vol.9 2015 年 10 月 22 日 JSOC Analysis Team Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9
JSOC INSIGHT Vol.9 1 はじめに... 2 2 エグゼクティブサマリ... 3 3 JSOC における 重 要 インシデント 傾 向... 4 3.1 重 要 インシデントの 傾 向... 4 3.2 発 生 した 重 要 インシデントに 関 する 分 析... 5 3.3 大 量 に 検 知 したインターネットからの 攻 撃 通 信 例... 6 4 今 号 のトピックス... 8 4.1 標 的 型 攻 撃 によるマルウェア 感 染 について... 8 4.1.1 Emdivi に 感 染 した 通 信 の 検 知 事 例... 8 4.1.2 Emdivi などの 標 的 型 攻 撃 への 対 策... 12 4.2 HTTP.sys ファイル 処 理 の 脆 弱 性 を 悪 用 した 攻 撃 通 信 の 検 知 について... 13 4.2.1 HTTP.sys の 脆 弱 性 について... 13 4.2.2 JSOC における HTTP.sys の 脆 弱 性 を 狙 った 攻 撃 の 検 知 事 例... 13 4.2.3 HTTP.sys の 脆 弱 性 対 策... 15 4.3 PHP に 含 まれるサービス 不 能 の 脆 弱 性 について... 16 4.3.1 PHP に 含 まれるサービス 不 能 の 脆 弱 性 の 概 要... 16 4.3.2 本 脆 弱 性 を 悪 用 した 攻 撃 通 信 の 検 証... 16 4.3.3 本 脆 弱 性 を 悪 用 した 攻 撃 への 対 策... 17 5 終 わりに... 18 Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 1
1 はじめに JSOC(Japan Security Operation Center)とは 株 式 会 社 ラックが 運 営 するセキュリティ 監 視 セン ターであり JSOC マネージド セキュリティ サービス(MSS) や 24+ シリーズ などのセキュリティ 監 視 サ ービスを 提 供 しています JSOC マネージド セキュリティ サービスでは 独 自 のシグネチャやチューニングによ ってセキュリティデバイスの 性 能 を 最 大 限 に 引 き 出 し そのセキュリティデバイスから 出 力 されるログを 専 門 の 知 識 を 持 った 分 析 官 (セキュリティアナリスト)が 24 時 間 365 日 リアルタイムで 分 析 しています このリア ルタイム 分 析 では セキュリティアナリストが 通 信 パケットの 中 身 まで 詳 細 に 分 析 することに 加 えて 監 視 対 象 への 影 響 有 無 脆 弱 性 やその 他 の 潜 在 的 なリスクが 存 在 するか 否 かを 都 度 診 断 することで セキュリテ ィデバイスによる 誤 報 を 極 限 まで 排 除 しています 緊 急 で 対 応 すべき 重 要 なインシデントのみをリアルタイム にお 客 様 へお 知 らせし 最 短 の 時 間 で 攻 撃 への 対 策 を 実 施 することで お 客 様 におけるセキュリティレベル の 向 上 を 支 援 しています 本 レポートは JSOC のセキュリティアナリストによる 日 々の 分 析 結 果 に 基 づき 日 本 における 不 正 アクセ スやマルウェア 感 染 などのセキュリティインシデントの 発 生 傾 向 を 分 析 したレポートです JSOC のお 客 様 で 実 際 に 発 生 したインシデントのデータに 基 づき 攻 撃 の 傾 向 について 分 析 しているため 世 界 的 なトレンド だけではなく 日 本 のユーザが 直 面 している 実 際 の 脅 威 を 把 握 することができる 内 容 となっております 本 レポートが 皆 様 方 のセキュリティ 対 策 における 有 益 な 情 報 としてご 活 用 いただけることを 心 より 願 って おります Japan Security Operation Center Analysis Team 集 計 期 間 2015 年 4 月 1 日 ~ 2015 年 6 月 30 日 対 象 機 器 本 レポートは ラックが 提 供 する JSOC マネージド セキュリティ サービスが 対 象 としているセキュリティ デバイス( 機 器 )のデータに 基 づいて 作 成 されています 本 文 書 の 情 報 提 供 のみを 目 的 としており 記 述 を 利 用 した 結 果 生 じる いかなる 損 失 についても 株 式 会 社 ラックは 責 任 を 負 いかねま す 本 データをご 利 用 いただく 際 には 出 典 元 を 必 ず 明 記 してご 利 用 ください ( 例 出 典 : 株 式 会 社 ラック JSOC INSIGHT vol.9 ) 本 文 書 に 記 載 された 情 報 は 初 回 掲 載 時 のものであり 閲 覧 提 供 される 時 点 では 変 更 されている 可 能 性 があることをご 了 承 ください Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 2
2 エグゼクティブサマリ 本 レポートは 2015 年 4 月 から 6 月 に 発 生 したインシデント 傾 向 の 分 析 に 加 え 特 に 注 目 すべき 脅 威 をピックアップしてご 紹 介 します 標 的 型 攻 撃 によるマルウェア 感 染 について 日 本 年 金 機 構 の 情 報 漏 えいで 用 いられたとされる Emdivi と 呼 ばれるマルウェアに 感 染 した 通 信 を 検 知 しております 感 染 通 信 を 検 知 したお 客 様 の 業 種 業 態 に 偏 りは 見 受 けられず 多 種 の 企 業 で 感 染 を 検 知 したのが 特 徴 です また これまでのマルウェア 検 知 の 多 くは 海 外 の C&C サーバとの 通 信 を 行 っていましたが Emdivi に 感 染 した 端 末 の 多 くは 日 本 のドメインをもつ C&C サーバとの 通 信 をしていることも 特 徴 にあげられます また Emdivi は 国 外 ではほとんど 感 染 事 例 がないことなどから 日 本 が 攻 撃 の 標 的 となっていると 考 えられます HTTP.sys ファイル 処 理 の 脆 弱 性 を 悪 用 した 攻 撃 通 信 を 検 知 Windows の 特 定 バージョンに 実 装 される Web サーバ(IIS)にサービス 不 能 および 任 意 のコマン ド 実 行 を 可 能 にする 脆 弱 性 が 公 開 されました 非 常 に 容 易 に 本 脆 弱 性 を 悪 用 し 対 象 を 再 起 動 す る 手 法 が 公 開 されており JSOC では 本 手 法 による 攻 撃 を 検 知 しております なお コマンド 実 行 を 可 能 にする 攻 撃 コードは 確 認 しておりません PHP に 含 まれるサービス 不 能 の 脆 弱 性 について PHP の 特 定 のバージョンに 外 部 からサービス 不 能 を 引 き 起 こす 脆 弱 性 が 公 開 されました 本 脆 弱 性 を 悪 用 する 方 法 は 非 常 に 容 易 です JSOC では 本 脆 弱 性 を 悪 用 する 攻 撃 通 信 は 検 知 して おりませんが 影 響 が 大 きいため 早 急 な 対 応 が 必 要 です Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 3
発 生 件 数 3 JSOC における 重 要 インシデント 傾 向 3.1 重 要 インシデントの 傾 向 JSOC では IDS/IPS サンドボックス ファイアウォールで 検 知 したログをセキュリティアナリストが 分 析 し 検 知 した 内 容 と 監 視 対 象 への 影 響 度 に 応 じて 4 段 階 のインシデント 重 要 度 を 決 定 しています このうち Emergency Critical に 該 当 するインシデントは 攻 撃 の 成 功 や 被 害 が 発 生 している 可 能 性 が 高 いと 判 断 した 重 要 なインシデントです 表 1 インシデントの 重 要 度 と 内 容 分 類 重 要 度 インシデント 内 容 重 要 インシデント 参 考 インシデント Emergency Critical Warning Informational 攻 撃 成 功 を 確 認 したインシデント 攻 撃 成 功 の 可 能 性 が 高 いインシデント 攻 撃 失 敗 が 確 認 できないインシデント マルウェア 感 染 を 示 すインシデント 攻 撃 失 敗 または 攻 撃 内 容 に 実 害 が 無 いことを 確 認 したインシデント スキャンなど 実 害 を 及 ぼす 攻 撃 以 外 の 影 響 の 少 ないインシデント 図 1 に 2015 年 4 月 から 6 月 に 発 生 した 重 要 インシデントの 件 数 推 移 を 示 します 内 部 から 発 生 した 重 要 インシデントの 発 生 件 数 は 4 月 から 6 月 は 減 少 傾 向 にあり 6 月 の 発 生 件 数 は 4 月 と 比 べ 約 半 数 となりました これは 3 月 より 継 続 してマルウェア 感 染 を 検 知 していた 一 部 のお 客 様 が 5 月 末 頃 にインシデント 対 応 を 完 了 したためです また 4 月 5 週 および 6 月 1 週 に 複 数 のお 客 様 で 標 的 型 攻 撃 によるマルウェア 感 染 と 考 えられる 通 信 を 検 知 しました( 図 1-[1], [2]) インターネットからの 攻 撃 による 重 要 インシデントの 発 生 件 数 は 2015 年 5 月 2 週 ~4 週 に 増 加 しま した( 図 1-[3]) これは 不 正 なファイルをアップロードする 試 みや SQL インジェクションなど 今 までも 検 知 していた 攻 撃 による 重 要 インシデントが 増 加 したためです 100 80 60 40 [1] [2] 内 部 からの 不 審 な 通 信 インターネットからの 攻 撃 通 信 20 [3] 0 4 月 4 月 4 月 4 月 4 月 29-5 月 5 月 5 月 5 月 27-6 月 6 月 6 月 6 月 1-7 日 8-14 日 15-21 日 22-28 日 5 月 5 日 6-12 日 13-19 日 20-26 日 6 月 2 日 3-9 日 10-16 日 17-23 日 24-30 日 図 1 重 要 インシデントの 発 生 件 数 推 移 (2015 年 4 月 ~6 月 ) Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 4
3.2 発 生 した 重 要 インシデントに 関 する 分 析 図 2 にインターネットからの 攻 撃 による 重 要 インシデントの 内 訳 を 示 します 2015 年 4 月 から 6 月 にインターネットからの 攻 撃 により 発 生 した 重 要 インシデントの 件 数 (287 件 )は 1 月 から 3 月 の 件 数 (107 件 )より 大 幅 に 増 加 しました これは SQL インジェクションに 脆 弱 なホストが 存 在 したお 客 様 に 対 し 同 様 の 攻 撃 が 繰 り 返 し 発 生 し たためです( 図 2 b-[1]) また 4 月 から 6 月 には WordPress のプラグインの 脆 弱 性 を 悪 用 し 不 審 なファイルをアップロードする 試 みが 無 差 別 に 行 われ 重 要 インシデントが 急 増 しました( 図 2 b-[2]) a. 2015 年 1~3 月 b. 2015 年 4~6 月 図 2 インターネットからの 攻 撃 による 重 要 インシデントの 内 訳 図 3 に 内 部 から 発 生 した 重 要 インシデントの 内 訳 を 示 します 2015 年 4 月 から6 月 にネットワーク 内 部 から 発 生 した 重 要 インシデントの 件 数 (400 件 )は 1 月 から3 月 の 件 数 (349 件 )よりやや 増 加 しました これは 3 月 より 一 部 のお 客 様 でマルウェア 感 染 が 継 続 したこ とに 加 え Zeus/Zbotなどのインターネットバンキングの 情 報 を 狙 ったマルウェア 感 染 と 考 えられる 通 信 を 多 く 検 知 したためです また サイバー 救 急 センターの 解 析 結 果 を 元 に 標 的 型 攻 撃 の 監 視 を 強 化 した 結 果 2015 年 4 月 か ら6 月 に 複 数 のお 客 様 にて 標 的 型 攻 撃 によりマルウェアに 感 染 した 可 能 性 のある 通 信 を 検 知 しました( 図 3 b-[1]) Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 5
a. 2015 年 1~3 月 b. 2015 年 4~6 月 図 3 ネットワーク 内 部 から 発 生 した 重 要 インシデントの 内 訳 3.3 大 量 に 検 知 したインターネットからの 攻 撃 通 信 例 表 2に2015 年 4 月 から6 月 における インターネットからの 攻 撃 通 信 で 特 に 検 知 件 数 が 多 かった 攻 撃 を 示 します これらの 攻 撃 通 信 の 多 くは 攻 撃 対 象 における 特 定 のWebアプリケーションの 利 用 有 無 にか かわらず 無 差 別 に 行 われており その 試 みはほぼ 失 敗 しております しかしながら 攻 撃 対 象 の 状 況 によっ ては 大 量 の 攻 撃 通 信 の 発 生 がリソースの 過 度 な 消 費 につながる 可 能 性 もあります 今 期 においては このように 攻 撃 通 信 が 大 量 に 発 生 することで 分 析 コストが 膨 大 になり リアルタイム 監 視 を 行 うJSOCアナリストをしばしば 苦 しめました Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 6
表 2 大 量 に 検 知 したインターネットからの 攻 撃 通 信 概 要 JSOC の 検 知 内 容 検 知 時 期 Shellshock の 検 知 phpmoadmin に 対 する 攻 撃 OpenView NNM に 対 する 攻 撃 WordPress に 対 する 脆 弱 性 スキャン Shellshock 1 の 脆 弱 性 有 無 を 調 査 する 通 信 や ホス トの 悪 用 を 試 みる 攻 撃 を 継 続 して 検 知 しました 攻 撃 に 用 いられるコマンドは 多 岐 にわたりました phpmoadmin に 対 するコマンド 実 行 の 試 み 2 を 検 知 しました 攻 撃 に 用 いられたコマンドは 攻 撃 対 象 のホス ト 情 報 の 表 示 を 試 みる 内 容 でした HP 社 の 製 品 OpenView NNM の 脆 弱 性 3 を 悪 用 し コマンドを 実 行 する 試 みを 検 知 しました 攻 撃 の 送 信 元 ホストは 1 台 から 存 在 するすべての IPv4 アド レスに 対 して 攻 撃 を 実 施 しているように 見 受 けられまし た WordPress のプラグインの 脆 弱 性 を 悪 用 し 設 定 フ ァイルを 閲 覧 する 試 みや 不 正 なファイルをアップロードす る 試 みを 検 知 しました 重 要 インシデント の 有 無 2015 年 5 月 上 旬 まで 無 2015 年 6 月 上 旬 無 2015 年 6 月 中 旬 有 決 まった 時 期 は 無 く 定 常 的 に 検 知 有 1 JSOC INSIGHT vol. 7 4.1 Shellshock の 検 知 傾 向 変 化 について http://www.lac.co.jp/security/report/pdf/20150519_jsoc_m001t.pdf 2 JSOC INSIGHT vol. 8 3.2 phpmoadmin におけるコード 実 行 の 脆 弱 性 について http://www.lac.co.jp/security/report/pdf/20150713_jsoc_j001m.pdf 3 HP サポートドキュメント - HP サポートセンター (ドキュメント ID: c02215897) http://h20564.www2.hpe.com/hpsc/doc/public/display?docid=emr_na-c02215897 Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 7
発 生 件 数 4 今 号 のトピックス 4.1 標 的 型 攻 撃 によるマルウェア 感 染 について JSOC は 緊 急 対 応 チーム サイバー 救 急 センター と 連 携 し 新 たな 攻 撃 手 法 や 事 例 を 相 互 に 情 報 共 有 しています サイバー 救 急 センターから 提 供 された 標 的 型 攻 撃 やマルウェア 感 染 の 情 報 を 元 に 対 応 が 可 能 なものは JSOC オリジナルシグネチャ(JSIG)を 作 成 します これにより IDS IPS メーカから 提 供 さ れるシグネチャ 群 では 対 応 できない 不 審 な 通 信 への 対 応 や 特 に 日 本 の 政 府 機 関 や 企 業 を 狙 うことに 特 化 した 標 的 型 攻 撃 などに 対 応 し 検 知 可 能 な 範 囲 を 広 げています 2015 年 4 月 から7 月 に JSOC で 監 視 中 の 複 数 のお 客 様 にて 標 的 型 攻 撃 によるマルウェアに 感 染 した 通 信 を 検 知 し 緊 急 連 絡 を 行 いました これらの 事 例 には 日 本 年 金 機 構 の 情 報 漏 えい 4 で 用 いら れたとされる Emdivi と 呼 ばれるマルウェア 通 信 の 検 知 も 含 まれております 4.1.1 Emdivi に 感 染 した 通 信 の 検 知 事 例 図 4 に Emdivi による 重 要 インシデントの 発 生 件 数 推 移 を 示 します 15 10 [2] 5 0 [1] 2014 年 2015 年 12 月 1 月 2 月 3 月 4 月 5 月 6 月 7 月 図 4 Emdivi による 重 要 インシデントの 件 数 推 移 JSOC では Emdivi の 感 染 通 信 を 2014 年 12 月 から 2015 年 2 月 に 標 的 型 攻 撃 の 一 種 として 検 知 しました( 図 4-[1]) その 後 6 月 末 までは 検 知 がありませんでしたが 6 月 末 以 降 Emdivi に 感 染 したと 考 えられる 通 信 を 複 数 のお 客 様 で 検 知 しました( 図 4-[2]) Emdivi は 標 的 型 メールに 添 付 されたファイルをユーザ 自 身 が 開 封 することや 改 ざんされた Web サ イトを 閲 覧 し 不 正 なファイルをダウンロードするドライブバイダウンロード 攻 撃 によって 感 染 します Emdivi に 感 染 した 端 末 が 外 部 の C&C サーバに 接 続 することで 攻 撃 者 が 感 染 端 末 をリモートから 操 作 すること が 可 能 となります 4 日 本 年 金 機 構 における 不 正 アクセスによる 情 報 流 出 事 案 について http://www.mhlw.go.jp/kinkyu/150603.html Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 8
2014 年 11 月 にジャストシステムから 一 太 郎 シリーズにおいて 任 意 のコードが 実 行 される 脆 弱 性 5 が 公 開 され 当 時 の 感 染 通 信 の 検 知 は 標 的 型 メールに 添 付 された 本 脆 弱 性 を 悪 用 するファイルを 実 行 した ことによる 可 能 性 があります 一 太 郎 は 日 本 国 内 での 利 用 がほとんどであり 日 本 を 対 象 とした 攻 撃 であ ることが 考 えられます( 図 4-[1]) JSOC では 3 月 から 6 月 中 旬 まで Emdivi の 検 知 はありませんでしたが サイバー 救 急 センターでは お 客 様 からの 依 頼 が 2015 年 に 入 って 急 増 し Emdivi に 感 染 した 事 例 を 確 認 しました 6 これらの 傾 向 から 攻 撃 者 による 感 染 フェーズが 終 わり 感 染 端 末 からの 情 報 取 得 フェーズに 移 った 可 能 性 が 考 えられ ます 日 本 年 金 機 構 は 6 月 1 日 に 約 125 万 件 の 基 礎 年 金 番 号 を 含 む 個 人 情 報 が 漏 えいしたことを 発 表 しました 本 件 は 公 的 機 関 からの 情 報 漏 えいとしては 過 去 最 大 であり 標 的 型 攻 撃 に 関 する 大 きな 注 目 を 集 め 様 々な 機 関 や 企 業 が 本 事 件 に 関 するレポート 7 を 公 開 しました また 8 月 20 日 に 日 本 年 金 機 構 及 び 内 閣 サイバーセキュリティセンター(NISC)から 本 事 件 に 関 する 調 査 結 果 8,9 が 公 開 され 翌 21 日 には 厚 生 労 働 省 から 本 事 件 に 関 する 検 証 報 告 書 10 が 公 開 されました JSOC では 6 月 下 旬 以 降 Emdivi に 感 染 した 通 信 の 検 知 が 増 加 しております( 図 4-[2]) これら の 感 染 通 信 を 検 知 したお 客 様 に 業 種 業 態 などによる 傾 向 は 見 受 けられず さまざまな 業 種 のお 客 様 に 無 差 別 に 攻 撃 が 行 われたと 考 えられます 図 5 に Emdivi に 感 染 した 通 信 の 検 知 例 を 示 します Emdivi に 感 染 した 端 末 からは GET リクエストおよび POST リクエストによる 通 信 が 発 生 します GET リクエストによる 通 信 は Cookie ヘッダに 感 染 端 末 の 情 報 を 含 みます また POST リクエストによる 通 信 は index.php や /15932?p=# のような /ランダムな 数 字?p=# の URI に 対 して データ 部 分 に 感 染 端 末 の 情 報 を 含 む 通 信 を 検 知 しています 5 一 太 郎 の 脆 弱 性 を 悪 用 した 不 正 なプログラムの 実 行 危 険 性 について http://www.justsystems.com/jp/info/js14003.html 6 水 面 下 で 侵 攻 するサイバースパイ 活 動 急 増 に 関 する 注 意 喚 起 http://www.lac.co.jp/security/alert/2015/06/16_alert_01.html 7 日 本 年 金 機 構 の 情 報 漏 えい 事 件 から 得 られる 教 訓 公 開 のお 知 らせ http://www.lac.co.jp/news/2015/06/09_news_01.html 8 不 正 アクセスによる 情 報 流 出 事 案 に 関 する 調 査 結 果 について https://www.nenkin.go.jp/oshirase/press/2015/201508/20150820-02.files/press0820.pdf 9 日 本 年 金 機 構 における 個 人 情 報 流 出 事 案 に 関 する 原 因 究 明 調 査 結 果 http://www.nisc.go.jp/active/kihon/pdf/incident_report.pdf 10 日 本 年 金 機 構 における 不 正 アクセスによる 情 報 流 出 事 案 検 証 委 員 会 検 証 報 告 書 http://www.mhlw.go.jp/kinkyu/dl/houdouhappyou_150821-02.pdf Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 9
(a) GET リクエストによる 通 信 (b) POST リクエストによる 通 信 (index.php あて) (c) POST リクエストによる 通 信 (/ランダムな 数 字?p=#あて) 図 5 Emdivi に 感 染 した 端 末 からの 通 信 例 Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 10
表 3 に JSOC で 検 知 した Emdivi 感 染 端 末 から 発 生 した 通 信 の 接 続 先 を 示 します JSOC では これまで 標 的 型 攻 撃 などマルウェアに 感 染 したホストから C&C サーバへの 接 続 通 信 は 海 外 に 設 置 されたホストへの 検 知 が 大 部 分 を 占 めていました しかしながら Emdivi に 感 染 したホストから 発 生 した 通 信 の 特 徴 は 表 3 に 示 すとおり 日 本 のドメインをもつ C&C サーバへ 通 信 しています また こ れらの 接 続 先 となった C&C サーバは 特 定 のクラウドサービスを 提 供 する 会 社 が 管 理 する Web サイトが 多 数 を 占 めました これらの Web サイトではブログなどを 中 心 に 正 規 の Web コンテンツが 稼 動 しておりまし たが 特 定 の Web アプリケーションを 利 用 しているわけではありませんでした このことから 攻 撃 者 は 特 定 の Web アプリケーションの 脆 弱 性 を 攻 撃 しホストを 悪 用 した 可 能 性 は 低 いものの 明 確 な 手 法 は 不 明 です 感 染 ホストから C&C サーバへの 通 信 をネットワーク 機 器 などで 遮 断 されないよう 日 本 国 内 で 利 用 されて いるホストを 悪 用 したと 考 えます これらの 状 況 から Emdivi による 標 的 型 攻 撃 は 日 本 に 特 化 した 形 で 行 われ 日 本 のユーザが 攻 撃 の 対 象 となっていると 考 えます 表 3 JSOC で 検 知 した Emdivi に 感 染 した 端 末 から 発 生 した 通 信 の 接 続 先 接 続 先 IPアドレス 接 続 先 ドメイン 名 国 www..co.jp 125.XXX.XXX.72 www..com www..co.jp 125.XXX.XXX.79 www..com www..co.jp 日 本 125.XXX.XXX.113 www..com www...org 125.XXX.XXX.114 www..com 203.XXX.XXX.233 www..jp 54.XXX.XXX.0 www..co.jp www..co.jp 米 国 103.XXX.XXX.59 203.XXX.XXX.210 www..com 香 港 www..com 不 明 Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 11
4.1.2 Emdivi などの 標 的 型 攻 撃 への 対 策 標 的 型 攻 撃 の 手 法 は 巧 妙 化 しており 個 人 が 意 識 して 行 う 対 策 に 加 え 組 織 として 標 的 型 攻 撃 に 対 する 訓 練 の 実 施 や 事 故 発 生 を 前 提 としたインシデントレスポンス 体 制 の 整 備 など 複 合 的 な 対 策 が 必 要 です 11,12 組 織 としての 対 策 定 期 的 な 社 員 教 育 最 新 の 脅 威 情 報 などの 収 集 組 織 的 なインシデントレスポンス 体 制 の 構 築 事 故 発 生 を 想 定 した 訓 練 の 実 施 および 対 応 指 針 の 確 認 利 用 者 としての 対 策 ウイルス 対 策 ソフトを 最 新 の 定 義 ファイルに 更 新 する オペレーティング システムとアプリケーション ソフトウェアを 最 新 の 状 態 に 維 持 する 不 審 なメールおよび 添 付 ファイルは 開 かない Mircosoft 社 が 提 供 する EMET を 導 入 する( 被 害 の 軽 減 策 ) 運 用 者 としての 対 策 ウイルス 対 策 ソフトを 導 入 する ファイアウォール 次 世 代 ファイアウォール IDS IPS MPS などのセキュティデバイスによる 防 御 実 行 ファイルが 添 付 されたファイルをシステム 的 に 破 棄 する SPF(Sender Policy Framework)による 送 信 元 ドメインの 確 認 また 万 一 インシデントが 発 生 した 場 合 に 備 え 事 後 の 調 査 を 可 能 にするため セキュティデバイス プロ キシサーバやメールサーバなどアウトバウンド 通 信 のログを 取 得 することが 重 要 となります 11 日 本 年 金 機 構 の 情 報 漏 えい 事 件 から 我 々が 得 られる 教 訓 http://www.lac.co.jp/security/report/pdf/20150609_apt_j001t.pdf 12 日 本 年 金 機 構 の 事 件 報 告 を 受 けて なすべき 最 低 限 の 対 策 について http://www.lac.co.jp/security/report/pdf/20150831_apt_a001m.pdf Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 12
4.2 HTTP.sys ファイル 処 理 の 脆 弱 性 を 悪 用 した 攻 撃 通 信 の 検 知 について 4.2.1 HTTP.sys の 脆 弱 性 について Windows の 特 定 バージョンに 実 装 される Web サーバである IIS の 一 部 機 能 (HTTP.sys)に リモー トから 任 意 のコード 実 行 が 可 能 な 脆 弱 性 (CVE-2015-1635 MS15-034)が 公 開 されました これは HTTP リクエストの 解 析 処 理 に 不 備 があり 悪 意 のある Range ヘッダを 含 むリクエストの 処 理 に 起 因 して サービス 不 能 状 態 や コンテンツキャッシュのメモリリークが 発 生 する 脆 弱 性 です 13,14 本 脆 弱 性 の 影 響 を 受 ける 可 能 性 があるのは MS15-034 が 未 適 用 で IIS を 有 効 化 した 表 4 のソフ トウェアです 表 4 HTTP.sys の 脆 弱 性 の 影 響 を 受 ける 可 能 性 のあるソフトウェア 一 覧 ソフトウェア バージョン エディション 7 32-bit Systems SP1 x64-based Systems SP1 Microsoft Windows 8 32-bit Systems x64-based Systems 8.1 32-bit Systems x64-based Systems Itanium-Based Systems SP1 2008 R2 x64-based Systems SP1 Microsoft Windows (Server Core インストール 含 む) Server 2012 Server Core インストール 含 む 2012 R2 Server Core インストール 含 む 4.2.2 JSOC における HTTP.sys の 脆 弱 性 を 狙 った 攻 撃 の 検 知 事 例 図 6 に JSOC で 検 知 した 本 脆 弱 性 を 悪 用 する 通 信 を 示 します JSOC では 攻 撃 対 象 の 脆 弱 性 の 有 無 を 調 査 する 通 信 ( 図 6.a)や 脆 弱 性 を 悪 用 し 攻 撃 対 象 を 再 起 動 させる 攻 撃 通 信 ( 図 6.b)を 検 知 しております これらの 通 信 において 異 なる 点 は HTTP リクエスト と Range ヘッダで 指 定 する 範 囲 の 開 始 値 であり 内 容 によって 攻 撃 による 影 響 が 異 なります 13 セキュリティ TechCenter マイクロソフト セキュリティ 情 報 MS15-034 緊 急 https://technet.microsoft.com/ja-jp/library/security/ms15-034.aspx 14 複 数 の Microsoft Windows 製 品 の HTTP.sys における 任 意 のコードを 実 行 される 脆 弱 性 http://jvndb.jvn.jp/ja/contents/2015/jvndb-2015-002263.html Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 13
(a) HTTP.sys の 脆 弱 性 の 有 無 を 調 査 する 通 信 (b) HTTP.sys の 脆 弱 性 を 悪 用 して 攻 撃 対 象 にサービス 不 能 を 起 こす 攻 撃 図 6 JSOC で 検 知 した HTTP.sys の 攻 撃 通 信 JSOC でこれらのリクエストを 検 証 したところ 図 6.a のリクエストに 対 し 416 Requested Range Not Satisfiable の 応 答 を 確 認 しました( 図 7) 図 6.b のリクエストに 対 しては ブルースクリーン 状 態 となり 再 起 動 することを 確 認 しました( 図 8) 図 7 HTTP.sys の 脆 弱 性 が 存 在 する 場 合 の 応 答 内 容 ( 検 証 結 果 ) Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 14
図 8 本 脆 弱 性 を 悪 用 した 攻 撃 通 信 によりブルースクリーン 状 態 となったサーバの 表 示 画 面 また 本 脆 弱 性 により リモートから 攻 撃 対 象 のコンテンツキャッシュのメモリリークが 発 生 することが 公 開 されています 攻 撃 が 成 功 すると 攻 撃 対 象 はメモリの 内 容 を 含 んで 応 答 します なお 詳 細 な 攻 撃 手 法 は 公 開 されておらず JSOC では 2015 年 9 月 1 日 現 在 まで 本 脆 弱 性 を 悪 用 しメモリの 情 報 を 取 得 す る 試 みは 検 知 しておりませんが 容 易 に 脆 弱 性 を 悪 用 する 手 法 が 公 開 される 可 能 性 があるため 早 急 な 対 策 が 必 要 です なお コマンド 実 行 を 可 能 にする 攻 撃 コードは 確 認 しておりません 4.2.3 HTTP.sys の 脆 弱 性 対 策 本 脆 弱 性 への 対 策 は Microsoft 社 が 提 供 する 修 正 プログラム(MS15-034)を 適 用 することです 影 響 を 受 ける 可 能 性 のあるシステムを 利 用 している 場 合 は 可 能 な 限 り 早 急 に 修 正 プログラムの 適 用 による 対 応 を 行 うことを 推 奨 します Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 15
4.3 PHP に 含 まれるサービス 不 能 の 脆 弱 性 について 4.3.1 PHP に 含 まれるサービス 不 能 の 脆 弱 性 の 概 要 PHP の multipart_buffer_headers 関 数 には form-data のファイル 名 の 取 り 扱 いに 不 備 があり 悪 意 のある HTTPリクエストによりサービス 不 能 状 態 に 陥 る 脆 弱 性 (CVE-2015-4024) 15,16 が 存 在 しま す 本 脆 弱 性 の 影 響 を 受 ける 可 能 性 のあるバージョンは 以 下 のとおりです PHP 5.4.41 未 満 PHP 5.5.25 未 満 の 5.5.x PHP 5.6.9 未 満 の 5.6.x 2015 年 9 月 1 日 現 在 JSOC では 本 脆 弱 性 を 悪 用 する 攻 撃 通 信 は 確 認 しておりません 4.3.2 本 脆 弱 性 を 悪 用 した 攻 撃 通 信 の 検 証 図 9 に JSOC で 本 脆 弱 性 の 検 証 を 行 った 際 の HTTP リクエストを 示 します 検 証 の 結 果 脆 弱 性 を 悪 用 した HTTP リクエストを 受 信 すると HTTP サービスの CPU 使 用 率 が 上 昇 することを 確 認 しました 本 脆 弱 性 の 影 響 を 受 ける 条 件 は 攻 撃 対 象 のファイルが 実 際 に 存 在 し そのファイルが PHP の 処 理 を 行 うことです ファイルを 指 定 せずにディレクトリアクセスした 際 でも PHP 処 理 を 行 うファイルに 転 送 するよう 設 定 されたホストでは そのディレクトリを 攻 撃 対 象 としても 攻 撃 は 成 功 します 図 9 本 脆 弱 性 を 悪 用 する 攻 撃 の HTTP リクエストの 一 部 ( 検 証 結 果 ) 15 JVN ipedia 脆 弱 性 対 策 情 報 データベース JVNDB-2015-002263 PHP の main / rfc1867.c の multipart_buffer_headers 関 数 におけるサービス 運 用 妨 害 ( DoS ) の 脆 弱 性 http://jvndb.jvn.jp/ja/contents/2015/jvndb-2015-003050.html 16 php.net, Sec Bug #69364, PHP Multipart / form-data remote dos Vulnerability, https://bugs.php.net/bug.php?id=69364 Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 16
また 図 10 へ 示 す 本 脆 弱 性 を 狙 った 攻 撃 専 用 のツールが 存 在 していることを 確 認 しており 今 後 攻 撃 通 信 が 発 生 する 可 能 性 があります 図 10 攻 撃 ツール 画 面 4.3.3 本 脆 弱 性 を 悪 用 した 攻 撃 への 対 策 本 脆 弱 性 への 対 策 はメーカが 公 開 する 修 正 バージョンを 適 用 することです 影 響 を 受 ける 可 能 性 のあ るシステムを 利 用 している 場 合 は 可 能 な 限 り 早 急 に 修 正 プログラムの 適 用 による 対 応 を 行 うことを 推 奨 します Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 17
5 終 わりに JSOC INSIGHT は INSIGHT が 表 す 通 り その 時 々に JSOC のセキュリティアナリストが 肌 で 感 じ た 注 目 すべき 脅 威 に 関 する 情 報 提 供 を 行 うことを 重 視 しています これまでもセキュリティアナリストは 日 々お 客 様 の 声 に 接 しながら より 適 切 な 情 報 をご 提 供 できるよう 努 めてまいりました この JSOC INSIGHT では 多 数 の 検 知 が 行 われた 流 行 のインシデントに 加 え 現 在 ま た 将 来 において 大 きな 脅 威 となりうるインシデントに 焦 点 を 当 て 適 時 情 報 提 供 を 目 指 しています JSOC が 安 全 安 心 を 提 供 できるビジネスシーンの 支 えとなることができれば 幸 いです JSOC INSIGHT vol.9 執 筆 高 井 悠 輔 / 錦 野 友 太 / 村 上 正 太 郎 ( 五 十 音 順 ) Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9 18
株 式 会 社 ラック 102-0093 東 京 都 千 代 田 区 平 河 町 2-16-1 平 河 町 森 タワー TEL : 03-6757-0113( 営 業 ) E-MAIL : sales@lac.co.jp http://www.lac.co.jp LAC ラックは 株 式 会 社 ラックの 商 標 です JSOC(ジェイソック)は 株 式 会 社 ラックの 登 録 商 標 です その 他 記 載 されている 製 品 名 社 名 は 各 社 の 商 標 または 登 録 商 標 です Copyright 2015 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT vol.9