HOME情報セキュリティ資料・報告書・出版物調査・研究報告書情報セキュリティ技術動向調査(2008 年上期)

本文を印刷する

情報セキュリティ

情報セキュリティ技術動向調査(2008 年上期)

4 インシデント対応・災害復旧

武田 圭史

  インシデント対応・災害復旧に関する技術動向としては大変広範な領域が対象となるが、 本稿では特に2008 年上半期に発生したインシデントで多く用いられた攻撃手法について分析する。昨年あたりから日本国内においても不正な行為によって利益を得ることを目的とした攻撃の増加が確認されておりその攻撃手法の態様も若干変化している。ここではその変化について述べるとともに、用いられる複数の攻撃手法の違いについて着目する。

概要

  2007 年までのここ数年の、企業官公庁等組織における情報セキュリティインシデントの動向としては職員の自宅での暴露型ウイルス感染による匿名ファイル共有ネットワークへの情報漏えい、パソコンおよびUSB メモリなどの外部記憶媒体の紛失・盗難、電子メールの宛先に互いに第三者のアドレスを列挙することによる電子メールアドレスの漏えいなど、ユーザのミスや管理の不備に起因する事故が多く報告されてきた。2007 年の後半あたりからは、主に海外のアドレスから悪意を持った攻撃者が意図的にシステムの脆弱性を攻略しサーバに格納されている情報を盗んだりウェブサイトのコンテンツが改ざんされるといった事件が増加している。特に2008 年上半期の大きな特徴としては、SQL データベースを利用したウェブアプリケーションを運用するウェブサイトの大規模な改ざんや、情報の盗難事件が多く発生したことがあげられる。本稿では2008 年上半期のインシデントにおいて特に印象的な要素となった、SQL インジェクションによる大規模ウェブサイトの改ざん、ウェブ改ざんを通じたクライアントへのマルウェアの感染、クライアントへの中規模なマルウェアの感染を狙ったターゲテッドアタックの攻撃態様について解説する。

SQL インジェクション

  SQL インジェクションは脆弱性のあるウェブサイトに対して、データベースへの問い合わせ言語であるSQL の命令要素を含むリクエストを送信し、データベースマネジメントシステムの機能を悪用することによって攻撃者が顧客情報やウェブで処理を行う各種コンテンツに対して任意の処理を行わせる攻撃である。
  SQL インジェクションの攻撃手法自体は決して新しいものではないが、2005 年頃から比較的多くのユーザを抱える企業などのサービスがこの攻撃を受け、顧客情報などを流出させる事件が断続的に発生していた。攻撃は断続的に行われているが事故が多く発生する時期は集中していることから比較的少人数の攻撃者が大規模な範囲に対して攻撃を行っていることが推察される。また近年SQL インジェクションの脆弱性の発見を容易にするツールなどが高度化しており、こういったツールを使用して広い範囲を走査してウェブアプリケーションの脆弱性が発見されていることも攻撃の増加の一因となっていると考えられる。
  2008 年上半期では特に3 月以降にSQL インジェクションの攻撃事例がIPA やJPCERT/CC に対して報告されている他、日本のみならず世界各国のセキュリティ企業が大規模なSQL インジェクション攻撃に対する警告を発している。この2008 年上半期に発生した大規模なSQL インジェクション攻撃で被害を受けたサイトの多くは、ウェブページにHTML のiframe タグが埋め込まれ動的なDNS によって指定される攻撃者が利用するウェブサイトからマルウェアをダウンロードするようなものに書き換えられ、このサイトにアクセスした利用者が脆弱性のあるブラウザなどを利用していた場合にアカウント情報を搾取したりスパム送信に利用可能なマルウェアに感染するというものだった。
  SQL インジェクション自体はウェブアプリケーションの開発者がこの脆弱性のリスクを理解し、プログラム処理において文字列を動的に連結してSQL 文を作成するのではなく、あらかじめ定義された命令文にユーザ入力をパラメータとして適用するプリペアードステートメントを利用する、ユーザ入力文字を適切にエスケープするなどの方法を用いることで回避することが可能である。またウェブアプリケーションに対するソースコード監査、ツール及び手動による脆弱性検査により脆弱性の存在を確認することも有効な対策といえるだろう。情報処理推進機構からは「ウェブサイトの脆弱性検出ツールiLogScanner」が無償で公開されており、こういったツールを使ってウェブサーバのログを解析することで、SQL インジェクションによる攻撃が発生した場合に、ある程度の確率で事後的に発見することができる。

(関連情報)
SQL インジェクション攻撃に関する注意喚起 (情報処理推進機構, 2008/5/15)
http://www.ipa.go.jp/security/vuln/documents/2008/200805_SQLinjection.html

ウェブサイトの脆弱性検出ツールiLogScanner (情報処理推進機構, 2008/4/18)
http://www.ipa.go.jp/security/vuln/iLogScanner/

「安全なウェブサイトの作り方 改訂第3 版」を公開 (情報処理推進機構, 2008/3/6)
http://www.ipa.go.jp/security/vuln/websecurity.html

ウェブサイトの改ざんによるマルウェアの配布

  前項で紹介したものを含め2008 年上半期の傾向としては比較的規模の大きな企業等著 名なサイトがSQL インジェクション等の攻撃によってウェブページを改ざんされ、このサイトにアクセスをしたサイトの利用者がマルウェアに感染するといったタイプの攻撃が行われることが多くなっている。従来のウェブアプリケーションやウェブサーバに対する攻撃の多くは、サーバやデータベースに格納される情報を搾取したり愉快犯的にウェブページの内容を書き換えるといったタイプのものが多かったが、アクセスの多いサイトがマルウェアの感染を広げる媒体として悪用される形となっており新しい傾向といえるだろう。確認されている攻撃の多くはウェブページの内容を書き換え中国にある無料の動的DNSサービスを利用して任意のIPアドレスから不正なJava スクリプトをユーザにダウンロードさせ、クライアントの環境の脆弱性を攻略してマルウェアに感染させるというタイプが多い。こういった動きは、従来自己増殖型のウイルスなどによって不正な処理を行うプログラムを配布していた攻撃者が、ウイルス対策ソフトの普及によって従来の感染を広げる方法の効率が悪くなったことや、攻撃の動機がより利益を追求するようになってきたことなどもあり、より短時間に多くのユーザに感染を広げることを狙いとした手法として多くのユーザを集めるサイトが狙われるようになっている。

スパム型トロイ攻撃(SPAM Trojan Attack)

  前項でも述べたように攻撃者の関心が攻撃によって利益を得ることに向いてきたことから、短時間で効率のよい方法が攻撃に用いられることが増えておりその一つに、スパム型トロイ攻撃がある。これはセキュリティパッチや自己解凍型の圧縮ファイルなど一見有用なプログラムのように見えるプログラムに不正な処理を行うコードを埋め込んだプログラムを迷惑メールの容量で大量の受信者に対して一斉送信するというものである。何らかの有用なプログラムやデータに見せかけてユーザに不正プログラムを実行させるような攻撃ファイルやデータをトロイの木馬と呼ぶことからこのような名称となっている。使用される不正プログラムは都度新しいものが使用されるために、ウイルス対策ソフトの検知パターンにこれらは含まれず、従来の単純なパターンマッチでは検出できない。以前よりスパム型トロイ攻撃は行われてきたが、実行形式のファイルが送付される場合が多く、またメッセージの本文が英語で書かれている場合が多かったりしたために容易に発見することができ、日本国内では実際の被害に結びつくことはそれほど多くはなかった。今年に入ってからの傾向として、本文に巧妙な日本語でメッセージが書かれているものや添付ファイルが実行形式ではなく、ワードやエクセル、PDF ファイルなど一般にメール添付などでやりとりされるデータ形式のファイルであり、ユーザを安心をさせてこれらを開かせるようなものも多く出現している。これらのファイルはパッチが公開されていない脆弱性を攻略するようなものも多く、攻撃者の知識やスキルが高まっていると思われる。

標的型トロイ攻撃(Targeted Trojan Attack)

  標的型トロイ攻撃は、特定の企業や組織、人物、あるいは企業の経営者などのように特定の属性を持つ人々を対象に、そういった受信者が感心を持つ事柄をメッセージに含め、巧みに添付するファイルを開かせるようなタイプの攻撃である。攻撃にあたっては攻撃対象に対する知識や理解が深ければ深いほど、よりそれらしい文面となり攻撃の成功が高くなる。ターゲテッドアタックについてはセンセーショナルに報道されることが多いが、攻撃を受けたという事例が確認されることは多いがそれによって実際にどの程度の深刻な被害が発生しているかという点については不明である。ターゲテッドアタックに関しては2008 年上半期日本国内において政府関係の人物を騙る日本語の巧妙なメールが出回るなどの事態が確認されている。

スピア型フィッシング攻撃(Spear Phishing Attack)

  一般的なフィッシング攻撃は、クレジットカードのサービス更新や各種アカウントの更新を呼びかけるようなメールを大量のユーザに対して送信し、これらのメールから虚偽のサイトに誘導し、不用心なユーザがこの偽サイトにID パスワードなどのアカウント情報や、クレジットカード情報を入力することを待つという攻撃である。「スピア型フィッシング攻撃」は、より対象を限定し、特定のユーザグループに対してフィッシング攻撃の仕組みを適用するものである。日本国内では前項の標的型トロイ攻撃を差して「スピア攻撃」などという用語が用いられることがあるが、ここであげたスピア型フッシング攻撃と混同を招くため避けた方がよいだろう。当初の「スピア型フィッシング攻撃」は、上記のようにいわゆるフィッシングサイトに誘導し情報をユーザ自身に入力させるものを意味していたが、最近では巧みな電子メールによって被害者を攻撃者の支配下にあるサイトにアクセスさせ、ここからトロイの木馬など不正なプログラムをダウンロードさせるような手口を意味するものとして使用されることも多い。米国など海外では、こういった形での「スピア型フィッシング攻撃」による被害が多く報道されている。

まとめ

  本稿では、2008 年上半期のインシデントに関する動向として、日本国内においても不正な攻撃者が効率よく利益を得ることを目的として、不正なプログラムを短時間に効率よく配布し感染させるための手段として主にSQL インジェクションを用いてアクセスの多いウェブサイトを改ざんをするケースと、様々な形で電子メールを使用するケースをとりあげた。これらの脆弱性に対する対応は短時間で普及させることは容易ではなく下半期においても引き続き被害の発生が見込まれる。また、ここで紹介した手法が組み合わされて用いられることも多くなっており、早急にこれらの攻撃被害の実態を継続的に把握し、有効な対策技術について研究開発を推進することが必要である。

以上

目次へ
次へ