攻撃で、攻撃成功率は年間を通じて 12.8%
が非常に重要になります。
と約 8 台に 1 台が感染してしまう状態が続いています。
さらに、マルウェア「Mevade」は、攻撃指令サーバ
IBM はお客様環境に IBM Security QRadar SIEM を
ー(C&C サーバー)との通信に Tor ネットワークを利
導入し、インシデント・レスポンスの「モニタリング」
用することにより、通信を暗号化し C&C サーバーの
のレイヤーから「トリアージ」のレイヤーをカバーす
IP アドレスを隠ぺいすることでセキュリティー機器
るサービス、IBM Managed SIEM を 2014 年 4 月から
での検知を困難にしています。
提供予定です。
また、IBM は高度な専門知識が必要とされる「レス
こういった「見えない化」がさらに進む高度な攻撃
ポンス」のレイヤーを支援するサービスとして、ERS
を「見える化」するためには、セキュリティー機器の
(Emergency Response Service)を提供することによ
アラート情報を分析するだけでなく、脅威の仕組み(シ
り、企業環境におけるインシデント・レスポンスを広
ナリオ)を理解したうえでシステム横断的にログを収
範囲に渡ってサポートいたします。
【注意】本レポートで紹介した対策は、利用環境によって他のシステムへ影響を及ぼす恐れがあります。また、攻撃は日々変化
しており、必要となる対策もそれに応じて変化するため、記載内容の対策が将来にわたって効果があるとは限りません。対策を
行う際には十分注意の上、自己責任で行ってください。なお、IBM はこれらの対策の効果を保証するものではありません。
29
2013 年下半期 Tokyo SOC 情報分析レポート
執筆者
佐藤 功陛
(エグゼクティブ・サマリー、おわりに)
井上 博文
(2 章、コラム 2)
猪股 秀樹
(1 章、コラム 1)
窪田 豪史
(1 章、2章)
稲垣 吉将
(2 章、コラム 2)
岡 邦彦
(1 章)
2014 年 2 月 24 日 発行
日本アイ・ビー・エム株式会社
GTS 事業 ITS デリバリー
マネージド・セキュリティー・サービス
©Copyright IBM Japan, Ltd. 2014
IBM、IBM ロゴ、ibm.com、Ahead of the Threat は、世界の多くの国で登録された International Business Machines Corporation
の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の
商標リストについては、www.ibm.com/legal/copytrade.shtml をご覧ください。
Adobe は、Adobe Systems Incorporated の米国およびその他の国における登録商標または商標です。
Microsoft および Windows は Microsoft Corporation の米国およびその他の国における商標です。
Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国およびその他の国における商標または登録
商標です。
その他、本レポートに記載されている商品・サービス名は、各社の商標または登録商標です。
●このレポートの情報は 2014 年 2 月 22 日時点のものです。内容は事前の予告なしに変更する場合
があります。
30
2013 年下半期 Tokyo SOC 情報分析レポート
Fly UP