vol.10 2 版 2016 年 1 月 15 日 JSOC Analysis Team
JSOC INSIGHT Vol.10 1 はじめに... 3 2 エグゼクティブサマリ... 4 3 JSOC における 重 要 インシデント 傾 向... 5 3.1 重 要 インシデントの 傾 向... 5 3.2 発 生 した 重 要 インシデントに 関 する 分 析... 6 3.3 大 量 に 検 知 した 攻 撃 通 信 について... 7 3.3.1 インターネットから SNMP の 問 い 合 わせが 可 能 なホストの 検 知 について... 7 3.3.2 多 様 な CMS に 対 するコード 実 行 の 試 み... 8 3.3.3 Web ページの 改 ざんを 目 的 とした SQL インジェクション 攻 撃... 11 3.3.4 脆 弱 性 スキャンツールを 利 用 した 攻 撃 通 信 について... 12 4 今 号 のトピックス... 13 4.1 エクスプロイトキットの 増 加 と ZeusVM の 関 係 について... 13 4.1.1 エクスプロイトキットの 検 知 増 加 と ZeusVM の 関 係 について... 13 4.1.2 検 知 した ZeusVM の 通 信 の 挙 動 と 特 徴... 15 4.1.3 ZeusVM などオンラインバンキングを 狙 ったマルウェア 感 染 への 対 策... 19 4.2 BIND に 存 在 するサービス 不 能 の 脆 弱 性 (CVE-2015-5477)について... 21 4.2.1 BIND に 存 在 するサービス 不 能 の 脆 弱 性 の 概 要... 21 4.2.2 本 脆 弱 性 を 悪 用 した 攻 撃 通 信 の 検 証... 21 4.2.3 本 脆 弱 性 を 悪 用 した 攻 撃 への 対 策... 23 5 終 わりに... 24 Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 1
改 定 履 歴 2016 年 1 月 6 日 初 版 発 行 2016 年 1 月 15 日 2 版 発 行 エグゼクティブサマリ 4.1.1 表 記 を 修 正 Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 2
1 はじめに JSOC(Japan Security Operation Center)とは 株 式 会 社 ラックが 運 営 するセキュリティ 監 視 セン ターであり JSOC マネージド セキュリティ サービス(MSS) や 24+ シリーズ などのセキュリティ 監 視 サ ービスを 提 供 しています JSOC マネージド セキュリティ サービスでは 独 自 のシグネチャやチューニングによ ってセキュリティデバイスの 性 能 を 最 大 限 に 引 き 出 し そのセキュリティデバイスから 出 力 されるログを 専 門 の 知 識 を 持 った 分 析 官 (セキュリティアナリスト)が 24 時 間 365 日 リアルタイムで 分 析 しています このリ アルタイム 分 析 では セキュリティアナリストが 通 信 パケットの 中 身 まで 詳 細 に 分 析 することに 加 えて 監 視 対 象 への 影 響 有 無 脆 弱 性 やその 他 の 潜 在 的 なリスクが 存 在 するか 否 かを 都 度 診 断 することで セキュ リティデバイスによる 誤 報 を 極 限 まで 排 除 しています 緊 急 で 対 応 すべき 重 要 なインシデントのみをリアルタ イムにお 客 様 へお 知 らせし 最 短 の 時 間 で 攻 撃 への 対 策 を 実 施 することで お 客 様 におけるセキュリティレ ベルの 向 上 を 支 援 しています 本 レポートは JSOC のセキュリティアナリストによる 日 々の 分 析 結 果 に 基 づき 日 本 における 不 正 アクセ スやマルウェア 感 染 などのセキュリティインシデントの 発 生 傾 向 を 分 析 したレポートです JSOC のお 客 様 で 実 際 に 発 生 したインシデントのデータに 基 づき 攻 撃 の 傾 向 について 分 析 しているため 世 界 的 なトレンド だけではなく 日 本 のユーザが 直 面 している 実 際 の 脅 威 を 把 握 することができる 内 容 となっております 本 レポートが 皆 様 方 のセキュリティ 対 策 における 有 益 な 情 報 としてご 活 用 いただけることを 心 より 願 って おります Japan Security Operation Center Analysis Team 集 計 期 間 2015 年 7 月 1 日 ~ 2015 年 9 月 30 日 対 象 機 器 本 レポートは ラックが 提 供 する JSOC マネージド セキュリティ サービスが 対 象 としているセキュリティ デバイス( 機 器 )のデータに 基 づいて 作 成 されています 本 文 書 の 情 報 提 供 のみを 目 的 としており 記 述 を 利 用 した 結 果 生 じる いかなる 損 失 についても 株 式 会 社 ラックは 責 任 を 負 いかねま す 本 データをご 利 用 いただく 際 には 出 典 元 を 必 ず 明 記 してご 利 用 ください ( 例 出 典 : 株 式 会 社 ラック JSOC INSIGHT vol.10 ) 本 文 書 に 記 載 された 情 報 は 初 回 掲 載 時 のものであり 閲 覧 提 供 される 時 点 では 変 更 されている 可 能 性 があることをご 了 承 ください Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 3
2 エグゼクティブサマリ 本 レポートは 2015 年 7 月 から 9 月 に 発 生 したインシデント 傾 向 の 分 析 に 加 え 特 に 注 目 すべき 脅 威 をピックアップしてご 紹 介 します エクスプロイトキットの 増 加 と ZeusVM の 関 係 について システムへの 侵 入 を 企 てるツールキットの Angler Exploit Kit により ZeusVM に 感 染 した 通 信 が 増 加 しました さまざまなお 客 様 の ZeusVM 感 染 ホストが 同 時 期 に 同 一 の C2 サーバへ 接 続 し ており これらが 短 い 期 間 で 変 更 されたためブラックリスト 方 式 による 対 策 効 果 を 限 定 的 にしていま す また 日 本 年 金 機 構 の 情 報 漏 えい 事 件 で 用 いられたとされるマルウェア Emdivi は エクスプロ イトキット 等 による 不 正 サイトへの 誘 導 事 例 が 増 加 した 同 時 期 に 検 知 がありました Emdivi の 感 染 経 路 は 未 だに 明 らかになっていないものの 電 子 メールによる 標 的 型 攻 撃 のみではなく 水 飲 み 場 型 等 の 改 ざんされた Web サイトによる 感 染 により 拡 大 したことも 考 えられます なお Emdivi の 検 知 は 7 月 末 以 降 収 束 しています BIND に 存 在 するサービス 不 能 の 脆 弱 性 (CVE-2015-5477)について BIND に 外 部 からサービス 停 止 を 可 能 とする 脆 弱 性 が 公 開 されました JSOC では 本 脆 弱 性 を 悪 用 する 攻 撃 通 信 は 検 知 しておりませんが すでに 実 証 コードが 公 開 されており 悪 用 が 非 常 に 容 易 です また BIND の 設 定 を 問 わず 脆 弱 なバージョン 全 てが 攻 撃 の 影 響 を 受 けるため 早 急 なアッ プデートが 必 要 です Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 4
検 知 件 数 3 JSOC における 重 要 インシデント 傾 向 3.1 重 要 インシデントの 傾 向 JSOC では IDS/IPS サンドボックス ファイアウォールで 検 知 したログをセキュリティアナリストが 分 析 し 検 知 した 内 容 と 監 視 対 象 への 影 響 度 に 応 じて 4 段 階 のインシデント 重 要 度 を 決 定 しています このうち Emergency Critical に 該 当 するインシデントは 攻 撃 の 成 功 や 被 害 が 発 生 している 可 能 性 が 高 いと 判 断 する 重 要 なインシデントです 表 1 インシデントの 重 要 度 と 内 容 分 類 重 要 度 インシデント 内 容 重 要 インシデント 参 考 インシデント Emergency Critical Warning Informational 攻 撃 成 功 を 確 認 したインシデント 攻 撃 成 功 の 可 能 性 が 高 いインシデント 攻 撃 失 敗 が 確 認 できないインシデント マルウェア 感 染 を 示 すインシデント 攻 撃 失 敗 または 攻 撃 内 容 に 実 害 が 無 いことを 確 認 したインシデント スキャンなど 実 害 を 及 ぼす 攻 撃 以 外 の 影 響 の 少 ないインシデント 図 1 に 2015 年 7 月 から 9 月 に 発 生 した 重 要 インシデントの 件 数 推 移 を 示 します 120 90 2 インターネットからの 攻 撃 通 信 内 部 からの 不 審 な 通 信 60 3 30 0 1 7 月 1-7 日 7 月 7 月 7 月 7 月 29-8-14 日 15-21 日 22-28 日 8 月 4 日 8 月 8 月 8 月 8 月 26-5-11 日 12-18 日 19-25 日 9 月 1 日 9 月 2-8 日 9 月 9 月 9 月 9-15 日 16-22 日 23-30 日 図 1 重 要 インシデントの 検 知 件 数 推 移 (2015 年 7 月 ~9 月 ) 内 部 から 発 生 した 重 要 インシデントでは 日 本 年 金 機 構 の 情 報 漏 えい 事 件 で 用 いられたとされるマル ウェア Emdivi の 感 染 通 信 を 2015 年 6 月 から 引 き 続 き 1 7 月 中 旬 まで 検 知 しておりました( 図 1-1) なお 7 月 中 旬 以 降 は 収 束 しており 検 知 はありません また 8 月 下 旬 からインターネットバンキングの 情 報 を 狙 った Zeus の 亜 種 ZeusVM の 感 染 と 考 えられる 通 信 を 複 数 のお 客 様 で 検 知 しました インターネットからの 攻 撃 による 重 要 インシデントの 発 生 件 数 は 2015 年 7 月 2 週 と 4 週 に 急 増 しま した( 図 1-2) これはいずれも 特 定 のお 客 様 の 脆 弱 性 が 存 在 するホストに 対 し 複 数 の 攻 撃 者 が 同 1 JSOC INSIGHT vol.9 4. 1 標 的 型 攻 撃 によるマルウェア 感 染 について http://www.lac.co.jp/security/report/pdf/20151022_jsoc_o001t.pdf Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 5
様 の 攻 撃 を 行 ったためです なお 数 年 前 までは 終 戦 記 念 日 (8 月 15 日 )や 満 州 事 変 の 発 端 となった 柳 条 湖 事 件 が 起 きた 日 (9 月 18 日 )の 前 後 で 主 に 中 国 からの 攻 撃 通 信 が 増 加 することがありました 2 しかしながら 今 年 もこのよう な 兆 候 は 見 られず 攻 撃 の 検 知 傾 向 に 特 筆 すべき 変 化 はありませんでした( 図 1-3) 3.2 発 生 した 重 要 インシデントに 関 する 分 析 図 2 にネットワーク 内 部 から 発 生 した 重 要 インシデントの 内 訳 を 示 します 2015 年 7 月 から9 月 にネットワーク 内 部 から 発 生 した 重 要 インシデントの 件 数 (212 件 )は 4 月 から6 月 の 件 数 (400 件 )より 大 幅 に 減 少 しました これは4 月 から6 月 特 定 のお 客 様 でマルウェア 感 染 が 継 続 しておりましたが 5 月 末 に 対 応 が 完 了 したためです 全 体 の 重 要 インシデントの 発 生 件 数 は 減 少 したもの の 7 月 中 旬 まではEmdiviの 感 染 通 信 ( 図 2-2) 8 月 下 旬 以 降 はZeusVMの 感 染 通 信 ( 図 2-1) と 考 えられる 不 審 な 通 信 をそれぞれ 多 数 検 知 しました a. 2015 年 4~6 月 b. 2015 年 7~9 月 * 図 2 ネットワーク 内 部 から 発 生 した 重 要 インシデントの 内 訳 * 項 目 Emdivi 等 にはその 他 標 的 型 攻 撃 を 含 む 図 3 にインターネットからの 攻 撃 による 重 要 インシデントの 内 訳 を 示 します 2015 年 7 月 から9 月 にインターネットからの 攻 撃 により 発 生 した 重 要 インシデントの 件 数 (289 件 )は 4 月 から 6 月 の 件 数 (287 件 )とほぼ 同 数 でした 但 し その 内 訳 には 変 化 があり HeartBleed 攻 撃 の 件 数 が 増 加 し ( 図 3-1) 不 審 なファイルアップロード 攻 撃 の 件 数 が 減 少 しました( 図 3-2) HeartBleed 攻 撃 の 件 数 増 加 要 因 は 特 定 のお 客 様 に 脆 弱 なホストが 存 在 し 同 様 の 攻 撃 が 繰 り 返 し 行 われたためです インターネットからの 攻 撃 で 一 度 脆 弱 だと 判 明 した 攻 撃 対 象 に 同 様 の 攻 撃 が 複 2 9 月 18 日 に 関 連 したサイバー 攻 撃 に 関 しての 注 意 喚 起 http://www.lac.co.jp/security/alert/2013/09/12_alert_01.html Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 6
数 の 攻 撃 元 から 発 生 する 事 象 が 頻 発 しております 脆 弱 なホストが 判 明 した 場 合 は 放 置 せず 早 急 に 対 策 を 実 施 することが 必 要 です a. 2015 年 4~6 月 b. 2015 年 7~9 月 図 3 インターネットからの 攻 撃 による 重 要 インシデントの 内 訳 3.3 大 量 に 検 知 した 攻 撃 通 信 について 2015 年 7 月 から9 月 にJSOCで 検 知 した 特 筆 すべき 攻 撃 通 信 を 紹 介 します 3.3.1 インターネットから SNMP の 問 い 合 わせが 可 能 なホストの 検 知 について 2013 年 7 月 以 降 DNSやNTPなど 外 部 へ 公 開 しているUDPサービスの 設 定 不 備 を 悪 用 するリフレク ター 攻 撃 によるDDoS 攻 撃 3 が 増 加 しております 悪 用 されるUDPサービスは 稼 働 監 視 に 用 いられる SNMPサービスも 含 まれます SNMPサービスの 増 幅 率 は ある 特 定 のリクエストに 対 して 約 650 倍 で 応 答 する 場 合 があるとされています 4 JSOCでは SNMPのDDoS 攻 撃 にお 客 様 のホストが 踏 み 台 として 悪 用 された 検 知 実 績 はありません しかし SNMPサービスの 設 定 不 備 により 意 図 せずインターネットからSNMPの 問 い 合 わせが 可 能 なホスト の 存 在 を 検 知 しております これらの 中 には ルータやスイッチのSNMPサービスが 意 図 せず 動 作 しており インターネットに 公 開 されていた 事 例 がありました ルータやスイッチのSNMPサービス 設 定 を 確 認 し インタ ーネットから 不 要 なリクエストを 受 け 付 けないよう 適 切 なアクセス 制 御 5 を 実 施 することが 必 要 です 3 JSOC INSIGHT vol.4 4.1 外 部 へ 公 開 しているサービスを 悪 用 した DoS 攻 撃 の 増 加 について http://www.lac.co.jp/security/report/pdf/20140722_jsoc_j001t.pdf 4 Understanding and mitigating NTP-based DDoS attacks https://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks/ 5 SNMP リフレクター 攻 撃 に 対 する 注 意 喚 起 について http://www.npa.go.jp/cyberpolice/detect/pdf/20141126.pdf Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 7
このようなデバイスに 存 在 する 設 定 不 備 は ルータなどの 機 器 だけでなく 今 後 IoT 化 が 進 むことで 増 加 すると 考 えられます インターネットに 接 続 するIoT 製 品 の 動 作 状 況 を 把 握 し 意 図 していない 設 定 がされ ていないか 適 切 にアクセス 制 御 されているか 確 認 することが 重 要 です 3.3.2 多 様 な CMS に 対 するコード 実 行 の 試 み コンテンツ 管 理 システム(CMS)で 利 用 されるファイルや 攻 撃 後 に 設 置 されるバックドアファイルに 対 して コード 実 行 の 試 みを 多 数 検 知 しました 表 2に 検 知 した 攻 撃 対 象 のURL 例 を 図 4に 検 知 した 攻 撃 通 信 例 を 示 します / 表 2 コード 実 行 の 試 みを 検 知 した URL 例 対 象 と 考 えられる 攻 撃 対 象 の URL CMS /bbs/utility/convert/data/config.inc.php phpmyadmin /cache/label/909.php /data/cache/t.php /images/swfupload/images/uploadye.php /include/code/mp.php DedeCMS DedeCMS DedeCMS /logo/1.php /member/feedback.php /plus/90sec.php /plus/ad_js.php?aid=8888 /plus/mytag_js.php?aid=511348 /templets/plus/sky.php /utility/convert/include/rom2823.php /wp-admin/js/edit.php DedeCMS DedeCMS DedeCMS DedeCMS DedeCMS phpmyadmin WordPress /xiaolei.php /Ac2.asp;.jpg /miaojcx.asp;.jpg Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 8
a-1 特 定 文 字 列 を 表 示 する 攻 撃 通 信 a-2 デコード 後 のコード 内 容 b-1 On Errorステートメントにて 特 定 文 字 列 を 表 示 する 攻 撃 通 信 b-2 デコード 後 のコード 内 容 Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 9
c-1 ユーザIDなどを 出 力 させる 攻 撃 通 信 ( 一 部 ) c-2 デコード 後 のコード 内 容 図 4 CMS を 狙 ったと 考 えられる 攻 撃 通 信 例 攻 撃 者 の 要 求 するコードのパターンは 図 4で 示 すように 特 定 の 文 字 列 表 示 やサーバの 設 定 情 報 取 得 など 多 岐 にわたります このような 攻 撃 に 関 連 するCVEなどの 脆 弱 性 情 報 は 特 定 できておりませんが phpmyadminや DedeCMS WordPressなどの 広 く 利 用 されているCMSに 含 まれるファイルやフォルダ または 攻 撃 後 に 設 置 されるバックドアファイルへの 攻 撃 を 多 数 検 知 しています また これらの 通 信 は 攻 撃 対 象 でのWebア プリケーションの 利 用 有 無 や バックドアファイルの 存 在 有 無 に 限 らず 検 知 をしていることから 何 らかのツー ルを 用 いた 脆 弱 性 の 有 無 を 調 査 する 通 信 や バックドアを 利 用 してホストを 悪 用 する 攻 撃 通 信 である 可 能 性 が 考 えられます これまでに 被 害 が 発 生 した 事 例 は 検 知 しておりませんが 公 開 サーバ 上 で 動 作 しているサーバソフトウェ アやアプリケーションについて 以 下 の 点 を 再 確 認 することが 必 要 です 管 理 ネットワーク 内 に 不 要 な 公 開 サーバが 放 置 されていないか 公 開 サーバ 上 に 不 要 なコンテンツが 放 置 されていないか 使 用 しているソフトウェアやアプリケーションのバージョンに 脆 弱 性 が 見 つかっていないか Webアプリケーションに 脆 弱 性 が 存 在 しないか 不 審 なファイル プロセスが 公 開 サーバ 上 に 存 在 しないか Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 10
3.3.3 Web ページの 改 ざんを 目 的 とした SQL インジェクション 攻 撃 Webページの 改 ざんを 目 的 とするSQLインジェクション 攻 撃 を 多 数 検 知 しました 図 5に 検 知 した 攻 撃 通 信 例 を 示 します 図 5 Web ページの 改 ざんを 狙 った SQL インジェクション 攻 撃 例 ( 一 部 ) 2008 年 頃 は declare 句 を 含 む Web ページの 改 ざんを 目 的 とした SQL インジェクション 攻 撃 を 多 く 検 知 しておりました これは 悪 意 あるサイトへのリンクを 埋 め 込 むことで 改 ざんされたサイトにアクセスしたユ ーザをマルウェアに 感 染 させる 試 みでした 6 しかしながら 今 回 改 ざんにより 埋 め 込 まれた URL は 薬 など の 販 売 広 告 サイトや ある 特 定 の 主 義 主 張 が 書 かれた Blog 記 事 など 一 貫 性 は 無 いことから アクセス したユーザをマルウェアに 感 染 させる 目 的 である 可 能 性 は 低 いと 考 えられます また JSOC にて 検 知 した 攻 撃 通 信 は 埋 め 込 みを 狙 う URL 以 外 の 部 分 に 変 化 がほぼ 見 られなかったため 攻 撃 者 は 特 定 のツー ルを 用 いているものと 考 えられます 6 侵 入 傾 向 分 析 レポート vol.12 http://www.lac.co.jp/security/report/pdf/20090316_jsoc_m01m.pdf Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 11
3.3.4 脆 弱 性 スキャンツールを 利 用 した 攻 撃 通 信 について 2015 年 7 月 から9 月 インターネットからWebサーバの 脆 弱 性 の 有 無 を 調 査 する 攻 撃 通 信 を 多 く 検 知 しました これは 一 般 公 開 されている 脆 弱 性 スキャンツールを 利 用 し 大 量 の 攻 撃 通 信 を 発 生 させたもの と 考 えられます また 攻 撃 の 中 には 特 定 の 対 象 に 数 日 間 にわたり 脆 弱 性 スキャンを 行 った 事 例 もありまし た 脆 弱 性 が 存 在 しない 環 境 であっても 数 日 間 にわたり 相 当 数 の 攻 撃 を 受 けることにより 攻 撃 対 象 に 負 荷 がかかり Webページが 閲 覧 しにくい 状 況 が 発 生 するなど 間 接 的 な 被 害 も 発 生 しています 表 3に2015 年 7 月 から9 月 に 検 知 した 脆 弱 性 スキャン 通 信 の 攻 撃 元 IPアドレスの 例 を 示 します 表 3 脆 弱 性 スキャン 通 信 を 多 数 検 知 した 攻 撃 元 IP アドレス 例 攻 撃 元 IP アドレス 国 52.10.227.107 アメリカ 66.154.123.7 カナダ 117.21.176.17 中 国 180.97.106.36 中 国 180.97.106.37 中 国 180.97.106.161 中 国 180.97.106.162 中 国 182.118.33.7 中 国 122.212.XXX.XXX 125.252.XXX.XXX 日 本 日 本 これらの 中 には 日 本 国 内 のIPアドレスも 含 まれていますが セキュリティ 診 断 などのサービスを 実 施 してい るホストではない 為 攻 撃 者 によって 乗 っ 取 られ 悪 用 されている 可 能 性 が 考 えられます このような 攻 撃 通 信 への 対 策 は 外 部 に 公 開 しているサーバに 脆 弱 性 診 断 を 実 施 し 脆 弱 性 が 存 在 する 場 合 は 早 急 に 修 正 することです また 特 定 の 攻 撃 者 が 数 日 間 にわたり 脆 弱 性 スキャンを 行 うなど 長 期 間 にわたって 攻 撃 通 信 を 発 生 させる 可 能 性 があります そのため 組 織 の 利 用 状 況 に 応 じて 表 3の 攻 撃 元 からの 通 信 を ファイアウォー ルなどのネットワーク 機 器 で 遮 断 することを 推 奨 します Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 12
4 今 号 のトピックス 4.1 エクスプロイトキットの 増 加 と ZeusVM の 関 係 について 4.1.1 エクスプロイトキットの 検 知 増 加 と ZeusVM の 関 係 について システムに 侵 入 するツールキットの 総 称 であるエクスプロイトキットは Oracle Java Runtime Environment(JRE)や Adobe Flash Player などのソフトウェアの 脆 弱 性 を 悪 用 する 攻 撃 コードを 複 数 実 装 し 攻 撃 を 実 行 しています エクスプロイトキットの 攻 撃 が 成 功 すると マルウェアなどのダウンロード が 始 まります 図 6 に 改 ざんによりエクスプロイトキットへ 誘 導 される iframe タグが 埋 め 込 まれた Web サイトの 例 を 示 します 正 規 の Web サイトや 広 告 などに エクスプロイトキットを 設 置 したホストへ 誘 導 するように 不 正 なコードを 埋 め 込 まれることで Web サイトの 利 用 者 が 意 図 せず 転 送 され その 先 に 仕 込 まれたエクスプロイトキット によりマルウェアへ 感 染 してしまいます このようなエクスプロイトキットには Angler Nuclear Zuponcic などの 種 類 があります 図 6 改 ざんによりエクスプロイトキットへ 誘 導 される iframe タグが 埋 め 込 まれた Web サイト Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 13
検 知 件 数 検 知 件 数 図 7 にエクスプロイトキットの 検 知 件 数 を 示 します 図 8 に 6 月 から 9 月 特 徴 的 な 検 知 があった Emdivi と ZeusVM の 検 知 件 数 を 示 します 160 140 120 100 80 Nuclear Exploit Kit Zuponcic Exploit Kit Angler Exploit Kit 1 60 40 20 0 6 月 1-15 日 6 月 16-30 日 7 月 1-15 日 7 月 16-31 日 8 月 1-15 日 8 月 16-31 日 9 月 1-15 日 9 月 16-30 日 図 7 エクスプロイトキットの 検 知 件 数 推 移 40 35 30 25 ZeusVM Emdivi 1 20 15 10 5 2 0 6 月 1-15 日 6 月 16-30 日 7 月 1-15 日 7 月 16-31 日 8 月 1-15 日 8 月 16-31 日 9 月 1-15 日 9 月 16-30 日 図 8 ZeusVM 及 び Emdivi の 検 知 件 数 推 移 JSOC では 7 月 上 旬 からエクスプロイトキットの 一 種 である Angler Exploit Kit が 設 置 されたホストへ の 接 続 の 検 知 が 急 増 しました( 図 7-1) これは 7 月 5 日 に 発 生 したイタリアのセキュリティ 企 業 Hacking Team へのサイバー 攻 撃 により 複 数 の 脆 弱 性 情 報 が 流 出 し Adobe Flash Player のゼロ デイの 脆 弱 性 (CVE-2015-5119) 7 などが Angler Exploit Kit に 取 り 込 まれたことが 一 因 と 考 えられま す 7 Hacking Team の 情 報 漏 えい 事 例 :Flash Player のゼロデイ 脆 弱 性 CVE-2015-5119 複 数 のエクスプロイトキットで 追 加 を 確 認 http://blog.trendmicro.co.jp/archives/11877 Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 14
インターネットバンキングの 認 証 情 報 を 狙 うマルウェア ZeusVM への 感 染 通 信 は 8 月 中 旬 以 降 に 急 激 な 増 加 が 見 られました( 図 8-1) これは 図 7 で Angler Exploit Kit の 検 知 件 数 の 傾 向 が 同 様 の 増 加 傾 向 を 示 すことからも 感 染 経 路 として Angler Exploit Kit が 用 いられた 可 能 性 が 高 いと 考 えら れます また 日 本 年 金 機 構 の 情 報 漏 えい 事 件 で 用 いられたとされるマルウェア Emdivi への 感 染 を 複 数 の お 客 様 で 確 認 したのもこの 時 期 でした Emdivi の 感 染 経 路 は 未 だ 明 らかになっていないものの 不 審 メ ールに 添 付 されたファイルの 実 行 によるものが 大 部 分 と 考 えられる 一 方 で エクスプロイトキットなど 不 正 サ イトへの 誘 導 事 例 が 急 増 した 時 期 とも 符 合 することから 水 飲 み 場 型 攻 撃 等 による 改 ざんされた Web サ イトを 介 した 感 染 8 も 発 生 していた 可 能 性 が 考 えられます( 図 8-2) なお Emdivi の 感 染 通 信 は 8 月 以 降 は 検 知 していません これは Emdivi に 感 染 した 端 末 への 対 処 が 完 了 し その 後 新 たな 感 染 が 発 生 していない 可 能 性 がある 一 方 で 亜 種 に 変 化 した 可 能 性 がある ため 注 意 が 必 要 です 4.1.2 検 知 した ZeusVM の 通 信 の 挙 動 と 特 徴 Zeus は 端 末 のオンラインバンキングに 関 する 認 証 情 報 を 狙 うマルウェアです JSOC では 先 述 のとおり Zeus 系 マルウェアの 亜 種 である ZeusVM と 呼 ばれるマルウェアへの 感 染 の 検 知 数 が 増 加 しています 図 9 に ZeusVM に 感 染 した 際 の 通 信 概 要 を 示 します ZeusVM は 感 染 端 末 が C2 サーバに 接 続 した 際 にマルウェアの 設 定 情 報 が 書 かれた 画 像 ファイルを 取 得 します( 図 9-5) この 画 像 ファイルは 一 見 すると 何 の 変 哲 もない 画 像 ファイルですが ファイルのバイ ナリデータの 終 端 に 不 審 なコードが 隠 されるステガノグラフィという 技 術 が 使 われています しかしながら 見 た 目 には 正 常 な 画 像 であるため 気 付 くことが 困 難 です 8 Flash Player のゼロデイ 脆 弱 性 CVE-2015-5119 による 標 的 型 攻 撃 を 国 内 で 確 認 http://blog.trendmicro.co.jp/archives/11944 Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 15
図 9 ZeusVM 感染通信の流れ 図 10 及び図 11 に画像ファイルを要求する通信と 画像ファイルに埋め込まれた ZeusVM の設定情報 を取得する通信の検知例を示します 図 10 設定情報の書かれた画像ファイルを要求する通信の検知例 図 11 ZeusVM の設定ファイルを取得する通信の検知例 Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 16
表 4 表 5 に ZeusVM 感 染 ホストが 接 続 した C2 サーバの IP アドレスまたはホスト 名 を 示 します JSOC でのマルウェア 検 知 の 接 続 先 は 同 種 のマルウェアであっても 多 くはそれぞれ 異 なります しかしな がら ZeusVM 感 染 通 信 の 検 知 から 見 える 特 徴 は さまざまな 感 染 ホストが 同 時 期 に 同 一 の C2 サーバ へ 接 続 していたことです これらの C2 サーバは 短 い 期 間 で 変 更 されておりましたが 多 くの 接 続 先 IP アド レスはロシア 保 有 のものでした また JSOC で 調 査 したところ これらの 接 続 先 ホストの 多 くはホスティングサービス 業 者 のサーバとみられ 正 規 の Web コンテンツなどが 動 作 しているサーバではありませんでした 攻 撃 者 が Web サーバを 乗 っ 取 っ たわけではなく C2 サーバとして 利 用 するために 契 約 したものと 推 測 します このような 傾 向 から まったくの 同 一 のマルウェアに 感 染 した 通 信 を 検 知 した 可 能 性 があることや 攻 撃 者 がマルウェアの C2 サーバとしてホスティングサービスを 使 用 し 短 い 期 間 にホスト 名 や IP アドレスを 変 更 し つづけることで ブラックリスト 方 式 による 対 策 効 果 を 限 定 的 にしたことが 考 えられます 表 4 JSOC で 検 知 した 感 染 端 末 の 接 続 先 情 報 接 続 先 IPアドレス 接 続 先 ホスト 名 国 151.248.112.123 anla.su 151.248.114.212 ー 185.20.227.69 tianfu.su 194.58.92.172 renpin.su ロシア 194.58.98.203 guns88.ru 194.58.103.199 atmape.ru 194.58.108.18 ー kanatchaw.com ー zogofader.com tarinbarse.com clepmedic.com 不 明 Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 17
表 5 感 染 端 末 の 接 続 先 の 傾 向 図 12 及 び 図 13 に ZeusVM の 設 定 ファイルとして 使 用 された 画 像 と そのバイナリデータを 示 します これらの 画 像 は 見 た 目 にはほぼ 不 審 性 はありません したがって 図 13 の 画 像 が 不 審 であるかを 判 断 することは 非 常 に 困 難 です 図 12 ZeusVM で 使 用 された 画 像 Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 18
図 13 ZeusVM で使用された画像のバイナリデータ 4.1.3 ZeusVM などオンラインバンキングを狙ったマルウェア感染への対策 オンラインバンキングにおける不正送金被害は増加傾向にあり9 個人および法人が標的とされています 特に法人口座での被害が急増しており 被害にあわないよう 以下の対策を実施することが重要です 利用者が実施するべき対策 ウイルス対策ソフトを最新の定義ファイルに更新する オペレーティング システムとアプリケーション ソフトウェアを最新の状態に維持する 金融機関の正しいURLを記録しておき 毎回そこからアクセスする Mircosoft社が提供するEMETを導入する 利用者が注意すべき対策につきましては LAC が公開する 標的型攻撃 対策指南書10 に詳しくま とめております 併せてご参照ください 端末の運用に関する対策 利用するインターネットバンキングが提供する不正送金対策ソフトウェアを活用する 利用するインターネットバンキングが提供するワンタイムパスワードやトークンを活用する 9 平成 27 年上半期のインターネットバンキングに係る不正送金事犯の発生状況等について https://www.npa.go.jp/cyber/pdf/h270903_banking.pdf 10 標的型攻撃 対策指南書 http://www.lac.co.jp/anti-apt/guidebook/ Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 19
業 務 運 用 に 関 する 対 策 複 数 のサイトで 認 証 情 報 の 使 いまわしをしない パスワード 管 理 ソフトウェアを 使 用 する インターネットの 閲 覧 やメールを 送 受 信 する 端 末 と インターネットバンキングを 利 用 する 端 末 を 分 ける 被 害 にあった 際 に 迅 速 にアカウントやサービス 利 用 の 停 止 が 出 来 るように 通 報 連 絡 先 手 順 を 確 認 し 整 備 する 手 口 や 被 害 事 例 について 常 に 最 新 の 情 報 をセキュリティ 情 報 サイトやニュースサイト 銀 行 サイトか ら 入 手 し 確 認 する その 他 被 害 の 軽 減 方 法 振 込 限 度 額 を 必 要 最 低 額 まで 下 げる Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 20
4.2 BIND に 存 在 するサービス 不 能 の 脆 弱 性 (CVE-2015-5477)について 4.2.1 BIND に 存 在 するサービス 不 能 の 脆 弱 性 の 概 要 DNS サーバとして 広 く 利 用 されている BIND に サービス 不 能 の 脆 弱 性 (CVE-2015-5477)が 公 開 されました 特 定 のバージョンの BIND はホスト 間 の 鍵 交 換 を 行 う TKEY 機 能 に 脆 弱 性 が 存 在 し リモ ートから BIND プロセスの 異 常 終 了 が 引 き 起 こされます 本 脆 弱 性 は 設 定 を 問 わず すべての BIND が 対 象 で コンテンツサーバおよびフルリゾルバの 両 方 が 影 響 を 受 けます 脆 弱 性 を 含 むバージョンは 以 下 の 通 りです BIND 9.1.0~9.8.8 BIND 9.9.0~9.9.7-P1 BIND 9.10.0~9.10.2-P2 4.2.2 本 脆 弱 性 を 悪 用 した 攻 撃 通 信 の 検 証 図 14 に 脆 弱 性 を 悪 用 し BIND プロセスを 終 了 させる DNS リクエストを 示 します JSOC における 検 証 の 結 果 リモートから 脆 弱 性 を 悪 用 するリクエストを 受 けた BIND プロセスが 終 了 し サービス 不 能 に 陥 ることを 確 認 しました 攻 撃 が 成 立 するリクエスト 条 件 は 以 下 の 通 りです これらを 満 たすと 脆 弱 な BIND は TKEY 処 理 に おいて 変 数 の 初 期 化 に 失 敗 し BIND プロセスが 終 了 します 攻 撃 リクエストの 条 件 - クエリタイプが TKEY である(Name は 任 意 ) - 拡 張 レコードで タイプが TKEY 以 外 である(A レコードや TXT NULL レコードなど) - クエリの Name と 拡 張 レコードの Name が 一 致 する Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 21
図 14 脆 弱 性 を 悪 用 する DNS リクエスト 図 15 に 攻 撃 を 受 けた BIND のログを 示 します 本 脆 弱 性 を 悪 用 する 攻 撃 を 受 けた 場 合 BIND ログ(デフォルト 設 定 は/var/log/messages)に は プロセスが 正 常 に 動 作 するための 条 件 を 満 たせず 終 了 したことを 示 す assertion failure の 記 述 が 残 ります 図 15 攻 撃 を 受 けた BIND ログ 本 脆 弱 性 は 容 易 に 実 行 可 能 な 検 証 コードが 公 開 されており JSOC では 本 コードでリモートから BIND プロセスが 終 了 することを 確 認 しました( 図 16) 2015 年 10 月 1 日 現 在 JSOC で 本 攻 撃 を 検 知 した 事 例 はありませんが 日 本 国 内 のサービスプロバイダで 攻 撃 の 被 害 が 報 告 されています 11 11 ( 緊 急 )BIND 9.x の 脆 弱 性 (DNS サービスの 停 止 )について(2015 年 7 月 29 日 公 開 ) http://jprs.jp/tech/security/2015-07-29-bind9-vuln-tkey.html Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 22
図 16 検 証 コードの 実 行 結 果 4.2.3 本 脆 弱 性 を 悪 用 した 攻 撃 への 対 策 本 脆 弱 性 の 対 策 はメーカが 公 開 するアップデートを 適 用 することです また BIND 9.8 以 前 のバージョンはすでにサポートが 終 了 しているため 本 脆 弱 性 に 対 するパッチが 提 供 されておりません そのため 古 いバージョンをご 利 用 中 の 場 合 は 速 やかに 9.9 以 上 のバージョンへ 移 行 が 必 要 です Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 23
5 終 わりに JSOC INSIGHT は INSIGHT が 表 す 通 り その 時 々に JSOC のセキュリティアナリストが 肌 で 感 じ た 注 目 すべき 脅 威 に 関 する 情 報 提 供 を 行 うことを 重 視 しています これまでもセキュリティアナリストは 日 々お 客 様 の 声 に 接 しながら より 適 切 な 情 報 をご 提 供 できるよう 努 めてまいりました この JSOC INSIGHT では 多 数 の 検 知 が 行 われた 流 行 のインシデントに 加 え 現 在 ま た 将 来 において 大 きな 脅 威 となりうるインシデントに 焦 点 を 当 て 適 時 情 報 提 供 を 目 指 しています JSOC が 安 全 安 心 を 提 供 できるビジネスシーンの 支 えとなることができれば 幸 いです JSOC INSIGHT vol.10 執 筆 高 井 悠 輔 / 錦 野 友 太 / 西 部 修 明 / 村 上 正 太 郎 ( 五 十 音 順 ) Copyright 2016 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.10 24
株 式 会 社 ラック 102-0093 東 京 都 千 代 田 区 平 河 町 2-16-1 平 河 町 森 タワー TEL : 03-6757-0113( 営 業 ) E-MAIL : sales@lac.co.jp http://www.lac.co.jp LAC ラックは 株 式 会 社 ラックの 商 標 です JSOC(ジェイソック)は 株 式 会 社 ラックの 登 録 商 標 です その 他 記 載 されている 製 品 名 社 名 は 各 社 の 商 標 または 登 録 商 標 です