[特別寄稿] MITB の脅威と対策 後編 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.23(水)

[特別寄稿] MITB の脅威と対策 後編

特集 特集

●MITBが用いられた事例

では、MITBが用いられた具体的な事例について見ながら、その脅威について見てみましょう。

・Gumblar

2009年~2010年に世間を騒がせたGumblar攻撃は、多くのWebサイトが改ざんされたことでご存知の方も多いでしょう。実は一般的な報道ではあまり語られなかったものの、この攻撃によってインストールされるマルウェアにはMITBを行う機能があったのです。Gumblar攻撃は亜種も含めると攻撃手法が比較的多岐にわたるため、今回はその一例を見てみましょう。

Gumblarマルウェアが書き換えたWebサイト、または攻撃者が書き換えたWebサイトを閲覧すると、当時未修正だった複数の脆弱性を用いてマルウェアのコンポーネントがインストールされます。これは他のマルウェアをダウンロードする (Drive-by-Download攻撃) 役目を果たし、様々な活動が行われてしまいます。実はこの一連の活動の中で、MITBが用いられたのです。

GumblarがインストールするDaonolマルウェア (Katesとも呼ばれる) の一種はシステムの設定を変更し、Webブラウザを含むほとんどすべてのプロセスに入り込みます。この状態でGoogle、YahooまたはBingによる検索を行うとマルウェアのコードが起動し、特定の検索結果を書き換えて被害者を不正なサイトに誘導しようとするのです。この攻撃は比較的気づかれやすいとはいえ、システムに深く入り込んで悪意ある挙動を実現するという意味では特筆すべきものです。

・Operation High Roller

近年MITBは、オンラインバンキング等を狙う攻撃のための使用例が増えつつあります。Operation High Rollerと呼ばれる大規模な金融詐欺もこのひとつです。2012年に発生したこの攻撃では主にヨーロッパ諸国と南北アメリカの富裕層が標的とされ、この中ではMITB攻撃を行う機能を持つマルウェアが用いられました。被害額は、日本円にして60億円から2000億円と推測されています。

この攻撃において、特にヨーロッパにおいて実際に行われた活動を米McAfee社のレポート から見てみましょう。まず攻撃者は標的を絞り、リンクを含んだメールを送信します。被害者がフィッシングメールに書かれたリンクをたどると、幾つかの脆弱性を用いてコンピュータにマルウェアがインストールされてしまいます。ただしこの段階では攻撃者にとって重要なことは起こりません。

本当に重要なのは、この状態で被害者がオンラインバンキングにログインした後のことです。このとき、インストールされたマルウェア (ZeuSやSpyEyeの一種) はブラウザが表示するページにJavaScriptを書き込み、“セキュリティ強化” の名目で二要素認証の情報を入力させる画面を表示します。ここで情報を入力してしまうと、背後では二要素認証を突破して攻撃者の持つ口座への送金が実行されてしまいます。またマルウェアがMITBによって口座の残高や履歴を改ざんするため、被害者が不正送金の事実に気づきにくいようにもなっているのです。

●MITBへの対策

このようにMITBは今までの攻撃と比べて極めて気づかれにくい脅威ではありますが、一方で技術的に対抗ができないわけではないのです。MITBへの対策は、銀行側の対策、ユーザー側の対策がそれぞれ複数提案されています。幾つか見てみましょう。

まず、振込などの重要な操作については携帯電話など別の手段で認証を行う手法が提案されています。これは二要素認証の一種ですが、MITBによってコンピュータが乗っ取られていた場合にも機能するという点では大きな意味があります。

また一部のベンダーが銀行に提案しているのが、リスクベース認証と呼ばれる追加のセキュリティ機構です。これはユーザーの行動履歴をあらかじめ蓄積しておき、普段の使われ方とは異なる特徴を見つけた場合に取引を中止したり別の手段で認証を行ったりする仕組みです。銀行のシステムに大きな改変が必要になるものの、銀行とその顧客からみた多量の金銭的被害を最小限に抑えるという観点からは有効だと考えられています。

またMITBが行うブラウザの乗っ取りは技術的に検出が困難というわけではありません。そのため、既存のアンチウイルスソフトウェアは既存のMITBマルウェアを検知する、ないしはヒューリスティック検知によって一般的なMITB攻撃に固有の活動を検出する機能を持つ場合があります。また、ブラウザを保護する専用の機能を備える統合セキュリティ製品もあります。

一方でオンラインバンキングを利用するすべてのユーザーがそのようなセキュリティ製品を利用しているとは限りませんし、銀行なども大きなシステムの改変を行うのが難しいという事実があります。

●FFRIにおけるMITB対抗技術

そこでFFRIは技術的に対抗するため、ユーザーのブラウザを積極的に保護する技術開発を行っています。これにより、ユーザーは少なくとも特定サイトを閲覧している間は安全な取引を実現できるようになることが期待できます。

この技術のコンセプトは比較的単純です。ユーザーが特定サイトにおいて保護されたログインを選択するとFFRI Limosaのセキュリティモジュール (ブラウザ拡張) がインストールされ、保護された状態のブラウザが立ち上がります。保護されたブラウザにおいては特定インタフェースなどによる干渉がブロックされているため、仮にユーザーのコンピュータがキーロガーやMITB攻撃を行うマルウェアに感染していたとしても、各種のマルウェアによるブラウザへの干渉を阻止することができます。

我々はこのコンセプトに基づく製品であるFFRI Limosaを年内に提供開始する予定です。一部の統合セキュリティ製品にしか搭載されないようなブラウザ保護を実現するFFRI Limosaをオンラインバンキングなどの重要なWebサイトを通じてユーザーに提供することにより、すべてのユーザーがMITBやキーロガーなどの脅威に対して基本レベルの保護を受けられるようになると期待しています。

●FFRI Limosaシステム要件(予定)

対応OS
・Windows XP(32ビット版)
・Windows Vista(32ビット版)
・Windows 7(32/64ビット版)

対応ブラウザ
・Internet Explorer 8および9(32ビット版)

(大居 司)

著者略歴:株式会社フォティーンフォティ技術研究所 技術戦略室 リサーチエンジニア
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  9. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

  10. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×