「最新セキュリティ動向〜シフトする脅威」(2) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

「最新セキュリティ動向〜シフトする脅威」(2)

特集 特集

攻撃目的と手法のシフトに応じ、守る側の手法に求められる変化とは?

NTTデータ・セキュリティ株式会社
診断サービスグループ ペネトレーションテストチーム 辻 伸弘

昨年末にNTTデータ・セキュリティ株式会社が開催したセミナー「最新セキュリティ動向から見る脅威と対策」では、質的に様変わりしつつあるセキュリティ脅威の最新事情と、企業が取るべき効果的な対策について語られた。

なかでも、NTTデータ・セキュリティ 診断サービスグループ ペネトレーションテストチームの辻 伸弘氏による講演「最新セキュリティ動向 〜シフトする脅威」では、攻撃対象や目的の変化が生み出す新しい攻撃実態を、会場内に仮設したLANを実際に攻撃を行い、デモンストレーション形式で説明するという興味深い手法がとられた。当日の講演の模様をレポートしよう。

協力:NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/
───

>> アメリカの大手SNSに蔓延した SamyWorm の仕組

一般ユーザーのパソコンを攻撃対象として、ユーザーにWebブラウザでアクセスさせることで支配下に置き、悪意のある動作を実行させる例として、アメリカの大手SNS、MySpaceを震撼させたSamyWormが紹介された。

SamyWormとは、サミーと名乗る少年が、海外で有名なSNS、MySpaceの自己紹介ページに、クロスサイトスクリプティング(XSS)と呼ばれる脆弱性を利用したワームだ。サミーの自己紹介ページが、MySpaceの他のユーザーに閲覧されるたびに、XSSの脆弱性を利用した悪意のあるコードが、参照したコンピュータのバックグラウンドで実行され、参照したユーザの友達リストに勝手に追加され、そして追加されたユーザーの友達リストに、「サミーはわたしのヒーローです」という文章が付加されるという、嫌がらせを目的としたものであった

13時間で2,500人の友達が追加され、友達になりたいという自動リクエスト6400件を受け取ったという。

SamyWormのセキュリティ上の大きなシフトポイントは4つである。一つ目は、サーバと比べて圧倒的に台数の多い一般ユーザのPCを狙うことで大きな成果を上げることができることだ。二つ目は、ユーザにアクセスさせるというアクションだけで目的の動作を自動的に行うことができるという点。そして三つ目は、ブラウザがインストールされているのみでターゲットとすることができること。そして最後が、そもそもこの攻撃は、ターゲット側に、OSやソフトの脆弱性が無くても行われてしまうことである。脆弱性を必要としない点は、Java Script Malwareがボットと違う点でもある。攻撃者は特に攻撃用のサーバを用意しなくても、XSSの脆弱性がある第三者のWebサイトを利用するだけで攻撃が可能になる。

SamyWormの手法を巧妙かつ狡猾に仕上げたものが、「Java Script Malware(ジャバ・スクリプト・マルウェア)」である。これは、Java Script,Java Applet,CSSを利用しているのみで、OSやソフトウェアの脆弱性を一切利用しない攻撃手法であり。攻撃者が用意したURLにアクセスさせるという受動的な攻撃で、アクセスしてきたコンピュータの制御を奪うことが可能である。

制御を奪われたパソコンは、攻撃者によって「悪意のあるコードの実行」「ユーザーが現在表示しているページの取得」「任意のサイトへ誘導」「ブラウザクラッシュ」「キーログの取得」「DDoS」を実行させられてしまう。

>> Java Script Malware のデモ攻撃から

講演の最後では、デモ環境を使ってJava Script Malwareの実演も行われた。Windows2000 SP4 と IIS 上に、Java Script Malwareを仕込んだページを設置し、そこへ、Windows XP Proffessional SP2(修正パッチはすべて適用済み)でアクセスし、ページへアクセスしただけでJava Script Malwareが発動し、いとも簡単に攻撃者が犠牲となったパソコンに指令を送ることが可能となる様子が解説された。

攻撃者側のパソコンの攻撃管理画面のインターフェイスには、攻撃指令を下す「Commands」、攻撃対象のIPアドレスなどを表示する「Victims」、攻撃操作履歴を表示する「Logs」に分かれ、Commandsメニューには、「get cookie」「prompt」「get Mouse Log」「get clipboard」などの攻撃対象に送るコマンドのメニューが並んでいた。

>> まとめ、対策もシフトを求められている

講演の最後では、ここまで述べてきたように、これまであまり攻撃対象にならなかったファイアウオールに守られた内部ネットワークのコンピュータや個人パソコンでも、外部から操作することが可能であるため、管轄下にある信頼しているコンピュータが、いつなんどき、内なる敵へと豹変するかわからない。

そのため、現在必要とされているのは、脅威の存在と、システムのセキュリティレベルをよく知ることで、攻撃の手法と目的のシフトに合わせて、守る側の考え、手法もシフトするべきである、と結ばれた。

【取材・文:SCAN編集部】
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

    ここが変だよ日本のセキュリティ 第31回「中二病全開!アンチ・アンチ・オーディット作戦発動!!」

  2. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  3. [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

    [数字でわかるサイバーセキュリティ] 2018年度政府サイバーセキュリティ予算、大規模予算施策一覧

  4. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  5. [セキュリティホットトピック] まるで海外アングラサイト? 中学生がフリマアプリでウイルス売買し書類送検

  6. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第11回「五十四歳」

  8. [セキュリティホットトピック] 金融機関情報を狙う「DreamBot」「Gozi・Ursnif」、国内でまた活発化

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第10回「面会依頼」

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第12回「社長面談」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×