JSOC INSIGHT 2013 vol.1 ////JSOC Analyst s Advisory//// Web 改ざん攻撃がより巧妙になり 拡大しています まずは攻撃手法と対策の正しい理解を ミドルウェアが狙われています セキュリティ対策上の盲点になりがちなので今一度見直しを メーラ FTP クライアント ブラウザなどに保存されたアカウント情報の抜き取りに注意 2013年8月7日 JSOC Analysis Team Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1
JSOC INSIGHT 1 はじめに... 2 2 JSOC における 重 要 インシデント 傾 向... 3 2.1 重 要 インシデントの 傾 向... 3 2.2 重 要 インシデントの 検 知 傾 向 に 関 する 分 析... 4 3 今 号 のトピックス... 5 3.1 Apache Struts2 の 脆 弱 性 について... 5 3.1.1 2013 年 に 発 見 された 新 たな Apache Struts2 の 脆 弱 性 と JSOC の 強 み... 5 3.1.2 攻 撃 内 容 および 攻 撃 送 信 元 に 関 する 考 察... 8 3.2 巧 妙 化 する Web ページの 改 ざんについて... 11 3.2.1 Web ページの 改 ざん 攻 撃 の 変 遷 について... 11 3.2.2 Darkleech Apache Module / Cdorked.A について... 11 3.2.3 Pony( 別 名 :Fareit)について... 15 3.2.4 CMS の 脆 弱 性 を 悪 用 した 改 ざん 事 案 について... 18 3.2.5 Web ページの 改 ざん 攻 撃 に 関 する 対 策 とまとめ... 20 4 終 わりに... 21 Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 1
1 はじめに JSOC(Japan Security Operation Center)とは 株 式 会 社 ラックが 運 営 するセキュリティ 監 視 センターであり JSOC マネージド セキュリティ サービス(MSS) や 24+ シリーズ などのセキュリティ 監 視 サービスを 提 供 しています JSOC マネージド セキュリティ サービスでは 独 自 のシグネチャやチューニ ングによってセキュリティデバイスの 性 能 を 最 大 限 に 引 き 出 し そのセキュリティデバイスから 出 力 されるログを 専 門 の 知 識 を 持 った 分 析 官 (セキュリティアナリスト)が 24 時 間 365 日 リアルタイムで 分 析 しています このリアルタイム 分 析 では セキュリティアナリストが 通 信 パケットの 中 身 まで 詳 細 に 分 析 することに 加 えて 監 視 対 象 への 影 響 有 無 脆 弱 性 やその 他 の 潜 在 的 なリスクが 存 在 するか 否 かを 都 度 診 断 することで セ キュリティデバイスによる 誤 報 を 極 限 まで 排 除 しています 緊 急 で 対 応 する 必 要 のある 重 要 なインシデント をリアルタイムにお 客 様 へお 知 らせし 最 短 の 時 間 で 攻 撃 への 対 策 を 実 施 することで お 客 様 におけるセキ ュリティレベルの 向 上 を 支 援 しています 本 レポートは JSOC のセキュリティアナリストによる 日 々の 分 析 結 果 に 基 づき 日 本 における 不 正 アクセ スやウイルス 感 染 などのセキュリティインシデントの 発 生 傾 向 を 分 析 したレポートです JSOC のお 客 様 で 実 際 に 発 生 したインシデントのデータに 基 づき 攻 撃 の 傾 向 について 分 析 しているため 世 界 的 なトレンドだ けではなく 日 本 のユーザが 直 面 している 実 際 の 脅 威 を 把 握 することができる 内 容 となっております 本 レポートが 皆 様 方 のセキュリティ 対 策 における 有 益 な 情 報 としてご 活 用 いただけることを 心 より 願 って おります Japan Security Operation Center Analysis Team 集 計 期 間 2013 年 4 月 1 日 ~ 2013 年 6 月 30 日 対 象 機 器 本 レポートは ラックが 提 供 する JSOC マネージド セキュリティ サービスが 対 象 としているセキュリティ デバイス( 機 器 )のデータに 基 づいて 作 成 されています なお 本 文 書 の 利 用 はすべて 自 己 責 任 でお 願 いいたします 本 文 書 の 記 述 を 利 用 した 結 果 生 じる いかなる 損 失 についても 株 式 会 社 ラックは 責 任 を 負 いかねます 本 データをご 利 用 頂 く 際 には 出 典 元 を 必 ず 明 記 してご 利 用 ください ( 例 出 典 : 株 式 会 社 ラック JSOC INSIGHT 2013 vol.1 ) LAC ラックは 株 式 会 社 ラックの 商 標 です JSOC(ジェイソック)は 株 式 会 社 ラックの 登 録 商 標 です その 他 記 載 されてい る 製 品 名 社 名 は 各 社 の 商 標 または 登 録 商 標 です Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 2
2 JSOC における 重 要 インシデント 傾 向 2.1 重 要 インシデントの 傾 向 JSOC では IDS/IPS ファイアウォールで 発 生 したログをセキュリティアナリストが 分 析 し 検 知 した 内 容 と 監 視 対 象 への 影 響 度 に 応 じて 4 段 階 のインシデント 重 要 度 を 決 定 しています このうち Emergency Critical に 該 当 するインシデントは 攻 撃 の 成 功 や 被 害 が 発 生 している 可 能 性 が 高 いと 判 断 される 重 要 なインシデントです 分 類 重 要 度 インシデント 内 容 表 1 インシデントの 重 要 度 と 内 容 重 要 インシデント 参 考 インシデント Emergency Critical Warning Informational 攻 撃 成 功 を 確 認 したインシデント 攻 撃 成 功 の 可 能 性 が 高 いインシデント 攻 撃 失 敗 が 確 認 できないインシデント ウイルス 感 染 を 示 すインシデント 攻 撃 失 敗 を 確 認 したインシデント スキャンなど 実 害 を 及 ぼす 攻 撃 以 外 の 影 響 の 少 ないインシデント 以 下 のグラフは JSOC における 2013 年 4 月 から 2013 年 6 月 までの 重 要 インシデント 件 数 の 推 移 と 攻 撃 の 種 類 の 内 訳 を 示 したものです 4 月 から 6 月 の 期 間 において Emergency インシデントは 発 生 しておりません Critical インシデント については 5 月 一 時 的 にインターネットからの 攻 撃 によるインシデント 件 数 が 増 加 しました (グラフ 1-[1]) 60 50 40 内 部 Internet 30 20 10 0 [1] グラフ 1 重 要 インシデントの 検 知 件 数 推 移 (2013 年 4 月 ~6 月 ) Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 3
2.2 重 要 インシデントの 検 知 傾 向 に 関 する 分 析 インターネットからの 攻 撃 による Critical インシデントの 大 多 数 は Web サーバを 狙 った 攻 撃 で その 多 く は SQL インジェクションやクロスサイトスクリプティングです (グラフ 2.a - [1])これらの 攻 撃 はインターネ ットからの 攻 撃 による Critical インシデントとして 常 に 上 位 に 入 るインシデントですが 近 年 増 加 したもので はなく 攻 撃 手 法 にも 特 別 な 変 化 はありません 増 加 した Critical インシデントの 内 訳 は ファイルのアップロードによる 改 ざんの 試 みや Joomla!などの Contents Management System(CMS)の 脆 弱 性 を 悪 用 した Web ページの 改 ざん 攻 撃 などです (グラフ 2.a - [2])また Apache Struts2 や Ruby on Rails のようなミドルウェアの 脆 弱 性 を 悪 用 した 攻 撃 も 増 加 しています (グラフ 2.a - [3]) 内 部 からの Critical インシデントの 多 くは 社 内 ネットワークにある PC がウイルスに 感 染 した 通 信 を 検 知 したことによるものです (グラフ 2.b - [1])ウイルス 感 染 インシデントの 上 位 については これまでの 検 知 傾 向 と 比 較 して 大 きな 順 位 の 変 動 はありませんでした 2013 年 4 月 から 6 月 の 新 たなインシデント 事 例 として Darkleech Apache Module ウイルスによ るインシデントが 挙 げられます Darkleech Apache Module は Web サーバとして 広 く 使 われている Apache や Nginx のモジュールとして 動 作 するウイルスで 感 染 した Web サーバに 外 部 からアクセスする とサーバの 応 答 に 不 正 なサイトへ 誘 導 するコードが 埋 め 込 まれます また クライアントが Darkleech Apache Module に 感 染 したホストや 改 ざんされた Web ページにアクセスしたことによって 感 染 するウイ ルスである Pony によるインシデントも 発 生 しています [3] ミドルウェア の 脆 弱 性 11.9% その 他 ファイル アップロード [2] (Joomla!) 14.1% SQL インジェクション 22.6% ファイル アップロード 17.5% クロスサイト スクリプティング 18.6% [1] その 他 ウイルス 感 染 ZeroAccess その 他 Mariposa PlugX(RAT) Kelihos Conficker NGRBot [2] ET-Trojan IRC Bot a. インターネットからのインシデント 割 合 b. 内 部 からのインシデント 割 合 グラフ 2 送 信 元 別 の 重 要 インシデント 検 知 傾 向 Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 4
3 今 号 のトピックス 3.1 Apache Struts2 の 脆 弱 性 について 3.1.1 2013 年 に 発 見 された 新 たな Apache Struts2 の 脆 弱 性 と JSOC の 強 み 2013 年 5 月 以 降 の JSOC の 検 知 状 況 の 特 徴 として Java Web アプリケーションフレームワーク Apache Struts2 の 脆 弱 性 を 悪 用 した 攻 撃 が 増 加 が 挙 げられます また それに 伴 って 重 要 インシデント も 増 加 しています この 原 因 は 2013 年 5 月 から 7 月 にかけて Apache Struts2 に 緊 急 度 の 高 い 脆 弱 性 が 複 数 公 開 されたためです 表 2 緊 急 度 の 高 い 脆 弱 性 概 要 対 象 バージョン: Struts 2.0.0 - Struts 2.3.15 脆 弱 性 を 悪 用 された 場 合 の 影 響 : 特 別 な HTTP リクエストにより 任 意 の Java コードが 実 行 され 結 果 的 に 任 意 の OS コマンドや 不 正 なプログラムを 実 行 される すべての 脆 弱 性 の 解 消 バージョン: Struts 2.3.15.1 (2013/07/21 現 在 最 新 ) 該 当 する 脆 弱 性 の Apache Struts Advisory および 共 通 脆 弱 性 識 別 子 (CVE) 参 考 URL S2-013 - CVE-2013-1966 S2-014 - CVE-2013-2115, CVE-2013-1966 S2-015 - CVE-2013-2135, CVE-2013-2134 S2-016 - CVE-2013-2251 Apache Struts 2 Documentation http://struts.apache.org/release/2.3.x/docs/s2-013.html http://struts.apache.org/release/2.3.x/docs/s2-014.html http://struts.apache.org/release/2.3.x/docs/s2-015.html http://struts.apache.org/release/2.3.x/docs/s2-016.html 以 下 は S2-014 の 脆 弱 性 を 悪 用 した 攻 撃 通 信 の 例 です リクエストの 冒 頭 部 分 に 当 該 脆 弱 性 を 悪 用 する 攻 撃 の 特 徴 となる 文 字 列 が 見 受 けられます 図 1 S2-014 の 脆 弱 性 を 悪 用 した 攻 撃 通 信 の 例 Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 5
表 2 の 脆 弱 性 はいずれもリモートから 任 意 の Java コードが 実 行 可 能 となる 危 険 な 脆 弱 性 です 一 部 の 脆 弱 性 については 一 時 的 にセキュリティパッチが 提 供 されていないゼロデイと 呼 ばれる 状 態 となっていま した また なかでも 7 月 に 公 開 された S2-016 は 脆 弱 性 情 報 の 公 開 翌 日 から 攻 撃 件 数 重 要 インシデ ント 件 数 ともに 大 きく 増 加 しています このような 深 刻 な 状 況 に 対 し JSOC ではお 客 様 に Apache Struts2 の 脆 弱 性 を 悪 用 した 攻 撃 について 二 度 にわたる 注 意 喚 起 を 行 いました 図 2 ゼロデイの 脆 弱 性 を 指 摘 するサイト 160 140 120 100 80 60 攻 撃 件 数 重 要 インシデント 件 数 S2-013, S2-014 公 開 (5 月 26 日 ) S2-015 公 開 (6 月 3 日 ) S2-016 公 開 直 後 に 攻 撃 重 要 インシデントが 急 増 [1] 40 20 0 グラフ 3 Apache Struts2 の 脆 弱 性 を 悪 用 した 攻 撃 件 数 の 推 移 7 月 16 日 に 公 開 された S2-016 の 脆 弱 性 の 影 響 が 最 も 大 きく 脆 弱 性 情 報 の 公 開 翌 日 には 実 際 の 攻 撃 を 多 数 のお 客 様 で 検 知 しています さらに 翌 日 の 18 日 には 攻 撃 ツールが 公 開 されています ( 図 3)また 多 数 の 攻 撃 を 検 知 した 17 日 18 日 には 攻 撃 成 功 の 可 能 性 が 高 い Critical インシデントも Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 6
多 数 発 生 しています 図 3 S2-016 を 悪 用 する 攻 撃 ツールの 例 今 回 昨 年 以 前 に 公 開 された 脆 弱 性 (S2-009)を 悪 用 する 攻 撃 について 2012 年 以 前 に 検 知 して いたものとは 異 なるパターンの 攻 撃 を 検 知 していました ( 図 4) 図 4 S2-009 脆 弱 性 を 狙 った 攻 撃 通 信 の 例 このように 異 なるパターンの 攻 撃 検 知 に 気 づけることこそが 他 社 にはない JSOC の 最 大 の 強 みで す 前 述 の 公 開 されて 間 もない 脆 弱 性 (S2-016)を 悪 用 した 大 規 模 な 攻 撃 の 発 生 と 実 被 害 を 確 認 し 国 内 で 最 も 早 く 注 意 喚 起 を 行 うことができた 理 由 は 以 下 の 2 つです 1) 2012 年 頃 から Apache Struts2 の 脆 弱 性 を 悪 用 した 攻 撃 が 増 加 傾 向 にあることを 認 識 しており 将 来 に 備 え 汎 用 的 に 攻 撃 を 検 知 可 能 なオリジナルのシグネチャ(JSIG)を 用 意 していた 2) 検 知 したシグネチャの 名 称 や IP アドレス 等 だけではなく 実 際 に 検 知 された 通 信 の 内 容 までをセキュ リティアナリストが 目 視 で 確 認 し 影 響 度 を 分 析 している 攻 撃 の 発 生 を 確 認 した 当 初 メーカ 製 や JSIG を 含 めて 正 式 に 本 脆 弱 性 に 対 応 したシグネチャは 一 切 用 意 されていませんでした しかし 既 存 の 脆 弱 性 を 検 知 する 目 的 で 用 意 されていたメーカ 製 のシグネチャ や JSIG が 新 たな 脆 弱 性 を 悪 用 した 攻 撃 を 検 知 し さらにセキュリティアナリストがその 通 信 内 容 を 詳 細 に 分 析 したからこそ 既 存 のものとは 全 く 異 なる 新 しい 攻 撃 が 発 生 しているという 事 実 に JSOC だけが 気 づ くことができたのです Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 7
3.1.2 攻 撃 内 容 および 攻 撃 送 信 元 に 関 する 考 察 2012 年 以 前 の Apache Struts2 の 脆 弱 性 に 対 する 攻 撃 と 同 様 に 2013 年 5 月 以 降 に 検 知 して いる 攻 撃 についても 攻 撃 コードなどの 特 徴 から 中 国 語 圏 で 公 開 されている 情 報 を 元 に 行 われている 可 能 性 が 高 いと 推 測 しています また 攻 撃 の 送 信 元 についても 中 国 を 中 心 としたアジア 圏 が 大 多 数 を 占 めています 1% 1% 3% 6% 9% 11% 11% 58% 中 国 アメリカ 韓 国 日 本 香 港 台 湾 シンガポール その 他 グラフ 4 Apache Struts2 を 狙 った 攻 撃 の 送 信 元 国 別 割 合 攻 撃 コードや 脆 弱 性 に 関 する 情 報 は 必 ずしも 悪 意 を 持 って 公 開 されているわけでありません しかし ながら 前 述 の 上 記 の 脆 弱 性 S2-009 に 対 する 攻 撃 に 用 いられている 攻 撃 コードなどは 中 国 におけ るセキュリティカンファレンスやインターネット 上 で 善 意 の 技 術 者 が 公 開 した 情 報 技 術 資 料 ( 図 5)が 悪 意 のある 攻 撃 者 によって 積 極 的 に 悪 用 されていると 考 えられます 図 5 中 国 語 圏 で 公 開 されている 技 術 資 料 Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 8
また Web サービスとして Apache Struts2 に 対 する 攻 撃 を 含 む 脆 弱 性 スキャンを 実 施 するサイトの 存 在 が 確 認 されています 誰 でも 自 由 に 任 意 のサイトにスキャンを 実 施 することが 可 能 であるため このよ うなサイトが 悪 意 を 持 って 使 用 された 場 合 には 大 きなリスクとなります JSOC における 一 部 のお 客 様 で は このようなサイトを 悪 用 されたと 考 えられる 攻 撃 による 被 害 を 確 認 しています このようなサイトは 善 意 のサイトのように 見 受 けられる 場 合 でも 実 際 には 悪 用 する 目 的 で 脆 弱 性 情 報 が 収 集 されている 可 能 性 があります そのため 安 易 な 利 用 は 危 険 です 図 6 脆 弱 性 スキャンサイトの 例 [ 対 策 ] 根 本 的 な 対 策 として 当 該 脆 弱 性 が 修 正 された Apache Struts 2.3.15.1(2013 年 7 月 21 日 現 在 最 新 ) 以 降 のバージョンにアップデートすることを 推 奨 いたします 冒 頭 にも 述 べた 通 り Apache Struts2 は Web アプリケーションのフレームワークであるため バージョ ンアップによりフレームワーク 上 で 動 作 している 既 存 の Web アプリケーションに 何 らかの 不 具 合 を 引 き 起 こす ことが 懸 念 されます そのため テストや 改 修 に 多 くのコストがかかることからバージョンアップが 敬 遠 されがち です しかしながら 脆 弱 性 を 悪 用 した 攻 撃 が 成 功 した 場 合 には 影 響 が 広 範 囲 にわたります そのため 可 能 な 限 り 速 やかなアップデートを 推 奨 いたします また アップデートが 困 難 である 場 合 Web アプリケーションにおいて 以 下 のような 回 避 策 の 実 施 を 推 奨 いたします Apache Struts2 は 今 回 同 様 任 意 の Java コードが 実 行 可 能 な 脆 弱 性 が 過 去 にも 複 数 発 見 されています 以 下 の 回 避 策 を 実 施 することにより 今 回 の 脆 弱 性 を 含 め 将 来 における 新 たな 脆 弱 性 の 影 響 も 緩 和 できる 可 能 性 があります Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 9
[ 回 避 策 ] 1 Web アプリケーションに 対 するリクエストにおけるパラメータやメソッドについて Web アプリケーションが 使 用 しているパラメータ 名 などを 元 に 予 め 許 可 した 文 字 列 や 値 のみを 受 け 取 るように 制 限 する 2 実 際 の 攻 撃 におけるリクエストは 400 バイト 前 後 のものが 多 く 観 測 されており Web アプリケーショ ンで 受 け 取 るリクエストの 長 さを 400 バイト 未 満 で 可 能 な 限 り 短 く 制 限 する 3 S2-016 の 脆 弱 性 を 悪 用 する 攻 撃 には 以 下 のプレフィックスが 使 用 されるため 必 要 がない 場 合 に は Web アプリケーションにて 以 下 のプレフィックスを 含 んだリクエストを 制 限 する "action:" "redirect:" "redirectaction:" ファイル アップロード 17.5% 4 対 応 するシグネチャを 含 む IPS 製 品 を 導 入 し 攻 撃 通 信 を 遮 断 する フ Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 10
3.2 巧 妙 化 する Web ページの 改 ざんについて 3.2.1 Web ページの 改 ざん 攻 撃 の 変 遷 について Web ページの 改 ざん 攻 撃 は 古 くから 見 られる 攻 撃 でありながら 今 もなお 続 く 代 表 的 な 脅 威 の 一 つ です LAC Report 2013 SUMMER でも 取 り 上 げましたが 時 代 の 流 れと 共 にその 手 法 は 巧 妙 さを 増 してきております 本 章 では 様 々な 改 ざん 手 法 や 関 連 するトピックのうち 2013 年 4 月 ~6 月 期 に JSOC で 実 際 に 検 知 や 確 認 をした 事 例 にスポットを 当 てて 解 説 いたします Web ページの 改 ざん 攻 撃 の 変 遷 については LAC Report 2013 SUMMER に 詳 細 に 解 説 しておりますので 併 せてご 参 照 くださ い 3.2.2 Darkleech Apache Module / Cdorked.A について これまでの Web ページの 改 ざん 攻 撃 は 様 々な 手 法 が 存 在 するものの 改 ざん 後 の コンテンツの 設 置 のされ 方 からの 観 点 では 概 ね 以 下 の 3 つに 大 別 されるものでした 1. 改 ざん 後 のコンテンツが 独 立 したファイルとして 存 在 する 場 合 例 )WebDAV FrontPage CMS の 脆 弱 性 や 設 定 不 備 を 悪 用 したアップロード 2. 改 ざん 後 のコンテンツがデータベース 内 に 書 き 込 まれる 場 合 例 )SQL インジェクション 攻 撃 3. 改 ざん 後 のコンテンツが 既 存 のファイルの 一 部 に 書 き 込 まれる 場 合 例 )Gumblar 系 のウイルスへの 感 染 上 記 のような 例 では 改 ざん 攻 撃 により 挿 入 された 内 容 がサーバ 上 のどこかに 実 体 を 持 って 存 在 することから いずれも 静 的 な 改 ざん であったと 言 えます しかしながら 2013 年 3 月 中 旬 以 降 上 記 のいずれにも 該 当 しない 動 的 な 改 ざん を 行 う Darkleech Apache Module や Cdorked.A に 代 表 される 新 たなウイルスへの 感 染 事 例 が 相 次 ぎました Darkleech Apache Module は Webサーバとして 広 く 利 用 されているApacheやNginxのモジュ ール( 追 加 機 能 )として 動 作 するウイルスであり 2012 年 の 秋 以 降 に 海 外 のアンチウイルスベンダからそ の 存 在 が 報 告 されました この 不 正 なモジュールが 導 入 されたWebサーバに 外 部 からアクセスすると( 図 8) Webサーバは 通 常 のWebページの 内 容 をクライアントに 応 答 する 前 に コマンド&コントロールサーバ(C&Cサーバ)に 対 して HTTPリクエストを 送 信 し C&Cサーバは 暗 号 化 された 文 字 列 を 応 答 します ( 図 9) 次 に C&Cサーバ からの 応 答 を 受 けて Webサーバはクライアントに 通 常 応 答 する 正 規 のコンテンツ 内 に 不 正 なサイトへ 誘 導 するiframeタグを 挿 入 して 応 答 します ( 図 10) 感 染 したWebサーバは Internet Explorerから アクセスしてきたクライアントに 一 度 だけ 不 正 なコードを 挿 入 して 応 答 する 機 能 があり 従 来 の 静 的 な 改 ざ Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 11
ん 手 法 に 比 べ Webサーバの 管 理 者 にとっても 改 ざんの 事 実 に 気 づくことが 難 しい 攻 撃 手 法 です 図 7 クライアントが 感 染 サーバにアクセスした 際 の 通 信 の 流 れ 図 8 クライアントが 感 染 サーバへアクセスする 通 信 ( 図 71) 図 9 感 染 サーバとコマンド&コントロールサーバの 通 信 ( 図 72) 図 10 感 染 サーバがクライアントに 応 答 する 通 信 ( 図 73) 2013 年 3 月 頃 から 国 内 のサイトにおいてこのモジュールによる 被 害 事 例 が 広 く 取 り 上 げられ JSOC においてもオリジナルシグネチャ(JSIG)による 重 要 インシデントの 検 知 事 例 がありました このモジュール が 導 入 されるまでの 被 害 シナリオはこれまでのところ 明 らかになっていませんが Plesk Panelと 呼 ばれるサ ーバ 管 理 ツールの 脆 弱 性 が 悪 用 されたとの 報 告 があります Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 12
また ユーザが 誘 導 される 不 正 なサイトではクライアントソフトウェアのアカウント 情 報 を 窃 取 する 機 能 を 持 つウイルス( 後 述 のPonyなど)の 感 染 事 例 が 確 認 されたことから 複 数 の 攻 撃 手 法 が 悪 用 されてい る 可 能 性 も 考 えられます 1 Cdorked.A は 2013 年 4 月 半 ば 頃 に 存 在 が 明 らかになったウイルスで Darkleech Apache Module と 同 様 に 一 定 の 条 件 を 満 たした 場 合 にのみ 正 規 のコンテンツ 内 に 不 正 なサイトへ 誘 導 するスク リプトを 動 的 に 挿 入 します Cdorked.A は Apache や Nginx そのもの に 感 染 もしくは 置 き 換 えられ るため Web サーバの 管 理 者 が 感 染 や 改 ざんの 事 実 に 気 づきにくいことが 特 徴 です JSOC のお 客 様 で Cdorked.A の 感 染 事 例 は 発 生 しておりません Cdorked.A に 感 染 するまでの 被 害 シナリオはこれまでのところ 明 らかになっていませんが サーバへの 侵 入 経 路 として cpanel と 呼 ばれる 管 理 ツールの 脆 弱 性 が 悪 用 されたとの 報 告 が 見 つかっています 通 常 の Apache と Cdorked.A に 感 染 したホスト( 不 正 に 改 変 された Apache) 上 でバージョンを 確 認 するコマンドを 実 行 した 結 果 は 以 下 の 通 りです 両 者 は cpanel がインストールされていない 環 境 であ るにもかかわらず 感 染 ホストからは cpanel が 稼 動 しているように 偽 装 する 応 答 を 得 る( 図 11)ことから 感 染 の 対 象 に cpanel が 導 入 されていることが 前 提 であることを 伺 わせます a. 正 規 のApache b. Cdorked.A の 感 染 ホスト 図 11 バージョンを 確 認 するコマンドを 実 行 した 結 果 の 違 い また その 他 の 特 徴 的 な 挙 動 として クライアントから 感 染 ホストに 特 定 の 条 件 に 一 致 する HTTP リクエ ストが 送 信 されると google.com に 転 送 されます ( 図 12) 1 おさまらぬ Web 改 ざん 被 害 Apache モジュールの 確 認 を http://www.atmarkit.co.jp/ait/articles/1303/25/news122.html 国 内 外 における Web サーバ(Apache)の 不 正 モジュールを 使 った 改 ざん 被 害 http://blog.trendmicro.co.jp/archives/6888 Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 13
図 12 特 定 のリクエストを 送 信 した 場 合 の 応 答 また Cdorked.A はバックドアとしての 機 能 も 有 しており 特 定 のリクエストを 送 信 することで Cdorked.A が 稼 動 しているホストのシェルを 奪 取 可 能 であり 技 術 的 に 非 常 に 洗 練 されたウイルスです 図 13 バックドア 接 続 を 要 求 するHTTPリクエスト 図 14 感 染 ホストのバックドアに 接 続 した 際 の 応 答 Darkleech Apache Module や Cdorked.A は Apache のモジュールや Web サーバそのものとし て 動 作 することから 感 染 時 には 管 理 者 権 限 やそれに 準 ずる 高 い 権 限 を 持 つアカウントで 侵 入 しているこ とが 想 定 され これらのウイルスに 感 染 した 場 合 は 重 要 なアカウント 情 報 やサーバ 内 部 の 情 報 が 漏 えいし ているものと 考 えられます これまでに 報 告 された 侵 入 経 路 は Plesk Panel や cpanel の 脆 弱 性 などが 報 告 されておりますが 今 後 他 の 脆 弱 性 が 悪 用 される 可 能 性 もあります サーバの 管 理 者 は 細 心 の 注 意 を 払 う 必 要 があります Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 14
3.2.3 Pony( 別 名 :Fareit)について Pony は Darkleech Apache Module の 感 染 ホストや 不 正 な JavaScript が 挿 入 されたホスト ( 後 述 )にアクセスした 際 に 感 染 事 例 が 報 告 されているウイルスです 本 ウイルスは 感 染 端 末 に 保 存 さ れているアプリケーションのアカウント 情 報 を 盗 み 出 すことや 他 のウイルスをインストールさせるダウンローダ の 機 能 を 持 ちます Pony が 窃 取 するアプリケーションのアカウント 情 報 は FTP クライアントソフトウェアや Web ブラウザ メ ーラー SSH クライアントのアカウント 情 報 や 証 明 書 その 秘 密 鍵 等 です 対 象 のアプリケーションには FFFTP や Becky! 等 も 含 まれており 日 本 語 の 環 境 のユーザも 対 象 としていることがうかがえます 以 下 は Pony がアカウントを 狙 うソフトウェアの 例 です 2 表 3 Pony がアカウント 窃 取 を 行 うソフトウェアの 例 Opera WinSCP FFFTP Becky! Outlook Windows Mail Windows Live Mail Putty WinZip Firefox FireFTP Dreamweaver Google Chrome Thunderbird Pony には 攻 撃 者 が 自 分 の 用 途 に 応 じてカスタマイズするためのツールキットが 広 く 出 回 っており 専 門 的 な 知 識 を 持 たない 人 であっても 容 易 に 悪 用 可 能 であることも 蔓 延 している 理 由 の 一 つであると 考 えられ ます 図 15 Pony をカスタマイズする 設 定 画 面 2 BHEK2 を 悪 用 した 国 内 改 ざん 事 件 の 続 報 https://sect.iij.ad.jp/d/2013/03/225209.html Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 15
2013 年 4 月 から 6 月 Blackhole Exploit Kit Version 2 (BHEK2) 3 が 仕 掛 けられた 悪 意 ある 不 正 なサイトへのアクセスを 断 続 的 に 検 知 しました (グラフ 5) 25 20 15 10 5 0 4 月 1 週 2 週 3 週 4 週 5 月 1 週 2 週 3 週 4 週 5 週 6 月 1 週 2 週 3 週 4 週 グラフ 5 Blackhole Exploit Kit に 誘 導 されたと 思 われる 通 信 の 検 知 推 移 このようなサイトへ 誘 導 された 場 合 クライアントの 状 態 によっては Pony などのマルウェアに 感 染 する 可 能 性 があります Pony は JSOC のオリジナルシグネチャにて 検 知 事 例 があります 以 下 は Pony に 感 染 したクライアントから 発 生 する 通 信 です ( 図 16) 図 16 Pony による 通 信 内 容 の 例 JSOC での 検 知 事 例 を 元 に 調 査 を 行 ったところ 自 身 の 存 在 をシステム 管 理 者 やウイルス 研 究 者 等 に 発 見 されにくくするための 偽 装 と 推 測 されるような 挙 動 もいくつか 見 て 取 れました 一 つは 感 染 クライアント からのアクセス URL(gate.php)に 単 純 にブラウザ 等 でアクセスしただけでは 404 Not Found というファ イルが 存 在 しないことを 示 すページを 返 す 点 です これは C&C サーバが クライアントからデータが 送 られて きているかどうかをチェックし データが 送 られてきていない 場 合 はこのような 挙 動 を 取 るように 構 成 されてい るためであり セキュリティベンダや 感 染 被 害 者 による 調 査 行 為 を 欺 くための 挙 動 と 推 測 されます 実 際 に は C&C サーバは 稼 動 しており 管 理 画 面 (admin.php)にアクセスすると 以 下 のような 認 証 画 面 が 表 示 される 事 例 もありました 3 JSOC 侵 入 傾 向 分 析 レポート Vol.19 http://www.lac.co.jp/security/report/2013/06/14_jsoc_01.html Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 16
図 17 C&C サーバの 管 理 ページへのログイン 画 面 もう 一 つは C&C サーバへのアクセスを 行 う 際 と 同 様 のリクエストを マイクロソフト 社 の 検 索 ポータルであ る bing 米 国 大 手 オークションサイトである ebay に 対 しても 行 っている 事 例 も 見 受 けられ アクセスログ 解 析 に 対 する 隠 れ 蓑 として 一 般 のサイトを 利 用 しているものと 推 測 されます このように 近 年 のウイルスは 可 能 な 限 り 気 づかれないようにする 挙 動 が 見 られるため 被 害 の 調 査 を 行 う 場 合 は 細 心 の 注 意 が 必 要 で す Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 17
3.2.4 CMS の 脆 弱 性 を 悪 用 した 改 ざん 事 案 について 2013 年 1 月 以 降 に 国 内 の Web ページにおいて 改 ざん 事 案 が 増 加 していることや 5 月 下 旬 以 降 改 ざんされた Web サイトに 共 通 の 不 正 な JavaScript が 挿 入 される 事 案 が 国 内 において 多 発 していること から 警 察 庁 や JPCERT/CC は 注 意 喚 起 を 公 開 しました 4 本 事 案 では Web サーバ 上 の HTML ファイルや PHP ファイル 等 が 改 ざんされ 悪 意 ある 外 部 サイトへ 誘 導 する 難 読 化 された JavaScript が 挿 入 されるケースが 確 認 されています 改 ざんされた Web ページ は JavaScript と 共 に 0c0896 ded509 など 6 桁 の 16 進 数 が 文 頭 に 埋 め 込 まれていることが 特 徴 となっています これら Web ページは 外 見 上 の 変 化 がないため Web サイト 管 理 者 および 閲 覧 者 が 改 ざん 事 実 に 気 づきにくく 多 数 の Webページが 現 在 も 改 ざんされたままの 状 態 である 可 能 性 が 懸 念 されて います 図 18 難 読 化 された JavaScript のソース( 一 部 ) 2013 年 JSOC における Web ページの 改 ざん 攻 撃 の 検 知 件 数 は 増 加 傾 向 にあります (グラフ 6) 一 連 の 改 ざん 事 案 は 依 然 改 ざん 方 法 を 特 定 するには 至 っていないものの 警 察 庁 の 注 意 喚 起 によれば 改 ざんの 状 況 や 疑 われる 手 口 の 一 つに Contents Management System(CMS)の 脆 弱 性 を 悪 用 された 可 能 性 があるとしています JSOC においてもCMSの 脆 弱 性 を 悪 用 する 攻 撃 は 多 く 検 知 してお り 特 に Joomla!の 脆 弱 性 を 悪 用 した 攻 撃 を 多 数 検 知 しています 30 20 ファイルアップロードの 試 み CMSを 狙 った 攻 撃 10 0 1 月 2 月 3 月 4 月 5 月 6 月 グラフ 6 Web ページの 改 ざん 攻 撃 の 検 知 件 数 推 移 4 参 考 ウェブサイト 改 ざん 事 案 の 多 発 に 係 る 注 意 喚 起 について(@Police pdf ファイル) http://www.npa.go.jp/cyberpolice/detect/pdf/20130524_1.pdf 外 見 上 変 化 のないウェブサイト 改 ざん 事 案 の 多 発 (@Police pdf ファイル) http://www.npa.go.jp/cyberpolice/detect/pdf/20130607.pdf Web サイト 改 ざんに 関 する 注 意 喚 起 http://www.jpcert.or.jp/at/2013/at130027.html Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 18
Joomla! のプラグイン JCE には アップロードされたファイルの 拡 張 子 を 変 更 する 機 能 があり JCE のバ ージョン 2.0.10 以 下 には 本 機 能 に 脆 弱 性 が 存 在 します 画 像 ファイルとしてアップロードしたファイルを 任 意 の 拡 張 子 に 変 更 することでバックドアを 設 置 するタイプの 攻 撃 を JSOC においても 多 数 検 知 しています ( 図 19 20) 図 19 画 像 ファイルとしてアップロードしたスクリプトファイル 図 20 アップロードしたファイルの 拡 張 子 変 更 この 攻 撃 は 2011 年 以 前 に 公 開 された 比 較 的 古 い 脆 弱 性 を 悪 用 した 攻 撃 であり 脆 弱 性 を 修 正 した バージョンはすでに 公 開 されています (Joomla!JCE 2.0.11) CMS は ユーザにとっては 利 便 性 の 高 いソフトウェアですが 特 にオープンソースの CMS では ソースコ ードが 公 開 されていることから 潜 在 的 な 脆 弱 性 が 発 見 されやすい 傾 向 があります CMS は 比 較 的 脆 弱 性 が 早 期 に 修 正 されやすいという 利 点 もありますが 環 境 によっては 脆 弱 性 情 報 が 公 開 されても 容 易 にアップデートできないことや 外 部 に 委 託 して 製 作 した Web システムの 詳 細 な 利 用 状 況 を 把 握 できてい ないことにより Web システムで 使 用 されているプラグインやライブラリが 古 いバージョンのまま 運 用 されてい ることなどが 攻 撃 の 被 害 拡 大 の 一 因 として 挙 げられます Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 19
3.2.5 Web ページの 改 ざん 攻 撃 に 関 する 対 策 とまとめ ここまで 4 月 ~6 月 期 に JSOC で 検 知 あるいは 確 認 したいくつかの Web ページの 改 ざん 手 法 や 関 連 するトピックを 解 説 してきましたが Web ページの 改 ざん 攻 撃 の 手 法 は 非 常 に 巧 妙 になってきています これらの 脅 威 に 対 してサービスの 利 用 者 (クライアント 側 )やサービスの 提 供 者 (サーバ 側 )が 取 るべ き 対 策 は 攻 撃 手 法 のそれと 比 較 すると それほど 変 化 はありませんが Web を 通 じた 攻 撃 が 拡 大 してきて おり 今 後 もその 傾 向 がしばらく 続 くことが 予 想 されるため 日 々 確 実 に 欠 かすことなく 対 策 を 講 じることがこ れまで 以 上 に 重 要 になります LAC Report 2013 SUMMER でも 少 し 触 れましたが 以 下 の 内 容 を 参 考 に 自 組 織 における 現 状 のセキュリティ 施 策 を 確 認 し 必 要 に 応 じて 見 直 しを 行 ってください サービスの 利 用 者 における 対 策 (クライアント 側 ) クライアント 側 への 脅 威 は ウイルスへの 感 染 と ウイルスへの 感 染 に 伴 う 情 報 の 窃 取 です これらの 脅 威 に 対 し JSOC が 推 奨 する 対 策 は 以 下 の 通 りです 対 策 ポイント 1) OS アプリケーション アンチウイルスソフトウェアを 最 新 の 状 態 に 保 つ 2) EMET 5 等 を 導 入 することにより ゼロデイ 攻 撃 によるウイルス 感 染 の 可 能 性 を 緩 和 する 3) 重 要 なシステムへのアカウント 情 報 は 可 能 な 限 り 外 部 と 接 続 する 端 末 上 に 保 存 しない 4) 複 数 サイトでアカウント 情 報 の 使 い 回 しをしない サービスの 提 供 者 における 対 策 (サーバ 側 ) サーバ 側 への 脅 威 は Web ページが 改 ざんされることによる 風 評 被 害 サーバ 上 に 保 管 された 情 報 の 漏 えい 攻 撃 者 への 加 担 が 挙 げられます これらの 脅 威 に 対 し JSOC が 推 奨 する 対 策 は 以 下 の 通 りで す 対 策 ポイント 1) 単 一 ポイントでの 対 策 ではなく 多 層 的 な 防 御 策 を 講 じる 2) ミドルウェアやサーバ 管 理 ツール CMS 等 を 適 切 に 管 理 する ( 保 守 業 者 との 仕 様 策 定 時 における 認 識 合 わせ セキュリティ 診 断 の 対 象 化 ) 3) アカウントのロックアウト 機 能 や 二 要 素 認 証 などによって ブルートフォースやなりすましログイ ンへの 対 策 を 講 じる 5 脆 弱 性 緩 和 ツール EMET 4.0 リリース http://blogs.technet.com/b/jpsecurity/archive/2013/06/18/3579541.aspx?redirected=true Copyright 2013 LAC Co., Ltd. All Rights Reserved. JSOC INSIGHT 2013 vol.1 20
4 終 わりに 2000 年 に 設 立 された JSOC は これまで 19 号 にわたり 侵 入 傾 向 分 析 レポート を 発 行 し おかげさ まで 皆 様 より 大 きな 反 響 を 頂 いてまいりました 通 算 20 号 目 となる 今 号 からは 株 式 会 社 ラックが 発 行 す る ラックレポート( 四 半 期 に 一 度 の 発 行 ) の 創 刊 に 合 わせ 最 新 の 脅 威 にスポットを 当 て 即 時 性 を 重 視 し 名 称 を JSOC INSIGHT と 変 え 3 ヶ 月 に 一 度 の 間 隔 で 発 行 してまいります JSOC INSIGHT がこれまでの 侵 入 傾 向 分 析 レポートと 大 きく 異 なる 点 は INSIGHT が 表 す 通 り その 時 々に JSOC のセキュリティアナリストが 肌 で 感 じた 注 目 すべき 脅 威 に 関 する 情 報 提 供 を 重 視 してい る 点 です これまでもセキュリティアナリストは 日 々お 客 様 の 声 に 接 しながら より 適 切 な 情 報 をご 提 供 できるよう 努 めてまいりました この JSOC INSIGHT 2013 vol.1 からは 多 数 の 検 知 が 行 われた 流 行 のインシデント に 加 え 件 数 が 少 ないながらも 現 在 また 将 来 において 大 きな 脅 威 となりうるインシデントに 焦 点 を 当 て いち 早 く 情 報 を 提 供 してまいります これまでと 同 様 に 年 度 の 終 了 時 に 発 行 させて 頂 くレポートでは 通 年 の 傾 向 を 掲 載 させて 頂 きますが 他 3 回 のレポートについては JSOC で 発 生 している 最 前 線 のインシデント 情 報 をお 伝 えし お 客 様 の 環 境 のセキュリティ 向 上 に 寄 与 したいと 考 えております JSOC が お 客 様 と 共 に 安 全 安 心 を 提 供 できるビジネスシーンの 礎 となれれば 幸 いです JSOC INSIGHT 2013 vol.1 執 筆 天 野 一 輝 / 木 村 諭 紀 雄 / 品 川 亮 太 郎 / 庄 子 正 洋 / 三 和 弘 典 LAC ラック LAC ラック ラックロゴは 株 式 会 社 ラックの 登 録 商 標 です 本 ドキュメントに 記 載 されている 企 業 名 および 製 品 名 は 各 社 の 商 標 または 登 録 商 標 です 本 ドキュメントに 記 載 されている 情 報 は 2013 年 8 月 現 在 のものです Copyright 2013 LAC Co., Ltd. All Rights ラックロゴは Reserved. 株 式 会 社 ラック JSOC INSIGHT 2013 vol.1 21 2010 年 9 月 現 在 のものです