Scan Tech Report 特別転載　2009年上半期のセキュリティトピック

　Scan Tech Reportは、セキュリティ技術者と研究者に向けた、エクスプロイトコードを分析研究する、株式会社ラックの寄稿・協力のもと週刊で配信される有料メールマガジンです。2009年上半期レビュー原稿を、エクスプロイトコード部分を割愛して特別掲載します。エクス

特集特集

2009年7月8日（水） 17時30分

　Scan Tech Reportは、セキュリティ技術者と研究者に向けた、エクスプロイトコードを分析研究する、株式会社ラックの寄稿・協力のもと週刊で配信される有料メールマガジンです。2009年上半期レビュー原稿を、エクスプロイトコード部分を割愛して特別掲載します。エクスプロイトの具体例と分析はScan Tech Reportでご利用下さい。

Scan Tech Report
https://www.netsecurity.ne.jp/14_3698.html

─
　気がつくと暑い季節が到来しており、今年も折り返しとなりました。そこで、今回は2009年上半期のセキュリティニュースを振り返ってみたいと思います。今年の上半期のトピックはやはり次の2つのウイルス騒ぎではないでしょうか。

・Confickerワーム
・Gumbler / Nine-ball

● Confickerワームの猛威

　Confickerワームは2008年に報告されたワームですが、日本国内でアウトブレイクしたのは2009年2月頃からです。その感染方法や感染力は2003年のブラスターワームに例えられ、企業によっては数千台〜数万台規模での感染が確認されました。興味深いのは、あるセキュリティ調査を実施している企業では日本での感染は殆ど観測されていないということです。どういった調査を実施しているのかは不明ですが、少なからず筆者らの顧客をはじめとして、Confickerワームの駆除作業に多くの時間を費やした企業は少なくありません。

W32.Blaster.Worm
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html

　Confickerワームの特徴といえば、次の3点が挙げらます。

(1)Microsoft Windowsの脆弱性を悪用しての感染
(2)ネットワーク共有の感染
(3)外部記憶媒体からの感染

　特に話題になったのが(3)の外部記憶媒体からの感染です。autorun.infを悪用しWindowsの自動実行機能を悪用した感染は目新しい手法ではありません。しかし、Confickerワームは自動実行だけでなく、自動再生機能も悪用しました。その結果、ActiveDirectoryなどでドメイン管理によりセキュリティ設定を変更している組織でさえも感染の予防策を講じることが困難な状況となりました。

　また、もうひとつ話題となったのが、Conficker.Bで利用されたautorun.infの内容です。一見、可読性の無い中身になっており、内容がわかりづらく作成されています。良く目を凝らして確認すると、実行されるDLLファイル名が確認できます。

　一見、ブラスターワームと同じように報道されていましたが、そのメカニズムが解明されるにつれ、様々な工夫により感染力を高めたワームという印象があります。

● Gumbler（通称、GENOウイルス） / Nine-ball

　Confickerワームに続き、国内でも話題になったのが、Gumblerです。Gumblerは3月頃から報告されていましたが、国内で注目が集まったのはゴールデンウィーク頃からでした。このウイルスの動作は次の手順により感染します。

(1)悪意あるJavaScriptを挿入したWebコンテンツを閲覧したPCからFTPのアカウント情報を詐取
(2)(1)で盗んだFTPのID/パスワードにより、被害PCが管理するWebサーバにログイン
(3)Webコンテンツに悪意あるJavaScriptを挿入

　これらのウイルスは、(1)で悪意あるPDF、SWFファイルにより、Adobe ReaderとFlash Playerの脆弱性を悪用し、システムを乗っ取ります。その後、パスワードスティーラーをインストールすることでFTPアカウント情報を詐取しています。

　また、このGumblerの特徴は、PCからWebサーバを改ざんするための情報を詐取している点が興味深い点です。公開サーバへの侵入は、サーバへ直接攻撃が行われるものとの先入観を利用した間接的攻撃と言えます。

　現在、Gumblerの名前の由来となったgumbler.cnは存在せず、とりあえず終息しました。ところが、同様の手口により4万台以上のサイトを感染させたとされるNine-ballが登場しており、猛威を振るっています。

Nine-Ball Mass Injection - Details - Security Labs Blog
http://securitylabs.websense.com/content/Blogs/3422.aspx

　これらのウイルスは様々な情報が飛び交っており、正確な情報は掴めていません。筆者は確認できていませんが、次のような情報もあります。

・FTPのアカウント情報だけでなく、その他情報も盗まれている
・メール添付型も存在する
・2タイプ存在する

● 2009年後半を占う

　Nine-ballで話題になっているのが、「YES Exploit System」などのDrive by downloadで悪用する際のExploit生成ツールの存在です。これらのツールが有名になったのは、2007年に登場したMpackからであり、その多くがロシアで作成されたものです。これらのツールは有料で入手可能であり、0day Exploitを含んでおり、ユーザ側の防御が難しいことが特徴と挙げられます。このようなツールの普及により、暫くはWeb経由でのサイバー攻撃の続く事が予想されます。具体的には…

（※本記事は「Scan Tech Report Vol.341」掲載記事からエクスプロイトコードの具体例を割愛し、再構成して掲載しました）

Scan Tech Reportご購読の案内
https://www.netsecurity.ne.jp/14_3698.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》