vol.2 2013 年 11 月 6 日 JSOC Analysis Team Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.2
JSOC INSIGHT 1 はじめに... 2 2 エグゼクティブサマリ... 3 3 JSOC における 重 要 インシデント 傾 向... 4 3.1 重 要 インシデントの 傾 向... 4 3.2 重 要 インシデントの 検 知 傾 向 に 関 する 分 析... 5 4 今 号 のトピックス... 7 4.1 日 本 における 水 飲 み 場 型 攻 撃 および 攻 撃 に 用 いられた IE のゼロデイ 脆 弱 性 について... 7 4.1.1 ゼロデイ 脆 弱 性 を 用 いた 攻 撃 の 発 見 脆 弱 性 概 要 について... 7 4.1.2 特 定 企 業 を 対 象 とした Web 改 ざん 攻 撃 ( 水 飲 み 場 型 攻 撃 )について... 11 4.1.3 CVE-2013-3893 を 悪 用 した 攻 撃 水 飲 み 場 型 攻 撃 の 対 策... 15 4.2 外 部 へ 公 開 されている UDP サービスを 悪 用 した 通 信 の 増 加 について... 16 4.2.1 UDP サービスを 悪 用 した 攻 撃 の 概 要 および 件 数 の 推 移... 16 4.2.2 最 近 の 被 害 事 例 と 対 策... 19 5 終 わりに... 21 Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 1
1 はじめに JSOC(Japan Security Operation Center)は 株 式 会 社 ラックが 運 営 するセキュリティ 監 視 セ ンターであり JSOC マネージド セキュリティ サービス(MSS) や 24+ シリーズ などのセキュリティ 監 視 サービスを 提 供 しています JSOC マネージド セキュリティ サービスでは 独 自 のシグネチャやチューニン グによってセキュリティデバイスの 性 能 を 最 大 限 に 引 き 出 し そのセキュリティデバイスから 出 力 されるログを 専 門 の 知 識 を 持 った 分 析 官 (セキュリティアナリスト)が 24 時 間 365 日 リアルタイムで 分 析 しています このリアルタイム 分 析 では セキュリティアナリストが 通 信 パケットの 中 身 まで 詳 細 に 分 析 することに 加 えて 監 視 対 象 への 影 響 有 無 脆 弱 性 やその 他 の 潜 在 的 なリスクが 存 在 するか 否 かを 都 度 診 断 することで セ キュリティデバイスによる 誤 報 を 極 限 まで 排 除 しています 緊 急 で 対 応 する 必 要 のある 重 要 なインシデント をリアルタイムにお 客 様 へお 知 らせし 最 短 の 時 間 で 攻 撃 への 対 策 を 実 施 することで お 客 様 におけるセキ ュリティレベルの 向 上 を 支 援 しています 本 レポートは JSOC のセキュリティアナリストによる 日 々の 分 析 結 果 に 基 づき 日 本 における 不 正 アクセ スやマルウェア 感 染 などのセキュリティインシデントの 発 生 傾 向 を 分 析 したレポートです JSOC のお 客 様 で 実 際 に 発 生 したインシデントのデータに 基 づき 攻 撃 の 傾 向 について 分 析 しているため 世 界 的 なトレンド だけではなく 日 本 のユーザが 直 面 している 実 際 の 脅 威 を 把 握 することができる 内 容 となっております 本 レポートが 皆 様 方 のセキュリティ 対 策 における 有 益 な 情 報 としてご 活 用 いただけることを 心 より 願 って おります Japan Security Operation Center Analysis Team 集 計 期 間 2013 年 7 月 1 日 ~ 2013 年 9 月 30 日 対 象 機 器 本 レポートは ラックが 提 供 する JSOC マネージド セキュリティ サービスが 対 象 としているセキュリティ デバイス( 機 器 )のデータに 基 づいて 作 成 されています なお 本 文 書 の 利 用 はすべて 自 己 責 任 でお 願 いいたします 本 文 書 の 記 述 を 利 用 した 結 果 生 じる いかなる 損 失 についても 株 式 会 社 ラックは 責 任 を 負 いかねます 本 データをご 利 用 頂 く 際 には 出 典 元 を 必 ず 明 記 してご 利 用 ください ( 例 出 典 : 株 式 会 社 ラック JSOC INSIGHT vol.1 ) LAC ラックは 株 式 会 社 ラックの 商 標 です JSOC(ジェイソック)は 株 式 会 社 ラックの 登 録 商 標 です その 他 記 載 されてい る 製 品 名 社 名 は 各 社 の 商 標 または 登 録 商 標 です Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 2
2 エグゼクティブサマリ 本 レポートでは インシデント 傾 向 の 分 析 に 加 え JSOC が 観 測 した 事 例 から 特 に 注 目 すべき 脅 威 を ピックアップしてご 紹 介 します 本 レポート 内 にて 取 り 上 げている 内 容 を 含 め 近 年 セキュリティインシデントが 高 度 化 しているとの 報 道 がされる 一 方 JSOC では 基 本 的 な 対 策 が 行 われていれば 防 ぐことができたインシデントも 多 く 観 測 されて います ゼロデイ 脆 弱 性 のような 新 しい 脅 威 への 対 策 も 重 要 ですが アクセス 制 御 や 設 定 情 報 の 管 理 とい った 基 本 的 対 策 の 徹 底 が 改 めて 最 も 重 要 な 対 策 であると 考 えます ミドルウェアの 脆 弱 性 を 狙 う 攻 撃 の 一 時 的 な 急 増 および 増 加 傾 向 の 継 続 ミドルウェアに 対 する 攻 撃 が 増 加 傾 向 にある 中 とりわけ 前 回 のレポート 1 において 取 り 上 げた Apache Struts2 の 脆 弱 性 S2-016 を 悪 用 した 不 正 なコード 実 行 を 目 的 とした 通 信 を 多 く 検 知 しました JSOC では 脆 弱 性 公 開 直 後 からこの 脆 弱 性 を 悪 用 した 攻 撃 が 発 生 していたことをいち 早 く 確 認 しています また 脆 弱 性 公 開 直 後 には 複 数 のお 客 様 において 実 際 に 攻 撃 されていた 事 例 も 確 認 し 検 知 後 には 対 処 を 促 しています Web サイト 閲 覧 により 感 染 するマルウェア の 被 害 拡 大 ネットバンキングを 悪 用 し 不 正 送 金 を 行 うマルウェアとして 昨 年 より 大 きな 話 題 となっている Zeus (Zbot) や 感 染 ホスト 内 に 保 存 されたアカウント 情 報 を 窃 取 する PONY といったマルウェアへの 感 染 事 例 が 増 加 しています これらは 不 正 に 改 ざんされた Web サイトへアクセスした 際 にマルウェア を 感 染 させる ドライブバイダウンロード 攻 撃 によって 被 害 が 拡 大 していると 考 えます 日 本 国 内 における ゼロデイ 脆 弱 性 を 悪 用 した 水 飲 み 場 型 攻 撃 が 発 生 JSOC および 緊 急 対 応 チーム サイバー 救 急 センター は 日 本 国 内 において 水 飲 み 場 型 攻 撃 が 行 われたことを 確 認 しました また この 攻 撃 は Internet Explorer におけるゼロデイ 脆 弱 性 を 悪 用 するものであることが 判 明 したため 弊 社 から Microsoft 社 へ 非 公 開 での 情 報 提 供 を 行 いました 該 当 の 脆 弱 性 は 10 月 に MS13-080 として 修 正 が 行 われています オープンリゾルバを 悪 用 する DNS アンプ 攻 撃 が 行 われる 9 月 上 旬 より 再 帰 問 い 合 わせを 許 可 している DNS キャッシュサーバ(オープンリゾルバ)を 悪 用 した DNSアンプ 攻 撃 の 通 信 を 多 数 検 知 しています JSOCでは 以 前 よりDNS アンプ 攻 撃 の 準 備 行 為 と 考 えられる 不 審 な DNS の 通 信 を 検 知 していましたが 9 月 に 入 り 実 際 に 多 数 の 攻 撃 と 被 害 事 例 を 確 認 しています 1 JSOC INSIGHT vol.1 http://www.lac.co.jp/security/report/2013/08/08_jsoc_01.html Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 3
3 JSOC における 重 要 インシデント 傾 向 3.1 重 要 インシデントの 傾 向 JSOC では IDS/IPS ファイアウォールで 発 生 したログをセキュリティアナリストが 分 析 し 検 知 した 内 容 と 監 視 対 象 への 影 響 度 に 応 じて 4 段 階 のインシデント 重 要 度 を 決 定 しています このうち Emergency Critical に 該 当 するインシデントは 攻 撃 の 成 功 や 被 害 が 発 生 している 可 能 性 が 高 いと 判 断 される 重 要 なインシデントです 分 類 重 要 度 インシデント 内 容 表 1 インシデントの 重 要 度 と 内 容 重 要 インシデント 参 考 インシデント Emergency Critical Warning Informational 攻 撃 成 功 を 確 認 したインシデント 攻 撃 成 功 の 可 能 性 が 高 いインシデント 攻 撃 失 敗 が 確 認 できないインシデント マルウェア 感 染 を 示 すインシデント 攻 撃 失 敗 を 確 認 したインシデント スキャンなど 実 害 を 及 ぼす 攻 撃 以 外 の 影 響 の 少 ないインシデント 以 下 のグラフは 重 要 インシデント 件 数 の 推 移 と 攻 撃 の 種 類 の 内 訳 を 示 したものです 7 月 3 週 に 重 要 インシデントとして 外 部 からの 攻 撃 (グラフ 1-[1]) 9 月 2~5 週 には 内 部 からの 不 審 な 通 信 を 検 知 したインシデント 件 数 (グラフ 1-[2])が 増 加 しました 150 125 100 75 インターネットからの 攻 撃 内 部 からの 不 審 な 通 信 [1] 50 25 0 [2] 7 月 1 週 2 週 3 週 4 週 8 月 1 週 2 週 3 週 4 週 5 週 9 月 1 週 2 週 3 週 4 週 5 週 9 月 5 週 は 1 日 分 のデータです グラフ 1 重 要 インシデントの 検 知 件 数 推 移 (2013 年 7 月 ~9 月 ) Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 4
3.2 重 要 インシデントの 検 知 傾 向 に 関 する 分 析 インターネットからの 攻 撃 による 重 要 インシデントでは 7 月 3 週 にインターネットからの 重 要 インシデント 件 数 が 増 加 しています これはミドルウェアの 脆 弱 性 を 狙 った 攻 撃 の 増 加 によるものです (グラフ 2.b - [1]) 特 に Apache Struts2 に 存 在 するリモートコード 実 行 の 脆 弱 性 (S02-016)の 公 開 直 後 本 脆 弱 性 を 悪 用 した 攻 撃 が 急 増 しています 一 部 のお 客 様 では 実 際 に 脆 弱 性 が 存 在 し 任 意 コード 実 行 が 可 能 であったことを 確 認 しています お 客 様 側 の 対 策 が 進 んだこともあり 2013 年 10 月 現 在 重 要 イ ンシデントの 検 知 件 数 は 減 少 しています 前 期 ファイル 参 照 その 他 ファイル アップロード クロスサイト スクリプティング ミドルウェア の 脆 弱 性 SQL インジェクション 12% ファイル 参 照 その 他 クロスサイト ファイル スクリプティング アップロード SQL インジェクション ミドルウェア の 脆 弱 性 30% [1] 今 期 a. 2013 年 4~6 月 b. 2013 年 7~9 月 グラフ 2 インターネットからの 攻 撃 によるインシデントの 内 訳 9 月 18 日 は 満 州 事 変 の 発 端 となった 柳 条 湖 事 件 が 起 きた 日 であることから 例 年 その 前 後 に 主 に 中 国 からの 攻 撃 通 信 が 増 加 します 2 本 年 は 9 月 9 日 以 降 に 台 湾 からの 攻 撃 通 信 が 増 加 しましたが こ れは Web サーバに 対 して 第 三 者 中 継 を 試 み 特 定 プロバイダのメールアドレスに 対 してスパムメールを 送 信 する 攻 撃 (グラフ 3 - [1])でした JSOC の 監 視 している 範 囲 においては この 通 信 によるメール 送 信 は 全 て 失 敗 していることを 確 認 しています その 他 中 国 を 送 信 元 とする 攻 撃 の 検 知 傾 向 に 特 筆 すべき 変 化 はありませんでした 8000 6000 4000 2000 0 [1] 台 湾 中 国 米 国 フランス 韓 国 グラフ 3 国 別 の 攻 撃 通 信 の 検 知 件 数 推 移 (2013 年 9 月 ) 2 9 月 18 日 に 関 連 したサイバー 攻 撃 に 関 しての 注 意 喚 起 http://www.lac.co.jp/security/alert/2013/09/12_alert_01.html Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 5
内 部 からの 重 要 インシデントのうち マルウェア 感 染 の 傾 向 については 昨 年 より 大 きな 話 題 となっている 不 正 送 金 を 行 うマルウェア Zeus(Zbot)への 感 染 通 信 の 検 知 件 数 が 増 加 しています また Zeus と 同 様 に 改 ざんされた Web サイトを 閲 覧 することによって 感 染 するマルウェアである PONY 3 や ZeroAccess といったマルウェアへの 感 染 通 信 の 検 知 件 数 が 増 加 しました (グラフ 4.b - [1]) 前 期 PONY IRCBot ZeroAccess [1] 今 期 Zeus その 他 PONY その 他 マルウェア 感 染 KELIHOS Cutwail マルウェア 感 染 Conficker IRCBot Conficker KELIHOS Cutwail Zeus ZeroAccess a. 2013 年 4~6 月 b. 2013 年 7~9 月 グラフ 4 マルウェア 感 染 インシデントの 内 訳 特 に 9 月 3 週 目 以 降 マルウェアに 感 染 した 通 信 による 重 要 インシデントが 増 加 しており 複 数 のお 客 様 のホストにおいて 数 種 類 のマルウェア 感 染 インシデントが 発 生 しています (グラフ 5 - [1]) また 9 月 の 2 週 目 より 内 部 のホストから 多 数 の 不 審 な DNS 応 答 通 信 を 検 知 したことによる 重 要 イン シデントが 増 加 しています これらの 通 信 は お 客 様 のネットワーク 内 部 に 存 在 する 外 部 からの 再 帰 問 い 合 わせ 可 能 な DNS サーバやネットワーク 機 器 (オープンリゾルバ)が DNS アンプ 攻 撃 に 悪 用 されている ものと 考 えます (グラフ 5 - [2]) 本 通 信 については 4.2 章 にて 詳 細 に 解 説 をいたします 100 75 50 その 他 オープンリゾルバの 通 知 ウイルス 感 染 通 信 [2] 25 0 7 月 1 週 2 週 3 週 4 週 8 月 1 週 2 週 3 週 4 週 5 週 9 月 1 週 2 週 3 週 4 週 5 週 [1] グラフ 5 内 部 から 発 生 した Critical インシデント 検 知 件 数 推 移 3 JSOC INSIGHT vol.1 http://www.lac.co.jp/security/report/2013/08/08_jsoc_01.html Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 6
4 今 号 のトピックス 4.1 日 本 における 水 飲 み 場 型 攻 撃 および 攻 撃 に 用 いられた IE のゼロデイ 脆 弱 性 について 4.1.1 ゼロデイ 脆 弱 性 を 用 いた 攻 撃 の 発 見 脆 弱 性 概 要 について JSOC および 弊 社 緊 急 対 応 チーム サイバー 救 急 センター は 8 月 から 9 月 にかけ Internet Explorer( 以 下 IE)に 存 在 するゼロデイ 脆 弱 性 4 (Microsoft 社 が 10 月 9 日 に 公 開 したセキュリテ ィ 更 新 プログラムにより 修 正 済 み)を 悪 用 した 攻 撃 およびそれに 関 連 したマルウェアによる 被 害 が 実 環 境 において 発 生 していることを 確 認 しました 図 1 脆 弱 性 を 悪 用 する 攻 撃 コードの 一 部 この 脆 弱 性 は IE バージョン 6 から 11 に 至 るまで 多 くのバージョンの IE が 影 響 を 受 けるもので ユーザ が IE を 使 用 して 攻 撃 者 が 用 意 した 不 正 なスクリプトなどを 含 む Web コンテンツへアクセスした 際 に 任 意 のコードが 実 行 される 危 険 な 脆 弱 性 です このような 脆 弱 性 を 悪 用 する 攻 撃 手 法 は 以 前 日 本 国 内 で 多 数 の 感 染 が 確 認 された Gumblar などと 同 じ ドライブバイダウンロード 攻 撃 として 知 られています 4 セキュリティパッチなどが 存 在 しない 未 修 正 の 状 態 である 脆 弱 性 Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 7
表 2 脆 弱 性 概 要 脆 弱 性 番 号 : CVE-2013-3893 対 象 ソフトウェアバージョン: Internet Explorer 6 から Internet Explorer 11 脆 弱 性 を 悪 用 された 場 合 の 影 響 : 脆 弱 性 を 解 消 する 方 法 : 脆 弱 性 の 影 響 を 回 避 する 方 法 : Internet Explorer がメモリ 内 のオブジェクトに 不 適 切 にアクセスする 場 合 に リモートでコードが 実 行 される MS13-080 の 適 用 Fix it を 適 用 する http://support.microsoft.com/kb/2887505/ja Enhanced Mitigation Experience Toolkit を 使 用 する http://support.microsoft.com/kb/2458544/ja 参 考 URL: Internet Explorer 用 の 累 積 的 なセキュリティ 更 新 プログラム (2879017) http://technet.microsoft.com/ja-jp/security/bulletin/ms13-080 CVE-2013-3893 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2013-3893 図 2 ドライブバイダウンロード 攻 撃 の 例 8 月 から 9 月 にかけてサイバー 救 急 センターでは Web 改 ざんやマルウェア 感 染 に 関 する 複 数 の 支 援 要 請 を 受 けました これらの 被 害 状 況 の 調 査 突 合 せが 行 われた 結 果 一 連 の 攻 撃 は 特 定 組 織 を 標 的 としたドライブバイダウンロード 攻 撃 であり さらに IE に 存 在 するゼロデイ 脆 弱 性 を 悪 用 したものであることが 判 明 しました また JSOC では 上 記 の 脆 弱 性 を 用 いた 攻 撃 により 生 じたマルウェア 感 染 によるものと 考 えられる 通 信 を 検 知 し 重 要 インシデントとしてお 客 様 へ 報 告 しています Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 8
被 害 が 生 じた 8 月 および 9 月 当 時 において 該 当 の 脆 弱 性 は 存 在 自 体 が 未 知 であったため JSOC が 監 視 する IDS IPS では 該 当 の 脆 弱 性 を 悪 用 する 攻 撃 検 知 を 目 的 としたシグネチャや 攻 撃 の 被 害 に よって 生 じるマルウェア 感 染 通 信 を 検 知 するシグネチャは 存 在 しませんでした しかし JSOC セキュリティアナリストが 監 視 対 象 ネットワーク 内 で 検 知 された 通 信 を 総 合 的 に 分 析 した 結 果 お 客 様 のホストより 通 常 とは 異 なる 検 知 傾 向 の 通 信 が 発 生 していることを 確 認 送 信 元 ホストが 何 らかのマルウェアに 感 染 している 可 能 性 があると 判 断 し お 客 様 へ 緊 急 にて 重 要 インシデントの 連 絡 を 行 いました アラート 分 析 通 知 FW NGFW IDS IPS 検 知 時 刻 検 知 ログ 数 IPアドレス セッションデータ 過 去 の 検 知 傾 向 JSOC 全 体 の 傾 向 簡 易 検 査 結 果 研 究 所 /サイバー 緊 急 センターの 情 報 お 客 様 環 境 の 情 報 Emergency Critical Warning Informational 誤 検 知 / 通 常 通 信 上 記 分 析 の 全 ての 要 素 を 用 いて セキュリティアナリストが 総 合 的 に 影 響 度 判 断 を 行 う 図 3 JSOC における 分 析 の 流 れとその 要 素 サイバー 救 急 センターによる 調 査 解 析 また JSOC によるマルウェア 通 信 の 検 知 報 告 により この 脆 弱 性 を 悪 用 した 攻 撃 の 一 連 のシナリオが 明 らかになりました また 該 当 の 脆 弱 性 は 当 時 Microsoft 社 に よるセキュリティパッチや 回 避 策 が 存 在 しない ゼロデイ 脆 弱 性 であることが 判 明 したことから 弊 社 より Microsoft 社 へ 非 公 開 にて 情 報 提 供 を 行 いました 該 当 の 脆 弱 性 は 2013 年 10 月 Microsoft 社 のセキュリティアップデート MS13-080 5 において 修 正 が 行 われています 5 マイクロソフト セキュリティ 情 報 MS13-080 - 緊 急 Internet Explorer 用 の 累 積 的 なセキュリティ 更 新 プログラム (2879017) http://technet.microsoft.com/ja-jp/security/bulletin/ms13-080 Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 9
JSOC ではこの 脆 弱 性 を 用 いた 攻 撃 が 深 刻 な 影 響 を 及 ぼすと 判 断 し 該 当 の 脆 弱 性 を 悪 用 した 攻 撃 を 検 知 するオリジナルシグネチャを 早 期 に 作 成 しました 該 当 のオリジナルシグネチャは Microsoft 社 によるセキュリティアップデートリリース 前 の 9 月 中 旬 より JSOC の 監 視 サービスをご 利 用 されているお 客 様 の IDS IPS へ 順 次 適 用 を 行 っています 表 3 今 回 の 攻 撃 に 関 連 する JSOC オリジナルシグネチャ 対 応 状 況 について 対 象 デバイス: McAfee Network Security Platform Cisco IDS/IPS Sourcefire 3D System CVE-2013-3893 を 悪 用 した 攻 撃 を 検 知 するシグネチャ 上 記 攻 撃 で 感 染 するマルウェアによる 通 信 を 検 知 するシグネチャ 計 4 パターンを 適 用 1 パターンを 適 用 この 通 信 は 送 信 先 ポートが 443/tcp(https)でありながら 通 信 は 暗 号 化 されていない 図 4 攻 撃 によって 感 染 するマルウェアが 発 生 させる 通 信 の 例 サイバー 救 急 センターの 調 査 および JSOC の 検 知 事 例 より 攻 撃 成 功 後 のマルウェア 感 染 後 の 通 信 は 図 4 の 通 信 を 含 め 複 数 種 類 の 通 信 が 発 生 することを 確 認 しています また 通 信 の 送 信 先 は 中 国 ( 香 港 )および 韓 国 の 複 数 の IP アドレスであることを 確 認 しています 表 4 マルウェアによる 通 信 の 送 信 先 の 例 中 国 ( 香 港 ) 韓 国 111.118.21.105 103.17.117.90 180.150.228.10 210.176.3.130 211.47.206.113 218.38.28.96 218.38.28.99 送 信 先 はあくまで 弊 社 が 確 認 した 限 りのものとなります 送 信 先 は 攻 撃 者 によって 変 更 される 可 能 性 があります Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 10
4.1.2 特定企業を対象とした Web 改ざん攻撃 水飲み場型攻撃 について 今回の攻撃は 攻撃対象が無差別である通常のドライブバイダウンロード攻撃とは異なり 改ざんされ たサイトに対して一部の企業 組織からアクセスが行われた場合にのみ攻撃が実行されるよう 攻撃対象 の制御が行われていました このような特定組織 企業を狙ったドライブバイダウンロード攻撃は 水飲み場型攻撃 という名称で呼 ばれています 近年 同様の攻撃が世界的に行われていることが確認されていますが 今回のインシデン トによって 日本においても水飲み場型攻撃が行われている事例が明確に確認された形となりました 今回の水飲み場型攻撃の大きな特徴は以下のような点が挙げられます 今回確認された水飲み場型攻撃の特徴 特定の企業 組織を狙った攻撃であり 標的企業 組織がアクセスする可能性の高い Web サイト =水飲み場 を改ざんしたうえで 標的がアクセスするのを待つ 今回は 上記に加え改ざんしたサイトに埋め込まれる攻撃コードにゼロデイ脆弱性が悪用されていた 図 5 今回確認された水飲み場型攻撃の仕組み Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 11
改 ざん 被 害 サイト: 攻 撃 対 象 : 表 5 改 ざんされた Web サイトおよび 攻 撃 対 象 組 織 の 特 徴 特 定 のユーザを 対 象 とした 情 報 提 供 サイト 官 公 庁 重 要 インフラ 企 業 など 今 回 の 一 連 のインシデントにおいては 改 ざん 被 害 サイトは 攻 撃 対 象 となった 一 部 の 組 織 から 頻 繁 にア クセスされるサイトである という 情 報 がインターネット 上 で 確 認 できる 状 態 となっていました そのため 攻 撃 者 は これらの 情 報 から 改 ざん 被 害 サイトを 攻 撃 のための 水 飲 み 場 として 選 定 した 可 能 性 がありま す 今 回 の 攻 撃 では 以 下 のようなコードを 用 いて 特 定 組 織 企 業 の IP アドレスからアクセスがあった 場 合 にのみ 攻 撃 が 行 われるようになっていたことを 確 認 しています 図 6 攻 撃 対 象 が 限 定 された 攻 撃 コード 図 6 の 攻 撃 コードでは 実 際 に 攻 撃 を 行 う 前 に 動 作 を 以 下 のように 分 岐 させています (1) 攻 撃 対 象 の IP アドレスからのアクセスである ゼロデイの 攻 撃 コードを 実 行 (2) 攻 撃 対 象 以 外 の IP アドレスからのアクセスである 何 もせず このような 仕 組 みを 使 用 する 理 由 は 複 数 考 えられますが 主 に 以 下 の 理 由 が 存 在 すると 考 えます Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 12
攻 撃 対 象 を 限 定 する 理 由 (1) 攻 撃 自 体 の 発 覚 を 遅 れさせる (2) セキュリティベンダなどに 攻 撃 手 法 を 出 来 るだけ 解 析 されないようにする ( 特 に 今 回 のようにゼロデイ 脆 弱 性 などを 可 能 な 限 り 長 期 的 に 使 用 できるようにするため) 一 部 では 今 回 のゼロデイ 脆 弱 性 を 用 いた 水 飲 み 場 型 攻 撃 は 完 全 に 日 本 のみを 標 的 としたものであ るといった 報 道 がなされています しかし JSOC およびサイバー 救 急 センターでは 上 記 の 攻 撃 対 象 IP アド レスの 制 御 の 他 に 図 7のようなコードを 確 認 していることから CVE-2013-3893 を 用 いたゼロデイ 脆 弱 性 による 攻 撃 が 必 ずしも 日 本 企 業 組 織 のみをターゲットとしたものではないと 考 えます 図 7 OS バージョンおよび 言 語 環 境 を 特 定 するコード 部 分 図 6 の 攻 撃 対 象 の IP アドレスを 限 定 している 部 分 には 日 本 の 企 業 組 織 以 外 の IP アドレスは 存 在 していないため 攻 撃 対 象 とする 言 語 環 境 に 関 しては 特 定 する 必 要 性 が 低 いと 考 えられます しかし 実 際 の 攻 撃 コードには 図 7 の 通 り アクセスしたユーザの 言 語 環 境 を 判 別 している 部 分 が 存 在 していました そのため 攻 撃 対 象 IP アドレスを 指 定 している 部 分 以 外 の 攻 撃 コードについては 今 回 国 内 で 確 認 され たケース 以 外 にも 流 用 されている 可 能 性 を 示 唆 していると 考 えます 実 際 に CVE-2013-3893 のゼロデイ 脆 弱 性 を 悪 用 する 攻 撃 コードが 台 湾 などの 改 ざんされたサイト でも 悪 用 されている 事 例 が 報 告 されています 6 また JSOC でも 図 8 および 図 9 のように 今 回 国 内 で 用 い られた 攻 撃 コードと 国 外 にて 用 いられた 攻 撃 コードがほぼ 同 様 のものであることを 確 認 しています 6 Latest Internet Explorer 0day used against Taiwan targets http://www.alienvault.com/open-threat-exchange/blog/latest-internet-explorer-0day-used-against-taiwan-users Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 13
図 8 国 内 および 国 外 で 用 いられた 攻 撃 コードの 比 較 1 図 9 国 内 および 国 外 で 用 いられた 攻 撃 コードの 比 較 2 図 8 9 とも 上 が 日 本 国 内 で 用 いられた 攻 撃 コード 下 が 国 外 で 用 いられた 攻 撃 コード 攻 撃 コードが 流 用 されている 場 合 以 下 の 2 つの 可 能 性 が 存 在 すると 考 えます 攻 撃 コードが 流 用 されている 理 由 の 推 測 (1) 国 内 および 国 外 の 事 例 の 攻 撃 者 が 同 一 である (2) 攻 撃 コードが 何 らかの 理 由 により 複 数 の 個 人 もしくはグループ 間 で 譲 渡 されている 特 に(2)に 関 して 近 年 脆 弱 性 に 関 する 情 報 はアンダーグラウンドにおいて 売 買 されていることが 確 認 さ れているため 今 回 の 攻 撃 コードも 同 様 に 売 買 されていた 可 能 性 があると 考 えます Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 14
4.1.3 CVE-2013-3893 を 悪 用 した 攻 撃 水 飲 み 場 型 攻 撃 の 対 策 CVE-2013-3893 を 悪 用 する 攻 撃 への 対 策 CVE-2013-3893 に 関 しては 脆 弱 性 を 修 正 するセキュリティアップデート(MS13-080)が 既 に Microsoft 社 より 公 開 されています セキュリティアップデートが 適 用 されているか 早 急 にご 確 認 ください 水 飲 み 場 型 攻 撃 全 般 への 対 策 以 下 の 対 策 を 推 奨 いたします (1) 最 新 の 製 品 やセキュリティアップデートを 適 用 (2) Enhanced Mitigation Experience Toolkit(EMET) 7 の 使 用 (3) 自 組 織 におけるホストの 状 況 の 把 握 ネットワーク 監 視 (4) インシデントレスポンス 体 制 の 構 築 (5) JSOC セキュリティ 監 視 サービスなどの 活 用 (1)に 関 して 水 飲 み 場 型 攻 撃 では 今 回 確 認 されたケースのようにゼロデイ 脆 弱 性 を 悪 用 されるケ ースもありますが 多 くの 場 合 には 既 に 修 正 されている 脆 弱 性 が 用 いられるため 非 常 に 有 効 であると 考 え ます また 水 飲 み 場 型 攻 撃 だけでなく 通 常 のドライブバイダウンロード 攻 撃 や 他 のマルウェアについても 同 様 に 有 効 な 対 策 となります (2)に 関 して 使 用 している 場 合 には Windows のゼロデイ 脆 弱 性 を 悪 用 する 攻 撃 からも 保 護 でき る 可 能 性 があります 今 回 の 脆 弱 性 CVE-2013-3893 を 悪 用 した 攻 撃 においても セキュリティアップデ ート 適 用 以 前 のホストであっても EMET を 使 用 している 場 合 には 影 響 がなかったことを 確 認 しています 更 に 詳 細 な 対 策 については 弊 社 Web サイトにおいても 公 開 していますため 以 下 もご 参 照 ください 水 飲 み 場 型 攻 撃 に 関 する 対 策 について http://www.lac.co.jp/security/alert/2013/10/09_alert_02.html 7 Enhanced Mitigation Experience Toolkit http://support.microsoft.com/kb/2458544/ja Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 15
4.2 外 部 へ 公 開 されている UDP サービスを 悪 用 した 通 信 の 増 加 について 4.2.1 UDP サービスを 悪 用 した 攻 撃 の 概 要 および 件 数 の 推 移 2013 年 7 月 以 降 無 制 限 に 公 開 されている DNS や CHARGEN などの UDP サービスを 悪 用 する DoS 攻 撃 に 関 連 するインシデントが 増 加 しています 特 に 9 月 上 旬 以 降 では 外 部 からの 再 帰 問 い 合 わせを 許 可 している DNS キャッシュサーバ(オープンリゾルバ)を 悪 用 する DNS アンプ(リフレクター) 攻 撃 の 通 信 を 多 数 検 知 しました 200,000,000 180,000,000 160,000,000 140,000,000 120,000,000 100,000,000 80,000,000 60,000,000 40,000,000 20,000,000 0 DNSの 不 審 な 応 答 通 信 の 検 知 件 数 グラフ 6 DNS アンプ 攻 撃 に 関 する 不 審 な 応 答 通 信 件 数 の 推 移 この 攻 撃 については 中 国 を 発 信 元 とする 再 帰 問 い 合 わせ 可 能 な DNS サーバの 探 索 行 為 が 増 加 し ており 再 帰 問 い 合 わせ 可 能 な DNS キャッシュサーバ(オープンリゾルバ)を 悪 用 する DDoS 攻 撃 であ る DNS アンプ(リフレクター) 攻 撃 の 準 備 行 為 と 考 えられるとして 9 月 11 日 に 警 察 庁 から 注 意 喚 起 が 行 われていました 一 方 JSOC では 9 月 以 前 より この DNS アンプ 攻 撃 の 準 備 行 為 と 考 えられる 不 審 な DNS の 通 信 を 既 に 検 知 していただけではなく 9 月 に 入 って 更 に 監 視 対 象 のホストから 大 量 の 通 信 が 発 生 し 実 際 の 攻 撃 から 被 害 の 発 生 にまで 至 っていることを 確 認 しています 具 体 的 には これらの 通 信 の 内 容 に DNS アンプ 攻 撃 を 意 図 していると 考 えられる 不 審 なデータが 含 ま れていることをきっかけに 調 査 した 結 果 実 際 に 外 部 からの 再 帰 問 い 合 わせが 実 行 可 能 な 環 境 であること などを 確 認 したため お 客 様 のホストが DNS アンプ 攻 撃 に 悪 用 されていると 判 断 し 重 要 インシデントとし て 連 絡 を 行 いました Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 16
DNS アンプ 攻 撃 は 攻 撃 送 信 元 からの 比 較 的 少 ないデータの 送 信 に 対 し 攻 撃 対 象 には 大 量 のデー タが 送 りつけられるという 特 徴 があります 通 信 を 中 継 するオープンリゾルバがデータ 量 を 増 幅 させる 役 割 を 担 うことから オーディオ 機 器 などのアンプになぞらえて DNS アンプ 攻 撃 と 呼 ばれています 通 信 が2と3の 過 程 で 増 幅 されている また 実 際 には 多 数 の 送 信 元 から 繰 り 返 しリクエストが 行 われる 図 10 DNS アンプ 攻 撃 の 概 要 UDP の 通 信 は セッションの 確 立 ( 疎 通 や 送 信 先 の 確 認 )を 行 いません 攻 撃 者 は 図 10 のように 送 信 元 を 詐 称 したリクエストを 行 うことにより オープンリゾルバを 悪 用 して 送 信 元 を 隠 したまま 効 率 的 に 攻 撃 を 行 うことが 可 能 です CHARGEN サービスなどについても UDP で 通 信 を 行 うため DNS アンプ 攻 撃 と 同 様 に リクエストの 送 信 元 を 詐 称 すること 可 能 です CHARGEN は 通 信 テストなどに 用 いられるサービスで アクセスした 送 信 元 に 文 字 列 を 送 信 するだけの 単 純 な 動 作 を 行 います 送 信 元 を 詐 称 することにより 詐 称 した 送 信 元 に 対 する 大 量 の 通 信 を 発 生 させることが 出 来 ます これは CHARGEN サービスに 固 有 の 問 題 ではなく UDP でかつアクセス 時 に 無 差 別 に 応 答 を 返 すサー ビスは 全 て 同 様 に 悪 用 される 可 能 性 があります そのため 必 要 のない 場 合 にはサービスを 停 止 し ファイ アウォールなどのネットワーク 機 器 によって アクセス 制 御 を 行 うことを 推 奨 いたします Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 17
図 11 DNS サーバの 再 帰 問 い 合 わせに 対 する 応 答 例 なお UDP のサービスを 悪 用 する 通 信 においては 実 際 にサービスが 稼 動 しているか あるいは 悪 用 が 可 能 であるかに 関 わらず ポートがオープンであるように 見 受 けられるホストに 対 して 無 差 別 に 大 量 のリクエ スト 送 信 を 行 うケースがあることを 確 認 しています その 他 JSOC では お 客 様 のホストが DoS 攻 撃 に 悪 用 された 事 例 以 外 にも 悪 用 の 対 象 となるポー トがオープンであったために 大 量 のリクエストを 送 信 され お 客 様 自 身 のホストがサービス 不 能 状 態 となって しまうといった 被 害 事 例 も 確 認 しました 表 6 UDP でアクセス 時 に 応 答 を 返 すサービスの 例 サービス 名 ECHO (7/tcp,udp) DAYTIME (13/tcp,udp) CHARGEN (19/tcp,udp) TIME (37/tcp,udp) 概 要 受 け 取 ったデータを 全 てそのまま 送 信 元 に 送 り 返 す 現 在 の 日 付 と 時 刻 を 文 字 列 で 出 力 する 文 字 列 データを 自 動 生 成 し 切 断 されるまで 送 り 続 ける 西 暦 1900 年 1 月 1 日 午 前 0 時 0 分 0 分 0 秒 からの 秒 数 を 32bit の 整 数 に して 出 力 する Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 18
4.2.2 最 近 の 被 害 事 例 と 対 策 2013 年 に 入 り この DNS アンプ 攻 撃 を 用 いた 大 規 模 な DDoS 攻 撃 の 被 害 が 報 じられています 3 月 には 欧 州 のスパム 対 策 組 織 である Spamhaus がこの 攻 撃 を 受 け 最 大 300 Gbps もの 通 信 が 発 生 し 一 時 的 な 通 信 の 遅 延 や 障 害 が 生 じたと 報 じられました 8 DNS アンプ 攻 撃 自 体 は 以 前 から 知 られている 攻 撃 手 法 ですが トラフィック 量 そのものを 増 大 させる DoS 攻 撃 であるため 攻 撃 対 象 となった 場 合 には 対 策 は 難 しく 最 近 でも 大 きな 被 害 の 生 じる 例 が 観 測 されています 表 7 近 年 の 大 規 模 な DNS アンプ 攻 撃 の 被 害 事 例 事 例 PIE データセンター(2ちゃんねるなど)への 攻 撃 Spamhaus への 攻 撃 金 融 機 関 システムへの 攻 撃 概 要 世 界 中 のボットなど 数 万 IP によるアクセス 最 大 300Gbps の 通 信 が 発 生 9 最 大 167Gbps の 通 信 が 発 生 また 通 常 の DNS サーバの 設 定 ミスによりオープンリゾルバとなっているケース 以 外 にも 一 部 のルータな どのネットワーク 機 器 において 意 図 せず DNS サーバが 稼 動 しており 更 にそれがオープンリゾルバであるため 攻 撃 に 悪 用 される 事 例 が 報 告 されています 10 また JSOC においても 同 様 のケースによる 被 害 事 例 を 確 認 しています ネットワーク 機 器 においてオープンリゾルバが 稼 動 しているケースでは 設 定 変 更 が 不 可 能 であることがあり そのような 場 合 には 機 器 の 交 換 を 行 う 必 要 があります それ 以 外 の 場 合 には 以 下 を 参 考 にオープンリゾ ルバのチェックや 設 定 変 更 を 推 奨 いたします DNS アンプ 攻 撃 などの DDoS 攻 撃 は 自 組 織 が 攻 撃 対 象 ではなくとも 管 理 する 機 器 が 攻 撃 に 悪 用 された 場 合 には 社 会 的 な 責 任 を 追 及 される 可 能 性 があります 可 能 な 限 り 対 策 の 実 施 を 推 奨 いたしま す 自 組 織 のホストが DNS アンプ 攻 撃 に 悪 用 されないための 対 策 (1) DNS の 権 威 サーバとキャッシュサーバを 分 離 し ネットワーク 機 器 にて 適 切 なアクセス 制 御 を 実 施 する (2) 権 威 DNS サーバにおいては 再 帰 問 い 合 わせを 禁 止 する (3) キャッシュ DNS サーバにおいては DNS サーバの 設 定 にて 再 帰 問 い 合 わせを 受 け 付 けるネットワーク 範 囲 を 限 定 する (4) 組 織 内 から 組 織 外 に 対 し 送 信 元 アドレスを 変 更 したパケットを 出 さないように 制 限 する 8 The DDoS That Knocked Spamhaus Offline (And How We Mitigated It) http://blog.cloudflare.com/the-ddos-that-knocked-spamhaus-offline-and-ho 9 Prolexic Stops Largest-Ever DNS Reflection DDoS Attack http://www.prolexic.com/news-events-pr-prolexic-stops-largest-ever-dns-reflection-ddos-attack-167-gbps.html 10 JVN#62507275 複 数 のブロードバンドルータがオープンリゾルバとして 機 能 してしまう 問 題 http://jvn.jp/jp/jvn62507275/ Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 19
また 下 記 のサイトで DNS サーバがオープンリゾルバであるかのチェックが 可 能 です オープンリゾルバ 確 認 サイト http://www.openresolver.jp/ Open Resolver Project http://openresolverproject.org/ The Measurement Factory: Open Resolver Test http://dns.measurement-factory.com/cgi-bin/openresolvercheck.pl 上 記 サイトによるテストは 自 組 織 の DNS サーバにのみ 行 うようにしてください 多 数 のサーバに 対 してオープンリゾルバを 探 す 疑 いのある 行 為 が 行 われた 場 合 には セキュリティインシデントとして 扱 われる 恐 れがあります オープンリゾルバが 存 在 した 場 合 には DNS サーバの 設 定 の 修 正 を 行 ってください 下 記 のサイトに 詳 細 な 設 定 変 更 の 手 順 が 紹 介 されています 設 定 ガイド:オープンリゾルバ 機 能 を 停 止 するには BIND 編 http://jprs.jp/tech/notice/2013-04-18-fixing-bind-openresolver.html また 自 組 織 への DNS アンプ 攻 撃 など リソースを 枯 渇 させる DDoS 攻 撃 に 対 しては 以 下 のような 対 策 を 推 奨 いたします DNS アンプを 含 めた 自 組 織 への DoS 攻 撃 対 策 (1) 自 組 織 のネットワーク 状 況 をモニタリングできるようにしておく (2) ネットワーク 機 器 において 通 信 の 帯 域 制 限 を 行 う (3) ネットワーク 機 器 において 不 要 なポートへのアクセスをブロックする (4) ネットワーク 機 器 に DDoS 攻 撃 に 対 する 保 護 機 能 がある 場 合 は これを 活 用 する (5) サーバにおいて 同 時 接 続 数 を 制 限 する (6) サーバにおいて TCP の 設 定 をチューニングする (7) 不 要 なログを 取 得 しないように 設 定 する(ディスク 資 源 の 圧 迫 対 策 ) (8) 負 荷 分 散 装 置 を 導 入 する (9) CDN(コンテンツ 配 信 網 )サービスを 利 用 する (10) インターネットサービスプロバイダなどの 電 気 通 信 事 業 者 が 提 供 する DDoS 対 策 サービス を 利 用 する Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 20
5 終 わりに 2000 年 に 設 立 された JSOC は 19 号 にわたり 侵 入 傾 向 分 析 レポート を 発 行 し おかげさまで 皆 様 より 大 きな 反 響 を 頂 いてまいりました 通 算 20 号 目 となった 前 号 からは 株 式 会 社 ラックが 発 行 する ラッ クレポート( 四 半 期 に 一 度 の 発 行 ) の 創 刊 に 合 わせ 最 新 の 脅 威 にスポットを 当 て 即 時 性 を 重 視 し 名 称 を JSOC INSIGHT と 変 え 3 ヶ 月 に 一 度 の 間 隔 で 発 行 しています JSOC INSIGHT は INSIGHT が 表 す 通 り その 時 々に JSOC のセキュリティアナリストが 肌 で 感 じ た 注 目 すべき 脅 威 に 関 する 情 報 提 供 を 行 うことを 重 視 しています これまでもセキュリティアナリストは 日 々お 客 様 の 声 に 接 しながら より 適 切 な 情 報 をご 提 供 できるよう 努 めてまいりました この JSOC INSIGHT では 多 数 の 検 知 が 行 われた 流 行 のインシデントに 加 え 現 在 ま た 将 来 において 大 きな 脅 威 となりうるインシデントに 焦 点 を 当 て いち 早 く 情 報 提 供 することを 目 指 してい ます JSOC が お 客 様 と 共 に 安 全 安 心 を 提 供 できるビジネスシーンの 礎 となれれば 幸 いです JSOC INSIGHT vol.2 執 筆 天 野 一 輝 / 木 村 諭 紀 雄 / 品 川 亮 太 郎 / 庄 子 正 洋 / 三 和 弘 典 ラックロゴは 株 式 会 社 ラック 2010 年 9 月 現 在 のものです LAC ラック LAC ラック ラックロゴは 株 式 会 社 ラックの 登 録 商 標 です 本 ドキュメントに 記 載 されている 企 業 名 および 製 品 名 は 各 社 の 商 標 または 登 録 商 標 です 本 ドキュメントに 記 載 されている 情 報 は 2013 年 11 月 現 在 のものです Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.2 21