Comments
Description
Transcript
2013年 下半期
IBM Security Services Ahead of the Threat. ® 2013 年 下半期 Tokyo SOC 情報分析レポート 目 次 エグゼクティブ・サマリー ...................................................................... 3 1 公開サーバーに対する攻撃の動向 ......................................................... 4 1.1 Web サイトに対する攻撃の全体像 ....................................................................... 4 1.2 SQL インジェクション ...................................................................................... 6 1.3 ミドルウェアに対する攻撃 .............................................................................. 10 1.4 辞書/総当たり攻撃 ......................................................................................... 15 1.5 まとめ ........................................................................................................ 16 [Column1] 中国を送信元とする攻撃の増加 .............................................................. 17 2 クライアント PC を狙った攻撃 ........................................................... 18 2.1 ドライブ・バイ・ダウンロード攻撃 ................................................................... 18 2.2 Web を侵入経路とした標的型攻撃 ..................................................................... 25 2.3 まとめ ........................................................................................................ 26 [Column2] Tor を利用する Mevade の活動 ............................................................... 27 おわりに ............................................................................................ 29 2 2013 年下半期 Tokyo SOC 情報分析レポート エグゼクティブ・サマリー 本レポートは、IBM が全世界 10 拠点のセキュリティー・オペレーション・センター(SOC)にて観 測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向 を、Tokyo SOC が独自の視点で分析・解説したものです。 IBM では、世界 10 拠点の SOC で 10 年以上蓄積されてきたセキュリティー・インテリジェンスを 相関分析エンジン(X-Force Protection System)へ実装し、1 日あたり約 200 億件(毎秒約 23 万件)の 膨大なデータをリアルタイムで相関分析しています。 2013 年下半期に Tokyo SOC で観測された攻撃を分析した結果、以下の実態が浮かび上がりました。 「ドライブ・バイ・ダウンロード攻撃」は 2012 年下半期比 2 倍 改ざんされた Web サイトの閲覧によりマルウェアに感染させられるドライブ・バイ・ダウンロー ド攻撃(見ただけ感染)は 2012 年下半期と比較して 2 倍の件数でした。また、この攻撃の成功率は 2013 年上半期とほぼ変わらず、12.2%と引き続き高い成功率でした。さらに、マルウェアの配布が 海外の Web サイトからだけでなく、日本の Web サイトからも行われるようになりました。 Web を侵入経路とした「日本の特定組織向け標的型攻撃」を確認 特定組織を標的とする攻撃の侵入経路としてメールだけでなく、Web を利用する攻撃が確認されま した。2014 年 1 月上旬に GRETECH 社 GOM Player のアップデート通信でマルウェアに感染させ られる事例が話題となりましたが、Tokyo SOC では GOM Player のアップデート通信が確認された 23 組織のうち 1 組織のみでマルウェアのダウンロードを確認しており、特定の組織が標的とされて いる実態が浮かび上がりました。 Apache Struts2 の脆弱性を狙った攻撃が 2.3 倍に増加 2013 年下半期では、Web アプリケーション・フレームワークやコンテンツ・マネジメント・シス テム(CMS)の脆弱性を狙った Web サイトの改ざんが増加しました。特に Apache Struts2 の脆弱性を 狙った攻撃は、2013 年上半期と比較して 2.3 倍に増加していました。 本レポートでは上記の分析に加えて、 「中国を送信元とする攻撃の増加」と「Tor を悪用するマルウ ェア」に関するコラムを紹介しています。 これらの情報を、セキュリティー・ポリシーの策定や、情報セキュリティー対策を検討する際の参考 として、また、情報セキュリティーに関する知識向上の一助として、ご活用いただければ幸いです。 3 2013 年下半期 Tokyo SOC 情報分析レポート 1 公開サーバーに対する攻撃の動向 2013 年上半期に引き続き、2013 年下半期も日本国内の多くの Web サイトにおいて、改ざんや情 報窃取の被害が発生しました。 本章では、このような Web サイト改ざんに悪用されるケースが多い公開サーバーの脆弱性に対する 攻撃の動向として、今期 Tokyo SOC で確認した Web アプリケーションに対する攻撃とミドルウェア に対する攻撃、FTP や SSH サーバーに対する辞書/総当たり攻撃について解説します。 1.1 Web サイトに対する攻撃の 全体像 Webアプリケーションの 脆弱性 今期は引き続き、Web サイトの改ざんが多数発生し ています。JPCERT/CC のレポート12によると、2013 ミドルウェア (CMS/フレームワーク/ 管理ツール)の脆弱性 年 7 月には、過去 2 年間で最も多い 1,106 件の改ざん が報告されています。また、7 月から 12 月までの半年 間の Web サイト改ざん報告件数も、前年同期比で約 3 倍の 4,378 件に増加しています。 Webサーバーの 脆弱性 多発する Web サイト改ざんの状況を受け、201 3年 9 月には IPA および JPCERT/CC より「ウェブサ イト改ざん等のインシデントに対する注意喚起」3が公 表され、Web サイトの運営者および管理者に対し、改 めて点検と備えが呼びかけられました。 OSの脆弱性 攻撃者が Web サイトを改ざんする際の主な方法と 管理アカウントの奪取 ・辞書/総当り攻撃 ・マルウェア感染 しては、以下の 5 つがあります(図 1)。 1) Web アプリケーションの脆弱性を悪用 2) ミドルウェアの脆弱性を悪用 3) Web サーバーの脆弱性を悪用 4) OS の脆弱性を悪用 5) 管理アカウントの奪取 図 1 Web サイト改ざんの手法 1 JPCERT/CC インシデント報告対応レポート[2012 年 10 月 1 日 ~2012 年 12 月 31 日] http://www.jpcert.or.jp/pr/2013/IR_Report20130117.pdf 2 JPCERT/CC インシデント報告対応レポート [2013 年 10 月 1 日~2013 年 12 月 31 日] http://www.jpcert.or.jp/pr/2014/IR_Report20140116.pdf 3 独立行政法人情報処理推進機構および JPCERT/CC ウェブサ イト改ざん等のインシデントに対する注意喚起~ウェブサイト改 ざんが急激に増えています~ http://www.ipa.go.jp/security/topics/alert20130906.html 4 2013 年下半期 Tokyo SOC 情報分析レポート 公開サーバーに対する攻撃の動向 Web アプリケーションに対する攻撃は、Tokyo SOC 管理アカウントを奪取する手法としては、辞書/総当 で検知している攻撃イベント全体の中で最も多いイベ たり攻撃のほか、ドライブ・バイ・ダウンロード攻撃 ントとなっています。前述の注意喚起では、Web アプ などにより、Web サイトの管理用クライアント PC が リケーションの脆弱性を悪用する代表的な攻撃手法と マルウェアに感染させられ、クライアント PC 内に保 して、SQL インジェクションが挙げられています。こ 存されているユーザーID・パスワードを窃取される攻 れは、Web アプリケーションへの入力を介して、Web 撃があります5。 アプリケーションと連動するデータベースに SQL 命 令を不正に実行させる攻撃です4。 また、OS の脆弱性や、Web サーバーの脆弱性につ 次節以降では、今期 Tokyo SOC で観測された、こ れら脆弱性を狙った攻撃を紹介します。 いては対策が進んだ一方で、Web アプリケーションと Web サーバーの中間で機能する、コンテンツ・マネジ メント・システム(CMS)や Web アプリケーション・フ レームワーク、管理ツールといった、ミドルウェアの 脆弱性を狙った攻撃が目立つようになりました。前述 の注意喚起でも、攻撃対象となっている CMS や Web アプリケーション・フレームワークの具体的な脆弱性 が挙げられています。 4 その他、Web アプリケーションに対する攻撃手法全般について は、「OWASP Top 10-2013:The Ten Most Critical Web Application Security Risks」などをご参照ください。 https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN .pdf 5 Web サイトの管理端末への侵入手法については、「2013 年上 半期 Tokyo SOC 情報分析レポート」の p.28-p.29 “攻撃の事 例”をご参照ください。 http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_ h1.pdf 5 2013 年下半期 Tokyo SOC 情報分析レポート 公開サーバーに対する攻撃の動向 1.2 SQL インジェクション 図 3 は、今期の SQL インジェクションの検知数の 推移です。ピーク時の 1 日の検知数が 2013 年上半期 SQL インジェクションは、Web アプリケーション への入力を介して Web アプリケーションと連動する データベースに不正に SQL 命令を実行させる攻撃で す。挿入した SQL 文の問い合わせ結果の違いによって 攻撃者が得たい情報を引き出す「ブラインド SQL イン ジェクション」や、攻撃者が意図した情報を取得する ために UNION 句などの SQL 文を使用したもの、 Microsoft SQL Server など特定のデータベース製品固 有の機能による情報取得や Web サイト改ざんを行う ものなど、さまざまな攻撃手法が存在します。 図 2 は SQL インジェクションの半期ごとの検知数 推移です。2013 年上半期と比較すると今期は半分程度 にまで減少していますが、2012 年下半期と同程度の検 知数であり、依然として継続的に攻撃が行われている 状況です。 の 5 万件程度から 2 万件程度に減少していますが、今 期も 2013 年上半期に引き続き、特定の攻撃者が特定 のターゲットに対して短期間で大量に攻撃を行ってい る傾向は続いています。 図 4 は、SQL インジェクションの種類別の割合を 示しています。最も多いのが 37.4%を占める Microsoft SQL Server を狙う攻撃、次いで Union 命令を利用す る SQL インジェクションが 35.8%となっており、 2013 年上半期では 44.2%を占めていたブラインド SQL インジェクションが 25.4%に減少しています。 今期の SQL インジェクションの傾向としては、主に SQL インジェクションの脆弱性調査を目的としたブ ラインド SQL インジェクションの検知数が大幅に減 少し、情報窃取を目的とした Union 命令を利用する SQL インジェクションや Microsoft SQL Server を狙っ た攻撃の割合が増加しています。 700,000 検知数 600,000 500,000 400,000 300,000 200,000 100,000 0 2012年下半期 2013年上半期 2013年下半期 図 2 SQL インジェクションの半期別検知数推移 (Tokyo SOC 調べ:2012 年 7 月 1 日~2013 年 12 月 31 日) 6 2013 年下半期 Tokyo SOC 情報分析レポート 公開サーバーに対する攻撃の動向 25,000 検知数 20,000 15,000 10,000 5,000 2013/12/30 2013/12/23 2013/12/16 2013/12/09 2013/12/02 2013/11/25 2013/11/18 2013/11/11 2013/11/04 2013/10/28 2013/10/21 2013/10/14 2013/10/07 2013/09/30 2013/09/23 2013/09/16 2013/09/09 2013/09/02 2013/08/26 2013/08/19 2013/08/12 2013/08/05 2013/07/29 2013/07/22 2013/07/15 2013/07/08 2013/07/01 0 図 3 SQL インジェクションの日別検知数推移 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 1.5% 25.4% 37.4% ブラインドSQLインジェクション Union命令を利用する SQLインジェクション Microsoft SQL Serverを狙う攻撃 その他のSQLインジェクション 35.8% 図 4 SQL インジェクションの種類別割合 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 7 2013 年下半期 Tokyo SOC 情報分析レポート 公開サーバーに対する攻撃の動向 図 5~図 7 は、 ブラインド SQL インジェクション、 このように、SQL インジェクションの脆弱性に対す Union 命 令 を 利 用 す る SQL イ ン ジ ェ ク シ ョ ン 、 る攻撃は引き続き確認されており、注意が必要な攻撃 Microsoft SQL Server を狙う攻撃それぞれの日別の検 であるといえます。 知数の推移です。 SQL インジェクションによる被害を未然に防ぐた ブラインド SQL インジェクションと Union 命令を めに、独立行政法人 情報処理推進機構(IPA)が発行し 利用する SQL インジェクションは 2012 年下半期と同 ている「安全なウェブサイトの作り方」6などを参考に 程度の攻撃を継続して検知しています。 この攻撃への対策を検討してください。 また、Microsoft SQL Server を狙う攻撃に関しては 引き続き散発的な攻撃を確認しています。 6 独立行政法人情報処理推進機構 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html 8,000 検知数 7,000 6,000 5,000 4,000 3,000 2,000 1,000 2013/12/30 2013/12/23 2013/12/16 2013/12/09 2013/12/02 2013/11/25 2013/11/18 2013/11/11 2013/11/04 2013/10/28 2013/10/21 2013/10/14 2013/10/07 2013/09/30 2013/09/23 2013/09/16 2013/09/09 2013/09/02 2013/08/26 2013/08/19 2013/08/12 2013/08/05 2013/07/29 2013/07/22 2013/07/15 2013/07/08 2013/07/01 0 図 5 ブラインド SQL インジェクションの日別検知数推移 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 8 2013 年下半期 Tokyo SOC 情報分析レポート 2013 年下半期 Tokyo SOC 情報分析レポート 2013/12/30 2013/12/30 2013/11/18 2013/11/11 2013/11/04 2013/10/28 2013/10/21 2013/10/14 2013/10/07 2013/09/30 2013/09/23 2013/09/16 2013/09/09 2013/09/02 2013/08/26 2013/08/19 2013/08/12 2013/08/05 2013/07/29 2013/07/22 2013/07/15 2013/07/08 2013/07/01 2013/12/23 0 2013/12/23 5,000 2013/12/16 10,000 2013/12/16 15,000 2013/12/09 20,000 2013/12/09 検知数 2013/12/02 25,000 2013/12/02 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 2013/11/25 図 6 Union 命令を利用する SQL インジェクションの日別検知数推移 2013/11/25 2013/11/18 2013/11/11 2013/11/04 2013/10/28 2013/10/21 2013/10/14 2013/10/07 2013/09/30 2013/09/23 2013/09/16 2013/09/09 2013/09/02 2013/08/26 2013/08/19 2013/08/12 2013/08/05 2013/07/29 2013/07/22 2013/07/15 2013/07/08 2013/07/01 公開サーバーに対する攻撃の動向 12,000 検知数 10,000 8,000 6,000 4,000 2,000 0 図 7 Microsoft SQL Server を狙う攻撃の日別検知数推移 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 9 公開サーバーに対する攻撃の動向 1.3 ミドルウェアに対する攻撃 Tokyo SOC で観測したミドルウェアに対する攻撃 の代表的なものを以下に解説します。 CMS や Web アプリケーション・フレームワークと Apache Struts2 の脆弱性に対する攻撃 いった、Web アプリケーションと Web サーバーの中 図 8 は、Apache Struts2 に存在するリモートから任 間で機能するミドルウェア製品は、デファクトスタン 意のコマンドが実行可能な脆弱性(CVE-2010-1870、 ダードといえる製品が存在するため、それらの製品に CVE-2013-2251 など)に対する攻撃の検知数の推移で 脆弱性が発見されると多数の Web サイトが侵入や改 す。 ざんのリスクを抱えた状態となります。 2013 年 7 月前半は検知数が少ない状況でしたが、7 CMS とは、Web サイトを構成するコンテンツの登 録や更新を総合的に管理するソフトウェアの総称です。 また、Web アプリケーション・フレームワークとは、 Web アプリケーション開発において、共通して必要と 月 16 日に新たな脆弱性(CVE-2013-2251)が公開され た以降は検知数が増加し、攻撃者によって活発に利用 されている実態が浮かび上がっています。 検知総数としては、2013 年上半期が 30,425 件であ なる機能をライブラリ化したものです。 ったのに対して、2013 年下半期は 68,527 件と 2.3 倍 に増加しています。 3,000 検知数 2,500 2,000 1,500 1,000 500 2013/12/30 2013/12/23 2013/12/16 2013/12/09 2013/12/02 2013/11/25 2013/11/18 2013/11/11 2013/11/04 2013/10/28 2013/10/21 2013/10/14 2013/10/07 2013/09/30 2013/09/23 2013/09/16 2013/09/09 2013/09/02 2013/08/26 2013/08/19 2013/08/12 2013/08/05 2013/07/29 2013/07/22 2013/07/15 2013/07/08 2013/07/01 0 図 8 Apache Struts2 の脆弱性(CVE-2013-2251 など)を悪用する攻撃の日別検知数推移 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 10 2013 年下半期 Tokyo SOC 情報分析レポート 公開サーバーに対する攻撃の動向 Parallels Plesk Panel の脆弱性に対する攻撃 図 9 は、CVE-2013-4878 の脆弱性に対する攻撃の 2013 年 6 月に Parallels 社の Plesk Panel に存在す 検知数の推移です。脆弱性が公開された直後である 7 る任意のコードが実行可能な脆弱性(CVE-2013-4878) 月が最も検知数が多く、攻撃者によってこの脆弱性が が公開されました7。この脆弱性は CGI モードの PHP 活発に利用されていました。その後、10 月まで検知数 5.3.12 以前および 5.4.2 以前の環境で動作させている の多い状況が継続していましたが、11 月以降は減少し Linux 版 Plesk Panel バージョン 9.0 から 9.2.3 まで ています。攻撃の送信元は、中国や米国、ドイツ、フ が影響を受けます。 ランスなど海外の IP アドレスで、日本国内からの攻撃 は確認されませんでした。 7 Parallels Plesk Panel: phppath/PHP vulnerability http://kb.parallels.com/116241 80 検知数 70 60 50 40 30 20 10 0 2013年7月 2013年8月 2013年9月 2013年10月 2013年11月 2013年12月 図 9 Parallels Plesk Panel の脆弱性(CVE-2013-4878)を悪用する攻撃の月別検知数推移 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 11 2013 年下半期 Tokyo SOC 情報分析レポート 公開サーバーに対する攻撃の動向 PHP の脆弱性に対する攻撃 2013 年 10 月頃より、この脆弱性を悪用する新たな Tokyo SOC では 2012 年 5 月より PHP の脆弱性 手法による攻撃が確認されています。この新手法によ (CVE-2012-1823)を悪用する攻撃を継続的に検知し る攻撃は、いわゆる「Apache Magica 攻撃」8と呼ばれ ていますが、2013 年 8 月より検知数が急増し、また るもので、攻撃コードが一般に公開されています。 11 月からはこの脆弱性を悪用する異なる手法の攻撃 従来型の攻撃は、CGI モードで動作する脆弱なバー が行われるようになってきています。また、海外では ジョンの PHP サーバーに実際に存在する index.php な この攻撃を悪用して攻撃対象のサーバーをボット化す どの PHP ファイルに対して攻撃を行うもので、CGI る一連の攻撃も確認されています。 モードで動作する PHP サーバーが存在していたとし この脆弱性は、PHP を CGI モードで利用している ても、アクセス可能な PHP ファイルが存在しなけれ 場合に影響を受けるもので、この脆弱性を悪用すると ば実質的には攻撃の被害は発生しないと考えられてい リモートから不正なスクリプトが実行可能になります。 ました。 ところが、図 11 の新手法では、オプション“-d”の 図 10 は Tokyo SOC にて確認した実際の攻撃例で、 後 に 指 定 す る PHP パ ラ メ ー タ の 設 定 項 目 に オプション“-d”の後には任意の設定項目を指定するこ “cgi.force_redirect”と“cgi.redirect_status_env”を利用 と が 可 能 で す 。 例 で は “ allow_url_fopen ” お よ び 、 することにより、 “/cgi-bin/php”などの PHP を実行する “allow_url_include”を ON にすることで外部のスクリ パスの指定だけで任意のスクリプトが実行可能になり プ ト フ ァ イ ル の 読 み 込 み を 許 可 し 、 ます。 “auto_prepend_file”にてリクエストされた PHP スク この手法によって、攻撃者は実際に存在する PHP リプトの実行前に外部 Web サイトのスクリプトを実 ファイルを事前に探す必要がなくなり、一般的によく 行させています(http://~ が実行させようとしている 使用される PHP を実行するパスだけを指定して広範 外部スクリプト) 。 囲に攻撃を行えるようになったため、より効率的で成 攻撃者はこのオプションを利用してリモートから不 功率の高い攻撃が可能となりました。 正なスクリプトの実行を試みています。 8 徳丸浩「CGI 版 PHP に対する魔法少女アパッチマギカ攻撃を観 測しました」 http://blog.tokumaru.org/2013/11/apache-magica-attack.html 図 10 PHP の脆弱性(CVE-2012-1823)を悪用する攻撃(従来型) 図 11 PHP の脆弱性(CVE-2012-1823)を悪用する攻撃(新手法) 12 2013 年下半期 Tokyo SOC 情報分析レポート 公開サーバーに対する攻撃の動向 図 12 は、PHP の脆弱性を悪用する攻撃の検知数の 推移です。 このように比較的古い脆弱性でも新たな攻撃手法が 発見され、それが一般に公開されることにより、再び 8 月より従来型の攻撃手法による攻撃が増加し、9 活発に攻撃が行われるようになるケースがあります。 月には 5 万件を超える攻撃を検知しましたが、10 月に すでに一時的な回避策により対策済みであったとし は減少し、11 月からは以前の水準と同程度まで減少し ても、バージョンアップやパッチ適用などの根本的な ています。 対策を行わなかった場合は、新たな手法による被害を 一方で、10 月末より新手法による攻撃が急増し、11 受けてしまう可能性があります。影響を受けるシステ 月には 2 万件超、12 月には 4 万件を超える検知が確認 ムを利用している場合は、今一度対策の実施状況を確 されています。 認してください。 60,000 従来型 新手法 50,000 40,000 30,000 20,000 10,000 0 2013年7月 2013年8月 2013年9月 2013年10月 2013年11月 2013年12月 図 12 PHP の脆弱性(CVE-2012-1823)を悪用する攻撃の月別検知数推移 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 13 2013 年下半期 Tokyo SOC 情報分析レポート 公開サーバーに対する攻撃の動向 海外の IBM SOC では、この PHP の脆弱性を悪用し なお、この“Fred-cot”に該当する攻撃は Tokyo SOC た攻撃により攻撃対象のサーバーをボットネットの一 で監視をしている国内のお客様では確認されませんで 部にしようとする一連の攻撃を 9 月に検知し、この一 した。 連の攻撃を“Fred-cot”と名付けています 。この名称は 図 13 は、この“Fred-cot”によって使用されていたこ 攻撃で使用される FTP サーバーの URL やログインに とが確認されているホストの IP アドレスや URI のリ 使用するユーザーID・パスワードに由来するものです。 ストです。これらのホストに関連する通信が発生して 9 いないかを Firewall や Proxy サーバーなどのログで確 PHP の攻撃に成功すると、攻撃対象のサーバーに “gj.exe”というファイル名の Perl スクリプトを FTP サ 認し、必要に応じて通信の遮断や感染ホストの特定お よび隔離、駆除を検討してください。 ーバーからダウンロードします。このファイルが実行 されると自身の実行プロセスを発見されにくいように 隠ぺいした後、IRC サーバーに接続し、ボットネット の一部として攻撃指令を待ち受けるようになります。 9 IBM Security Intelligence Blog SOC Blog: “Fred-cot” attack targeting web servers attempting to create botnet http://securityintelligence.com/soc-blog-fred-cot-attack-targe ting-webservers-attempting-to-create-botnet/ ボットネットの一部と化したサーバーは、攻撃指令 によって他のホストに対し DoS 攻撃やポートスキャ ンを行うようになります。 図 13 “Fred-cot”によって使用されていたホストの IP アドレスや URI のリスト 14 2013 年下半期 Tokyo SOC 情報分析レポート 公開サーバーに対する攻撃の動向 1.4 辞書/総当たり攻撃 に示します。今期、中国の IP アドレスを送信元とす る攻撃が 51.9%を占めており、2013 年上半期に引き Tokyo SOC では、アカウントを奪取する方法の一 つとして、ログイン ID とパスワードの組み合わせで ログイン試行を繰り返し、有効な組み合わせを推測 する「辞書/総当たり攻撃」を 2013 年上半期に引き 続き観測しています。 続き攻撃の半数以上を占めています。 一方、日本国内の IP アドレスが送信元となった辞 書/総当たり攻撃は全体の1.5%でした。 この状況は、SSH や FTP サーバーへの管理アク セスを許可する IP アドレスを日本国内のみに制限 するだけで、辞書/総当たり攻撃の脅威を 98.5%低減 辞書/総当たり攻撃の送信元国別傾向 できることを示しています。 SSH および FTP サービスに対する辞書/総当たり 攻撃の送信元 IP アドレスの国別の検知割合を図 14 中国 米国 1.7% 1.7% 2.0% 2.1% 2.1% 2.3% 2.6% 4.0% 19.3% 韓国 コロンビア ロシア インド 51.9% フランス ドイツ イギリス 10.3% トルコ その他 図 14 SSH および FTP サービスに対する辞書/総当たり攻撃の送信元となった IP アドレスの国別の検知割合 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 15 2013 年下半期 Tokyo SOC 情報分析レポート 公開サーバーに対する攻撃の動向 1.5 まとめ 環境が無いためにテストが行えず、結果的に更新を行 わないままになっているケースもあります。 今期は、Apache Struts2 や Plesk Panel といった Web サイト環境におけるミドルウェア製品の脆弱性 に対する攻撃の増加が確認されました。 特定のミドルウェア製品が多くの Web サイトで使 用されているため、攻撃者は、いち早く脆弱性の情報 を得てすばやく攻撃を行うことで、Web サイトを効率 的に、高い成功率で攻撃を行うことができます。 また、古い脆弱性であっても、新たな攻撃手法が発 見されることにより、再び活発に攻撃が行われるよう になり、多くの被害が発生するケースがあることも確 認されました。 自社で使用するミドルウェア製品で脆弱性が公表さ れた場合に、一時的な回避策をすばやく実施すること も重要ですが、それで対策を完了とせず、バージョン アップやパッチ適用など恒久的な根本対策の実施を忘 れずに行う必要があります。 しかしながら、本番環境に対する大幅な変更は事前 恒久的に自社でテスト環境を保持することが難しい 場合でも、必要に応じてクラウド上に環境を構築して テストを行うなどの対応も検討してください。 さらに、脆弱性に対する対策の適用はある程度時間 を要するため、対策を実施する前に攻撃されることも 想定して、多層的な防御策をあらかじめ検討しておく ことも重要です。 SSH や FTP サーバーに対する辞書/総当たり攻撃も 依然として活発に行われており、2013 年上半期同様、 攻撃元の多くは海外の IP アドレスでした。 引き続き、SSH や FTP、CMS や Plesk Panel など のサーバー管理用の接続に関して、アクセス元の制限 が有効な対策であるといえます。サーバーをクラウド 環境に構築しているようなケースでは、クラウド事業 者側で Firewall 機能を無償で用意している場合もあり ますので、このような機能を有効活用することも検討 してください。 のテストが不可欠であり、システムによってはテスト 16 2013 年下半期 Tokyo SOC 情報分析レポート [Column1] 中国を送信元とする攻撃の増加 2013 年も例年同様、満州事変の発端となった柳条湖事件が起こった 9 月 18 日にむけて、日本をターゲ ットとした攻撃予告がインターネット上の掲示板などで行われていることを確認しました。 120 2010年 2011年 2012年 2013年 100 80 60 40 20 2013/09/20 2013/09/18 2013/09/16 2013/09/14 2013/09/12 2013/09/10 2013/09/08 2013/09/06 2013/09/04 2013/09/02 2013/08/31 2013/08/29 2013/08/27 2013/08/25 2013/08/23 2013/08/21 2013/08/19 2013/08/17 2013/08/15 2013/08/13 2013/08/11 2013/08/09 2013/08/07 2013/08/05 2013/08/03 2013/08/01 0 図 15 中国からのブラインド SQL インジェクション攻撃送信元 IP アドレス数の日別推移 (Tokyo SOC 調べ: 2010 年~2013 年、8 月 1 日~9 月 20 日) Tokyo SOC で観測した中国を送信元とする攻撃は例年 9 月 18 日付近の休日がピークとなる傾向が見ら れます(図 15) 。2010 年は 9 月 18 日(土)、 2011 年は 9 月 18 日(日)、2012 年は 9 月 18 日直前の休 日である 9 月 16 日(日)に攻撃のピークを迎えていました。 2013 年は 9 月 16 日より中国を送信元とする攻撃の増加が観測されました。攻撃内容の大多数は、例年 どおり既知の Web アプリケーションの脆弱性を調査する行為や DoS 攻撃で、特に高度な攻撃は確認され ませんでした。今年のブラインド SQL インジェクションの攻撃送信元 IP アドレス数は、過去 3 年間と比 較すると半分程度でした。攻撃に参加する人数が少なかったために、攻撃送信元 IP アドレス数が少なかっ たものと推測されます。 2012 年までの過去 3 年間では、中国漁船が海上保安庁の巡視船に衝突する問題や、尖閣諸島の国有化 など、9 月 18 日の直前に日中関係に端を発する問題が発生したことが攻撃増加の原因の一つと考えていま す。しかし、2013 年に関しては、同時期にこのような日中関係の問題が発生せず、中国国内で注目が集 まらなかったため、攻撃に参加する人が少なく、結果的に攻撃送信元 IP アドレス数が少なくなったものと 考えています。 このような攻撃は、平時からインターネット上で観測されている一般的な攻撃であるため、日頃から対 策を行うことが重要です。 17 2013 年下半期 Tokyo SOC 情報分析レポート 2 クライアント PC を狙った攻撃 クライアント PC を狙った攻撃では、攻撃者は Web サイトやメールを悪用して侵入します。 その後、 侵入したクライアント PC を踏み台にして、組織内の奥深くにあるシステムの破壊を行ったり、情報 の窃取を行ったりします。また特定の標的を狙うための手段として、メールだけでなく Web サイトに 巧妙な細工を施す手法も確認されるようになりました。 本章では、今期 Tokyo SOC で確認したこれらの攻撃の特徴および動向について解説します。 2.1 ドライブ・バイ・ダウンロード 攻撃 較して約 2.0 倍となっており、引き続き多数の攻撃を 検知しています。 また、今期は複数のセキュリティー企業から日本の 特定組織を標的としたドライブ・バイ・ダウンロード ドライブ・バイ・ダウンロード攻撃は、改ざんされ 攻撃(水飲み場攻撃)が行われたとの情報が公開され た Web サイトを閲覧したクライアント PC へマルウェ ました1314。特定組織を標的とした攻撃については、次 アを感染させる攻撃手法です。攻撃者は、一般の Web 節で解説します。 サイトを改ざんしておき、それを閲覧したユーザーを 自動的に攻撃サーバーへ接続させ、クライアント PC の脆弱性を悪用して、マルウェアに感染させます。 図 16 および図 17 は、Tokyo SOC におけるドライ ブ・バイ・ダウンロード攻撃の検知数の推移です。2013 年上半期、日本国内の多くの Web サイトがマルウェ アを拡散するよう改ざんされた101112ことによって総件 数が 3,972 件と増加していた攻撃ですが、 今期は 1,922 件に減少しました。しかしながら、2012 年下半期と比 10 JPCERT/CC Alert 2013-06-07 Web サイト改ざんに関する注 意喚起 http://www.jpcert.or.jp/at/2013/at130027.html 11 独立行政法人情報処理推進機構 2013 年 6 月の呼びかけ https://www.ipa.go.jp/security/txt/2013/06outline.html 12 独立行政法人情報処理推進機構 2013 年 7 月の呼びかけ https://www.ipa.go.jp/security/txt/2013/07outline.html 13 株式会社ラック 日本における水飲み場型攻撃に関する注意 喚起 http://www.lac.co.jp/security/alert/2013/10/09_alert_01.html 14 Kaspersky Lab ZAO SECURELIST Targeted exploit http://www.securelist.com/en/blog/8133/Targeted_exploit 18 2013 年下半期 Tokyo SOC 情報分析レポート 2013 年下半期 Tokyo SOC 情報分析レポート 2013年12月 2013年11月 2013年10月 2013年9月 2013年8月 2013年7月 2013年6月 2013年5月 2013年4月 2013年3月 2013年2月 2013年1月 2012年12月 2012年11月 2012年10月 2012年9月 2013/12/30 2013/12/23 2013/12/16 2013/12/09 2013/12/02 2013/11/25 2013/11/18 2013/11/11 2013/11/04 2013/10/28 2013/10/21 2013/10/14 2013/10/07 2013/09/30 2013/09/23 2013/09/16 2013/09/09 2013/09/02 2013/08/26 2013/08/19 2013/08/12 2013/08/05 2013/07/29 2013/07/22 90 2013/07/15 2013/07/08 100 2012年8月 2012年7月 2013/07/01 クライアント PC を狙った攻撃 検知数 80 70 60 50 40 30 20 10 0 図 16 ドライブ・バイ・ダウンロード攻撃の日別検知数推移 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 1,200 1,000 検知数 800 600 400 200 0 図 17 ドライブ・バイ・ダウンロード攻撃の月別検知数推移 (Tokyo SOC 調べ:2012 年7月 1 日~2013 年 12 月 31 日) 19 クライアント PC を狙った攻撃 Exploit Pack GongDa Exploit Kit)でした。この Exploit Pack は 10 月 ドライブ・バイ・ダウンロード攻撃を行う攻撃者は、 から 11 月上旬にかけて頻繁に利用されていました。 Exploit Pack と呼ばれる攻撃管理ツールを利用するこ また、この Exploit Pack が利用されていた攻撃では、 とが常套手段となっています。この攻撃ツールはアン 以前は確認されていなかった傾向として、日本の Web ダーグラウンドで売買されているもので、Tokyo SOC サイトがマルウェアの配布元になっているケースが確 ではこのようなツールを利用した攻撃を多数検知して 認されています(図 18)。これらはすべて、自組織で管 います。 理されているネットワーク上に構築された Web サイ 表 1 は今期確認した Exploit Pack の中で検知数の多 い上位 5 件です。 トではなく、レンタルサーバーやクラウドに構築され ていた Web サイトでした。 2013 年 上 半 期 に 猛 威 を 振 る っ て い た Blackhole 12 月以降は Magnitude Exploit Kit の利用が増加して Exploit Kit が 11 月以降は検知が無くなっています(表 おり、KaiXin Exploit Kit の次に多く利用されるように 2)。2013 年 10 月 9 日の報道15によると Blackhole なりました。KaiXin Exploit Kit と Magnitude Exploit Exploit Kit の作成者が逮捕されました。F-Secure のレ Kit は 2014 年 1 月以降も引き続き積極的に利用されて ポートでは、作成者の逮捕に伴って使用されている います。 Exploit Kit の中で Blackhole Exploit Kit およびその亜種 である Cool Exploit Kit が占める割合が減少したとの報 告1617がありました。Tokyo SOC でも同様の傾向を確 認しており、作成者逮捕による開発停止が要因と考え られます。 今期、Blackhole Exploit Kit に替わって最も検知数が 多かった Exploit Pack は、KaiXin Exploit Kit (別名 15 ZDNet Blackhole malware toolkit creator 'Paunch' suspect arrested http://www.zdnet.com/blackhole-malware-toolkit-creator-paun ch-arrested-7000021740/ 16 F-Secure News from the Lab Blackhole, Supreme No More http://www.f-secure.com/weblog/archives/00002622.html 17 エフセキュア エフセキュアブログ 最高に終わっている Blackhole http://blog.f-secure.jp/archives/50713300.html 表 1 2013 年下半期 Exploit Pack 検知数(上位 5 件および Blackhole Exploit Kit) (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 順位 名称 検知数 2013 年上半期順位 1 KaiXin(GongDa) Exploit Kit 711 12 (↑) 2 Styx/Kein Exploit Kit 260 4 (↑) 3 Neutrino Exploit Kit 174 3 (→) 4 Cool Exploit Kit 149 2 (↓) 5 Sweet Orange Exploit Kit 137 5 (→) Blackhole Exploit Kit 45 1 (↓) … 9 20 2013 年下半期 Tokyo SOC 情報分析レポート クライアント PC を狙った攻撃 表 2 月別 Exploit Pack 検知数(上位 5 件および Blackhole Exploit Kit, Magnitude Exploit Kit) (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 名称 7月 8月 9月 10 月 11 月 12 月 1 8 14 480 123 85 Styx/Kein Exploit Kit 70 32 30 42 44 42 Neutrino Exploit Kit 37 29 72 36 0 0 0 118 19 12 0 0 Sweet Orange Exploit Kit 13 21 58 42 2 1 Blackhole Exploit Kit 22 13 10 4 0 0 Magnitude Exploit Kit 0 0 0 20 13 49 KaiXin(GongDa) Exploit Kit Cool Exploit Kit 25 検知数 20 15 10 5 2013/12/30 2013/12/23 2013/12/16 2013/12/09 2013/12/02 2013/11/25 2013/11/18 2013/11/11 2013/11/04 2013/10/28 2013/10/21 2013/10/14 2013/10/07 2013/09/30 2013/09/23 2013/09/16 2013/09/09 2013/09/02 2013/08/26 2013/08/19 2013/08/12 2013/08/05 2013/07/29 2013/07/22 2013/07/15 2013/07/08 2013/07/01 0 図 18 マルウェア配布元となっていた日本の Web サイトの週別検知数推移 (Tokyo SOC 調べ:2013 年7月 1 日~2013 年 12 月 31 日) 21 2013 年下半期 Tokyo SOC 情報分析レポート クライアント PC を狙った攻撃 悪用される脆弱性 引き続き新しく発見された脆弱性が Exploit Pack に対 図 19 はドライブ・バイ・ダウンロード攻撃で悪用 して積極的に組み込まれています。 されている脆弱性の割合を示しています。Tokyo SOC また、その他の脆弱性では、特定組織に対するゼロ で観測されたドライブ・バイ・ダウンロード攻撃で デイ攻撃で悪用 されたこと により注目を集 めた、 Oracle Java Runtime Environment (JRE)の脆弱性が多 Microsoft Internet Explorer の脆弱性(CVE-2013-3897, 数悪用される傾向は 2013 年上半期から引き続き変わ MS13-080)も Exploit Pack に対して積極的に組み込ま っていません。2013 年上半期の JRE の脆弱性を悪用 れていました。 した攻撃は 3,192 件で全体の 80.4%を占めていました Adobe Reader の脆弱性は 2012 年下半期以降、引き が、今期は 1,718 件、全体の 89.4%となり、ほとんど 続き割合が減少しています。これは Adobe Reader で の攻撃で JRE の脆弱性が悪用されています。使用され 2012 年 4 月に公開された CVE-2012-0775 以降、容易 て い る 脆 弱 性 も 2013 年 6 月 に 公 開 さ れ た に悪用可能な脆弱性が新たに発見されておらず、 CVE-2013-2465 や CVE-2013-2471 が悪用されており、 Exploit Pack に組み込まれていないことが要因と考え られます。 6.5% 4.2% JREの脆弱性 Adobe Readerの脆弱性 その他 89.4% 図 19 ドライブ・バイ・ダウンロード攻撃で悪用されている脆弱性の割合 (Tokyo SOC 調べ:2013 年 7 月 1 日~2013 年 12 月 31 日) 22 2013 年下半期 Tokyo SOC 情報分析レポート クライアント PC を狙った攻撃 攻撃の成功率 た要因としては、攻撃成功率の高い CVE-2013-2465 図 20 は Tokyo SOC で検知したドライブ・バイ・ダ などの JRE の脆弱性を悪用する KaiXin Exploit Kit によ ウンロード攻撃の成功によって、マルウェアをダウン る攻撃が頻発していたためです(図 21)。 ロードした割合です。 今期は 234 件、全体の 12.2%でマルウェアのダウン 18 ロードが成功していました。 2013 年上半期は 523 件、 13.2%18であったことから成功率はほぼ同程度でした。 特に 10 月にマルウェアのダウンロード件数が増加し 過去のドライブ・バイ・ダウンロード攻撃の攻撃成功率につい ては「2013 年上半期 Tokyo SOC 情報分析レポート」の p.26-p.27 “攻撃の成功率”をご参照ください。 http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_ h1.pdf 12.2% 4.5% マルウェア・ダウンロード発生 影響不明 影響なし 83.3% ドライブ・バイ・ダウンロード攻撃の成功率 図図2120ドライブ・バイ・ダウンロード攻撃の成功率 (Tokyo SOC 調べ:2013 7月 1 日~2013 日) (Tokyo SOC 調べ:2013 年年 7月 1 日~2013 年年 1212 月月 3131 日) 250 50.0% 45.0% 200 40.0% 150 30.0% 25.0% 100 20.0% 攻撃成功率 検知数 35.0% 15.0% 50 10.0% 5.0% 0.0% 2013/07/01 2013/07/08 2013/07/15 2013/07/22 2013/07/29 2013/08/05 2013/08/12 2013/08/19 2013/08/26 2013/09/02 2013/09/09 2013/09/16 2013/09/23 2013/09/30 2013/10/07 2013/10/14 2013/10/21 2013/10/28 2013/11/04 2013/11/11 2013/11/18 2013/11/25 2013/12/02 2013/12/09 2013/12/16 2013/12/23 0 マルウェア・ダウンロード発生 影響不明 影響なし 攻撃成功率 図 20 21 ドライブ・バイ・ダウンロード攻撃の週別件数と成功率の推移 ドライブ・バイ・ダウンロード攻撃の週別件数と成功率の推移 図 (Tokyo SOC SOC 調べ:2013 調べ:2013 年 年7 7月 月1 1 日~2013 日~2013 年 年 12 12 月 月 31 31 日) 日) (Tokyo 23 2013 年下半期 Tokyo SOC 情報分析レポート クライアント PC を狙った攻撃 また、影響不明となっている 4.5%では、図 22 のス 断できなくなっています。これは、JAR 形式でマルウ テップのように、攻撃の成否にかかわらずマルウェア ェアを転送することにより、サンドボックスなど検査 がダウンロードされているため、ネットワーク上の監 対象のファイル形式に制限のあるセキュリティー製品 視ではドライブ・バイ・ダウンロード攻撃の成否が判 の検査を回避しようする手口と考えられます。 図 22 JAR ファイルにマルウェアを含まない/含む場合の感染ステップの比較 24 2013 年下半期 Tokyo SOC 情報分析レポート クライアント PC を狙った攻撃 2.2 Web を侵入経路とした標的 型攻撃 がありました。株式会社ラックによると、標的として いる組織以外に攻撃をしないように何らかのアクセス 制御が行われていた可能性に言及21しています。 図 23 は Tokyo SOC で観測した、GOM Player を使 今期は複数のセキュリティー企業から日本の特定組 用していた組織を業種別に分類したものです。合計 23 織を標的としたドライブ・バイ・ダウンロード攻撃(水 組織で GOM Player を使用していましたが、1 組織の 飲み場攻撃)が行われたとの情報が公開されました。 みでマルウェアのダウンロードを確認しています。こ Kaspersky Lab ZAO の解析19によると、この攻撃では れらの検知状況から、この攻撃が特定の組織を標的と 改ざんされたサイトにアクセスしたクライアント PC していた可能性が高いと考えられます。 の IP アドレスを判別し、標的とした組織の IP アドレ スだった場合にのみ脆弱性を悪用するコードが送信さ れるような細工を施すことで、特定の組織に攻撃を行 っていたといわれています。 また、 2014 年 1 月には、 GRETECH 社の GOM Player のアップデート通信で 2013 年 12 月 27 日から 2014 19 Kaspersky Lab ZAO SECURELIST Targeted exploit http://www.securelist.com/en/blog/8133/Targeted_exploit 20 株式会社グレテックジャパン 報道に対する弊社からのお詫び とお知らせ http://www.gomplayer.jp/player/notice/view.html?intSeq=284 21 株式会社ラック 正規のソフトウェアのアップデートで、不正な プログラムが実行される事案について http://www.lac.co.jp/security/alert/2014/01/23_alert_01.html 年 1 月 16 日の間にマルウェアに感染させられる事例20 機械製造, 1 レジャー・エンタメ (旅行・ゲーム・ホ テル), 1 自動車, 1 官公庁・地方自治 体・独立行政法人 など, 5 マスコミ・サービス (メディア・各種 サービス・コンサ ル), 1 建設・不動産・エ ネルギー・住宅, 2 金融(銀行・証券・ 保険・クレジット カード), 2 電機・精密機器, 4 教育, 3 運輸・航空・鉄道・ 倉庫, 3 図 23 GOM Player を使用していた組織の業種別数 25 2013 年下半期 Tokyo SOC 情報分析レポート クライアント PC を狙った攻撃 2.3 まとめ ィー機器だけでなく、セキュリティー機器以外のネッ トワーク機器やサーバー、クライアント PC のログを クライアント PC を狙った攻撃では、ドライブ・バ イ・ダウンロード攻撃の 12.2%が入口対策をすり抜け、 マルウェアのダウンロードに成功していることが示す ように、攻撃が防御策をすり抜けてくることを前提と しなければならない状況に変わりありません。さらに、 GOM Player のアップデート通信でマルウェアに感染 させられる事例のように、正規のソフトウェアによる 通信を侵入経路として悪用するなど、攻撃者は攻撃手 法をより高度に進化させています。このような攻撃を 発見し、被害を最小限に抑えるためには、セキュリテ 収集、分析する体制が必要です。この事例では、Firewall や Proxy サーバーで許可された通信のログを記録・保 存し、脅威情報を元に分析を行うことで、攻撃を発見 することが可能です。 新しい攻撃手法が発見されると新しいテクノロジー を用いた対策が注目されがちですが、上記のように現 在実装している対策を強化することで対応が可能な場 合があります。漏れや無駄のない効果的な対策を実装 するためには、脅威の仕組み(シナリオ)を理解する ことが非常に重要です。 26 2013 年下半期 Tokyo SOC 情報分析レポート [Column2] Tor を利用する Mevade の活動 2013 年 8 月 19 日以降、匿名通信システム「Tor」への接続ユーザー数が増加したことが話題となり、 その要因として Mevade と呼ばれるマルウェアによる通信であるとの情報22が公開されました。Mevade は、攻撃指令サーバー(C&C サーバー)との通信を隠ぺいするために、Tor ネットワークを利用するとい う特徴的な機能を有しています。Tokyo SOC では、このマルウェアの感染行為および Tor ネットワークを 利用した活動を 2013 年 8 月から検知していました。 図 24 は、Tokyo SOC での Mevade の感染行為の検知状況です。8 月末から 9 月初めにかけてホストに 感染させようとする通信が増加しましたが、9 月 13 日以降の検知はありません。 14 検知数 12 10 8 6 4 2 2013/08/01 2013/08/03 2013/08/05 2013/08/07 2013/08/09 2013/08/11 2013/08/13 2013/08/15 2013/08/17 2013/08/19 2013/08/21 2013/08/23 2013/08/25 2013/08/27 2013/08/29 2013/08/31 2013/09/02 2013/09/04 2013/09/06 2013/09/08 2013/09/10 2013/09/12 2013/09/14 2013/09/16 2013/09/18 2013/09/20 2013/09/22 2013/09/24 2013/09/26 2013/09/28 2013/09/30 0 図 24 Mevade 感染を試みる通信の日別検知数推移 (Tokyo SOC 調べ:2013 年 8 月 1 日~2013 年 10 月 2 日) 27 2013 年下半期 Tokyo SOC 情報分析レポート 700 検知数 600 500 400 300 200 100 2013/08/01 2013/08/03 2013/08/05 2013/08/07 2013/08/09 2013/08/11 2013/08/13 2013/08/15 2013/08/17 2013/08/19 2013/08/21 2013/08/23 2013/08/25 2013/08/27 2013/08/29 2013/08/31 2013/09/02 2013/09/04 2013/09/06 2013/09/08 2013/09/10 2013/09/12 2013/09/14 2013/09/16 2013/09/18 2013/09/20 2013/09/22 2013/09/24 2013/09/26 2013/09/28 2013/09/30 2013/10/02 0 図 25 Mevade による Tor ネットワークを利用した C&C サーバーに対する通信の日別検知数推移 (Tokyo SOC 調べ:2013 年 8 月 1 日~2013 年 10 月 2 日) 一方、図 25 は Tokyo SOC での Mevade による Tor ネットワークを利用した C&C サーバーへの通信の 検知状況です。感染行為と異なり 9 月 13 日以降も検知が続いており、マルウェアが駆除されずに長い期 間活動していると考えられます。このことから、マルウェアの感染行為を検知・駆除ができなかった場合 には、クライアント PC のユーザーやシステム管理者に気づかれることなく、長い期間活動していること が分かります。 最近のマルウェアは、2013 年上半期 Tokyo SOC 情報分析レポートで紹介した標的型メール攻撃に添付 されているファイル23のように、気づかれないように感染する方法を日々進化させています。さらには、 C&C 通信を Tor で匿名化したり、2.2 節で紹介した GOM Player のアップデート通信のような正常なソフ トウェアの通信を悪用したりすることで、監視者の目を逃れようとしています。ユーザーの注意やセキュ リティー機器による防御だけではこのような攻撃を防ぐことが難しくなっている現状では、組織内でこの ようなマルウェアから機密情報や重要資産を守り、被害を最小限にするため、情報や資産の重要度に応じ て、クライアント PC やネットワークで使用できるアプリケーションの制御をしていくことも必要になっ ています。その上で、ネットワーク機器やサーバー、クライアント PC でインフォメーションレベルの情 報を記録し、アプリケーション制御を回避する手法が必ず存在するとの前提に立った監視を行うことが重 要です。 22 Trend Micro Inc. TrendLabs Security Intelligence Blog, The Mysterious Mevade Malware http://blog.trendmicro.com/trendlabs-security-intelligence/the-mysterious-mevade-malware/ 23 Tokyo SOC 2013 年上半期 Tokyo SOC 情報分析レポート p.34 “標的型メール攻撃に添付されているファイル” http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2013_h1.pdf 28 2013 年下半期 Tokyo SOC 情報分析レポート おわりに Tokyo SOC で観測された 2013 年上半期および下半 期の攻撃を総括すると、攻撃者がより攻撃の効率を強 く意識している姿が浮かび上がりました。 集してセキュリティー機器のアラート情報との相関分 析を行うことが非常に重要です。 その際に、膨大なログの収集とアラート情報の相関 分析をリアルタイムかつ効率的に行うためには、収 公開サーバーに対する攻撃では、管理責任が曖昧に 集・分析を自動化し、事前に定義された相関分析ルー なりがちなレンタルサーバーやクラウド環境を攻撃対 ル に よ っ て 分 析 の 支 援 が 可 能 な SIEM ( Security 象とする傾向が見られました。KaiXin Exploit Kit を例 Information and Event Management)製品の利用が有 に挙げると、マルウェアの配布元となっていた日本の 効です。 Web サイトはすべてレンタルサーバーやクラウド環 境に構築されていました。 しかしながら、攻撃の「見える化」を行うだけでは また、広く一般的に使われているミドルウェア製品 インシデントの解決には至りません。イベントを検知 を狙った攻撃による Web サイトの改ざんが増加し、 する「モニタリング」に加え、検知したイベントを分 ドライブ・バイ・ダウンロード攻撃によって多くのク 析し、攻撃の成否や影響範囲の確定を行う「トリアー ライアント PC がマルウェアに感染しています。 ジ」 、さらにインシデントとして報告された事象に対応 ドライブ・バイ・ダウンロードの成功率という観点 する「レスポンス」といったインシデント・レスポン では、2013 年に行われた攻撃の 83.2%は JRE の脆弱 スの一連のフローを適切に行える体制を構築すること 性を狙った攻撃で、攻撃成功率は年間を通じて 12.8% が非常に重要になります。 と約 8 台に 1 台が感染してしまう状態が続いています。 さらに、マルウェア「Mevade」は、攻撃指令サーバ IBM はお客様環境に IBM Security QRadar SIEM を ー(C&C サーバー)との通信に Tor ネットワークを利 導入し、インシデント・レスポンスの「モニタリング」 用することにより、通信を暗号化し C&C サーバーの のレイヤーから「トリアージ」のレイヤーをカバーす IP アドレスを隠ぺいすることでセキュリティー機器 るサービス、IBM Managed SIEM を 2014 年 4 月から での検知を困難にしています。 提供予定です。 また、IBM は高度な専門知識が必要とされる「レス こういった「見えない化」がさらに進む高度な攻撃 ポンス」のレイヤーを支援するサービスとして、ERS を「見える化」するためには、セキュリティー機器の (Emergency Response Service)を提供することによ アラート情報を分析するだけでなく、脅威の仕組み(シ り、企業環境におけるインシデント・レスポンスを広 ナリオ)を理解したうえでシステム横断的にログを収 範囲に渡ってサポートいたします。 【注意】本レポートで紹介した対策は、利用環境によって他のシステムへ影響を及ぼす恐れがあります。また、攻撃は日々変化 しており、必要となる対策もそれに応じて変化するため、記載内容の対策が将来にわたって効果があるとは限りません。対策を 行う際には十分注意の上、自己責任で行ってください。なお、IBM はこれらの対策の効果を保証するものではありません。 29 2013 年下半期 Tokyo SOC 情報分析レポート 執筆者 佐藤 功陛 (エグゼクティブ・サマリー、おわりに) 井上 博文 (2 章、コラム 2) 猪股 秀樹 (1 章、コラム 1) 窪田 豪史 (1 章、2章) 稲垣 吉将 (2 章、コラム 2) 岡 邦彦 (1 章) 2014 年 2 月 24 日 発行 日本アイ・ビー・エム株式会社 GTS 事業 ITS デリバリー マネージド・セキュリティー・サービス ©Copyright IBM Japan, Ltd. 2014 IBM、IBM ロゴ、ibm.com、Ahead of the Threat は、世界の多くの国で登録された International Business Machines Corporation の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の 商標リストについては、www.ibm.com/legal/copytrade.shtml をご覧ください。 Adobe は、Adobe Systems Incorporated の米国およびその他の国における登録商標または商標です。 Microsoft および Windows は Microsoft Corporation の米国およびその他の国における商標です。 Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国およびその他の国における商標または登録 商標です。 その他、本レポートに記載されている商品・サービス名は、各社の商標または登録商標です。 ●このレポートの情報は 2014 年 2 月 22 日時点のものです。内容は事前の予告なしに変更する場合 があります。 30 2013 年下半期 Tokyo SOC 情報分析レポート