現代ハッカーの基本テクニック - JARを利用した攻撃手法「GIFAR」【前編】 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)

現代ハッカーの基本テクニック - JARを利用した攻撃手法「GIFAR」【前編】

特集 特集

●経済危機の裏で

 低迷し続ける景気を他所に順調に売上げを延ばしている業界がある。某テレビ番組ではマクドナルドやワタミといった好調企業が紹介されていた。しかし、この世界的大恐慌の中、儲かっているのは彼らだけではない。景気低迷と反比例して儲けているのが、アンダーグラウンド業界だ。彼らのビジネスモデルは如何にコンシューマのクライアントPCに悪性プログラムをインストールすることができるかが勝負となる。そのため、その手口は日々巧妙化していると言っても過言ではないだろう。

 さて、彼らの最近の手口であるが、ビジネスや生活の一部がWebを核とするようになり、攻撃者たちはWeb経由での攻撃に注力していることが分かっている。その典型がWebサイトへの悪性コード(JavaScriptなど)の埋込みだろう。

 簡単におさらいをしておくと、

●Web経由での攻撃例1

(1)WebサイトへSQLインジェクションにより攻撃!

(2)コンテンツを改ざんし、悪意あるサイトへ誘導するための悪性コードを挿入!

といった内容だ。ところが、(2)でFlash Playerのゼロデイが悪用された頃から、さらに手口は巧妙になり、FlashにAction Scriptを埋込む攻撃までが出て来た。

●Web経由での攻撃例2

(1)バナー広告(Flash)に悪意あるActionScriptを挿入

(2)メールやURLリンク、ブログ等から誘導

 この手口はAdobe Readerの脆弱性を狙った悪意あるPDFファイルにも応用されている。このように、もはやWebコンテンツそのものが攻撃の道具として悪用され始めているのである。これらの攻撃を完全に防ぐことは中々難しいのが現状であり、ベストエフォートとしてFirefox+NoScriptによるWebブラウジングが現実解となっている。

 そんななか、また新たにClient-Sideを狙った厄介な攻撃手法が報告され注目を集めていることをご存知だろうか。この攻撃手法は「どこにでもある画像ファイルやOfficeファイル」に悪意あるJavaアプレットを埋込む「GIFAR」と呼ばれる技術だ。見た目もGIFファイルそのものであるため見抜くことが難しいうえ、他の攻撃との組合せが可能であるため、その影響度が大きいとされている。

●画像ファイルを偽った攻撃

 画像ファイルやFlashを用いた動的ファイルは、Webコンテンツに必ずといってよい程利用されている。もはやWebには必要不可欠な存在といえるだろう。これらのデータに悪性コードが混入された場合、多くのユーザが対処に困るはずだ。

 「GIFAR」とは昨年8月に報告された攻撃手法である。実はこの攻撃は今年2月にWhitehat SecurityのCTOであるJeremiah Grossmanをはじめとしたセキュリティ専門家が選ぶ「Top Ten Web Hacking Techniques of 2008」で見事(?)1位を獲得した攻撃手法なのである。日本では殆ど話題になっていないので知る読者は少ないと思われるが、世界的にはかなり問題視されていた。もしかすると、毎年恒例のIPA(情報処理推進機構)が発行する「情報セキュリティ白書2009 - 10大脅威」には選ばれているかもしれない…

【執筆:二根太】

【関連記事】
Black Hat Japan 2008 GIF+JAR=GIFARファイルでドメインベースの信頼は破
壊される ネイサン・マクフィーター氏
https://www.netsecurity.ne.jp/3_12364.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×