「最新セキュリティ動向〜シフトする脅威」(2) | ScanNetSecurity
2024.03.28(木)

「最新セキュリティ動向〜シフトする脅威」(2)

攻撃目的と手法のシフトに応じ、守る側の手法に求められる変化とは?

特集 特集
攻撃目的と手法のシフトに応じ、守る側の手法に求められる変化とは?

NTTデータ・セキュリティ株式会社
診断サービスグループ ペネトレーションテストチーム 辻 伸弘

昨年末にNTTデータ・セキュリティ株式会社が開催したセミナー「最新セキュリティ動向から見る脅威と対策」では、質的に様変わりしつつあるセキュリティ脅威の最新事情と、企業が取るべき効果的な対策について語られた。

なかでも、NTTデータ・セキュリティ 診断サービスグループ ペネトレーションテストチームの辻 伸弘氏による講演「最新セキュリティ動向 〜シフトする脅威」では、攻撃対象や目的の変化が生み出す新しい攻撃実態を、会場内に仮設したLANを実際に攻撃を行い、デモンストレーション形式で説明するという興味深い手法がとられた。当日の講演の模様をレポートしよう。

協力:NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/
───

>> アメリカの大手SNSに蔓延した SamyWorm の仕組

一般ユーザーのパソコンを攻撃対象として、ユーザーにWebブラウザでアクセスさせることで支配下に置き、悪意のある動作を実行させる例として、アメリカの大手SNS、MySpaceを震撼させたSamyWormが紹介された。

SamyWormとは、サミーと名乗る少年が、海外で有名なSNS、MySpaceの自己紹介ページに、クロスサイトスクリプティング(XSS)と呼ばれる脆弱性を利用したワームだ。サミーの自己紹介ページが、MySpaceの他のユーザーに閲覧されるたびに、XSSの脆弱性を利用した悪意のあるコードが、参照したコンピュータのバックグラウンドで実行され、参照したユーザの友達リストに勝手に追加され、そして追加されたユーザーの友達リストに、「サミーはわたしのヒーローです」という文章が付加されるという、嫌がらせを目的としたものであった

13時間で2,500人の友達が追加され、友達になりたいという自動リクエスト6400件を受け取ったという。

SamyWormのセキュリティ上の大きなシフトポイントは4つである。一つ目は、サーバと比べて圧倒的に台数の多い一般ユーザのPCを狙うことで大きな成果を上げることができることだ。二つ目は、ユーザにアクセスさせるというアクションだけで目的の動作を自動的に行うことができるという点。そして三つ目は、ブラウザがインストールされているのみでターゲットとすることができること。そして最後が、そもそもこの攻撃は、ターゲット側に、OSやソフトの脆弱性が無くても行われてしまうことである。脆弱性を必要としない点は、Java Script Malwareがボットと違う点でもある。攻撃者は特に攻撃用のサーバを用意しなくても、XSSの脆弱性がある第三者のWebサイトを利用するだけで攻撃が可能になる。

SamyWormの手法を巧妙かつ狡猾に仕上げたものが、「Java Script Malware(ジャバ・スクリプト・マルウェア)」である。これは、Java Script,Java Applet,CSSを利用しているのみで、OSやソフトウェアの脆弱性を一切利用しない攻撃手法であり。攻撃者が用意したURLにアクセスさせるという受動的な攻撃で、アクセスしてきたコンピュータの制御を奪うことが可能である。

制御を奪われたパソコンは、攻撃者によって「悪意のあるコードの実行」「ユーザーが現在表示しているページの取得」「任意のサイトへ誘導」「ブラウザクラッシュ」「キーログの取得」「DDoS」を実行させられてしまう。

>> Java Script Malware のデモ攻撃から

講演の最後では、デモ環境を使ってJava Script Malwareの実演も行われた。Windows2000 SP4 と IIS 上に、Java Script Malwareを仕込んだページを設置し、そこへ、Windows XP Proffessional SP2(修正パッチはすべて適用済み)でアクセスし、ページへアクセスしただけでJava Script Malwareが発動し、いとも簡単に攻撃者が犠牲となったパソコンに指令を送ることが可能となる様子が解説された。

攻撃者側のパソコンの攻撃管理画面のインターフェイスには、攻撃指令を下す「Commands」、攻撃対象のIPアドレスなどを表示する「Victims」、攻撃操作履歴を表示する「Logs」に分かれ、Commandsメニューには、「get cookie」「prompt」「get Mouse Log」「get clipboard」などの攻撃対象に送るコマンドのメニューが並んでいた。

>> まとめ、対策もシフトを求められている

講演の最後では、ここまで述べてきたように、これまであまり攻撃対象にならなかったファイアウオールに守られた内部ネットワークのコンピュータや個人パソコンでも、外部から操作することが可能であるため、管轄下にある信頼しているコンピュータが、いつなんどき、内なる敵へと豹変するかわからない。

そのため、現在必要とされているのは、脅威の存在と、システムのセキュリティレベルをよく知ることで、攻撃の手法と目的のシフトに合わせて、守る側の考え、手法もシフトするべきである、と結ばれた。

【取材・文:SCAN編集部】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×