ビジネス 化 がさらに 加 速 するサイバー 攻 撃 株 式 会 社 ラック サイバーリスク 総 合 研 究 所 コンピュータセキュリティ 研 究 所
CSL Report August 2008 ビジネス 化 がさらに 加 速 するサイバー 攻 撃 進 化 し 続 けるアンダーグラウンドビジネス 1. はじめに... 3 2. 概 要... 3 3. コードインジェクション... 4 3-1 中 国 方 面 からの SQLインジェクション...4 3-2 ボット 化 した SQLインジェクション 攻 撃...4 3-3 増 加 する SQLインジェクションボットの 亜 種... 6 4. 中 国 黒 客 と 攻 撃 コード... 7 5. 今 後 の 脅 威 予 測...11 6. まとめ...12 コンピュータセキュリティ 研 究 所 レポート 2
1. はじめに 近 年 コンピュータ システムに 関 連 した 事 件 事 故 が 多 発 しており 企 業 においては 事 業 継 続 上 の 問 題 に 発 展 しかねない 状 況 になっています これらの 状 況 を 解 消 するた めには 的 確 に 情 報 セキュリティに 関 する 現 状 の 問 題 を 把 握 し 今 後 起 こりうる 脅 威 を 予 測 しておく 必 要 があります そこで ラックのコンピュータセキュリティ 研 究 所 ( 以 下 CSL)では 日 本 国 内 における 最 新 の 傾 向 と 新 たなセキュリティ 脅 威 について 評 価 し 本 レポートにまとめました 本 レポートに 記 載 されている 内 容 は 日 本 国 内 で 発 生 したセ キュリティ 事 件 および CSL による 独 自 調 査 の 結 果 が 記 されていますが 世 界 的 なセキュ リティ 問 題 の 傾 向 に 近 似 しています これらの 情 報 が 皆 様 方 の 今 後 のセキュリティ 対 策 に 少 しでもお 役 立 ていただければ 幸 いです ネットワークが 安 全 に 保 たれ 日 本 の 皆 様 が 安 心 して 利 用 できるよう ネットワークの 安 全 のために 今 後 も 研 究 調 査 を 続 けていく 所 存 です なお 本 文 書 の 利 用 はすべて 自 己 責 任 の 下 でお 願 いいたします 本 文 書 の 記 述 を 利 用 し た 結 果 生 じるいかなる 損 失 においても 株 式 会 社 ラックは 責 任 を 負 いかねます 本 レポート 上 に 記 載 されている 会 社 名 および 製 品 名 は 各 社 の 商 標 または 登 録 商 標 です 2. 概 要 2008 年 3 月 以 降 中 国 方 面 からの SQL インジェクション 攻 撃 が 急 増 し 多 くの Web サイトのコンテンツが 改 ざんされました これらは Google 検 索 機 能 を 利 用 して 脆 弱 性 が 存 在 する Web ページを 探 索 し SQLインジェクション 攻 撃 を 試 みるという 手 法 を 用 い たものであり この 一 連 の 流 れがボット 化 されているため その 脅 威 は 大 きくなるばかり です さらにこのボットは 複 数 種 類 が 存 在 し 送 信 するリクエストを 調 査 したところ マ ルチバイト 文 字 環 境 で 作 成 されたことが 判 明 しました SQLインジェクション 攻 撃 により 改 ざんされた Webサイトには 悪 意 のある JavaScript が 埋 め 込 まれます この 悪 意 のある JavaScript が 参 照 する 攻 撃 用 サーバには 有 料 の 中 国 製 埋 込 み 型 Exploit コード 生 成 ツールにより 生 成 された 攻 撃 コードが 設 置 されてい ました これらの 事 象 や 調 査 結 果 の 相 関 関 係 から 中 国 のアンダーグラウンドビジネスで 用 いら れている 犯 罪 手 口 は 完 全 に 自 動 化 されており その 市 場 も 大 きく 今 後 も 成 長 するもの と 推 測 できます さらにこの 脅 威 を 受 ける 対 象 が 企 業 だけに 留 まらず 一 般 ユーザに 影 響 が 及 ぶことから 早 急 な 対 策 が 求 められています コンピュータセキュリティ 研 究 所 レポート 3
3. コードインジェクション 2008 年 3 月 から 急 増 した Web サイトの 改 ざん 事 件 の 正 体 は 中 国 方 面 からの SQL イ ンジェクション 攻 撃 であることが 確 認 されており これらは Google 検 索 により 標 的 を 絞 って 攻 撃 を 行 っています これらの 攻 撃 を 解 析 すると 大 きく 2 種 類 に 分 類 できます 3-1 中 国 方 面 からの SQL インジェクション 2008 年 3 月 頃 からの 攻 撃 の 発 信 元 は ほぼ 例 外 なく 中 国 方 面 の ISP が 保 有 する IP ア ドレスからの 攻 撃 でした これらの 攻 撃 は 図 1 のようなリクエストを 送 信 することで 標 的 の SQL Server で 管 理 されるコンテンツを 改 ざんし 悪 意 のある JavaScript を 挿 入 します 図 1 攻 撃 に 使 われた JavaScript この 悪 意 のある JavaScript が 実 行 されると 攻 撃 用 サーバに 設 置 された Exploit コー ドによりシステムの 権 限 が 奪 われます その 結 果 ユーザの PC にスパイウェアがインス トールされ ユーザの 重 要 情 報 が 外 部 へ 送 信 されてしまいます 3-2 ボット 化 した SQL インジェクション 攻 撃 被 害 を 被 った Web サイトのアクセスログを 解 析 すると SQL インジェクション 攻 撃 は 2008 年 5 月 頃 になっても 減 少 せず むしろ 複 数 の 攻 撃 ツールが 作 成 されていることが 確 認 できます その 代 表 的 なものがボット 化 した SQL インジェクションツールです この ツールは 図 2 のようなアクセスログを 残 します 図 2 攻 撃 ツールによるアクセスログ コンピュータセキュリティ 研 究 所 レポート 4
3-1 との 違 いは 主 に 次 の 3 つです 1ボット 化 2 攻 撃 用 サーバに 設 置 されている Exploit コードがさまざまなツールにより 作 成 されて いる 3 攻 撃 元 がバラバラであり 中 国 方 面 とは 限 らない ボットは Web ブラウザから 感 染 し 一 般 ユーザの 利 用 する PC を 介 して Web サイトを 攻 撃 します 図 3 一 般 ユーザの PC を 介 した Web サイトの 攻 撃 手 法 このボットは 攻 撃 時 に 次 のようなリクエストを 送 信 するように 設 計 されています Request 1 は URL に asp という 文 字 列 が 含 まれている 標 的 を 探 すためのリクエス トです ここで 注 目 したいのは 検 索 表 示 件 数 を 100 件 ( 検 索 オプションで 指 定 可 能 な 表 示 件 数 の 最 大 値 )に 指 定 している 点 です つまり 検 索 結 果 で 100 位 以 内 に 含 まれる Web サイトは 確 実 に 標 的 となっているといえます さらに 国 名 を 米 国 としている 点 も 重 要 です Request 2 は Request 1 の 検 索 結 果 として 表 示 された URL に 対 して 攻 撃 文 字 列 を 送 信 するリクエストです Request 1 標 的 を 探 すためのリクエストを Google へ 送 信 Request 2 検 索 結 果 として 表 示 された URL に 対 し 攻 撃 文 字 列 を 付 加 して 送 信 コンピュータセキュリティ 研 究 所 レポート 5
このボットは 次 のようなデータを 送 信 します Accept-Language が en となって いることに 注 目 してください このように 5 月 に 確 認 できたボットは 一 見 英 語 圏 で 作 成 されたように 見 せかけていることが 分 かります 3-3 増 加 する SQL インジェクションボットの 亜 種 6 月 頃 より SQL インジェクション 攻 撃 の 発 信 元 が 増 加 しており 中 国 方 面 以 外 からも 確 認 できるようになりました 特 に 7 月 以 降 SQL インジェクション 攻 撃 の 発 信 元 が 急 増 していることが JSOC(ラックのセキュリティオペレーションセンター JSOC(ジェイソッ ク))でも 確 認 されており さらにそれらの 送 信 データが 若 干 異 なることから ボットの 亜 種 が 複 数 存 在 することが 推 測 できます 35000 コンテンツ 改 ざん 情 報 取 得 30000 25000 20000 15000 10000 5000 5 月 6 月 7 月 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 1 2 3 4 5 6 7 8 2008 年 図 4 SQL インジェクション 攻 撃 の 推 移 (JSOC 調 べ) また 発 信 元 増 加 の 要 因 のひとつとして 攻 撃 者 が DNS Fast Fluxing という 多 数 のボッ トをプロキシサーバとして 使 用 し これらのボットの IP アドレスを 頻 繁 に 変 えることによ りマスターとなる 攻 撃 用 サーバの 情 報 を 撹 乱 する 手 法 を 用 いていることが 考 えられます コンピュータセキュリティ 研 究 所 レポート 6
次 のログは 6 月 に 登 場 したボットのリクエストです このリクエストには 2 バイトの 文 字 が 含 まれており このボットがマルチバイト 環 境 で 作 成 された 可 能 性 が 高 いことを 示 し ています 4. 中 国 黒 客 と 攻 撃 コード 埋 め 込 み 型 Exploit コード 生 成 ツール(Embedding Exploit Tool) 2008 年 3 月 より 急 増 している 中 国 方 面 からの SQL インジェクションの 攻 撃 用 サーバ には 中 国 で 作 成 された 埋 め 込 み 型 Exploit コード 生 成 ツール(Embedding Exploit Tool)により 生 成 された 攻 撃 コードが 設 置 されていました 4 月 から 5 月 にかけて 多 く 設 置 されていた 攻 撃 コードは Vip2.8x もしくは Vip200x と 呼 ばれるツールにより 作 成 されたものです 図 5 Vip2008 ツール 画 面 これらのツールは 標 準 版 で 400 元 /1 ヶ 月 で 利 用 可 能 で 利 用 者 は 誘 導 先 の URL を 入 力 し 利 用 したい 脆 弱 性 を 選 択 するだけで 攻 撃 コードを 作 成 できます コンピュータセキュリティ 研 究 所 レポート 7
図 6 中 国 で 販 売 されている 攻 撃 コード 生 成 ツール また 5 月 27 日 に SANS より 報 告 のあった Flash 0day Exploit コードも 本 ツールによ り 生 成 可 能 であることが 分 かっています 中 国 アンダーグラウンドビジネス これまでの 経 緯 から 中 国 方 面 からの 攻 撃 は 金 銭 を 払 って 埋 め 込 み 型 Exploit コード 生 成 ツールを 手 に 入 れた 上 で それを 利 用 して 一 般 ユーザのアカウント 情 報 やクレジット カード 情 報 などを 奪 うことを 目 的 としており 中 国 のアンダーグラウンドビジネスが 成 熟 していることを 裏 付 けています 図 7 攻 撃 者 の 主 なターゲット 攻 撃 用 サーバは 金 銭 目 的 に 運 用 されているものであるため 攻 撃 者 たちは これらの 攻 撃 用 サーバがブラックリストに 登 録 されないよう 攻 撃 用 サーバに 設 置 されている 攻 撃 コードの 一 部 を 頻 繁 に 入 れ 替 えて その 存 在 を 発 見 されにくくするなど 細 心 の 注 意 を 払 った 運 用 を 行 っています コンピュータセキュリティ 研 究 所 レポート 8
図 8 は 攻 撃 用 サーバの Google ブラックリストへの 登 録 状 況 をまとめたものです 約 56%~ 64%の 攻 撃 用 サーバは Google ブラックリストに 登 録 されていますが 40% 以 上 のサーバはブラックリストに 登 録 されることなく 運 用 されています これらのサーバの 殆 どが SQL インジェクション 攻 撃 を 能 動 的 に 仕 掛 けるものではなく 攻 撃 の 結 果 誘 導 されたユーザの PC にスパイウェアやトロイの 木 馬 を 仕 掛 けるための 配 布 サーバとして 機 能 しているためです 図 8 攻 撃 用 サーバの Google ブラックリストへの 登 録 状 況 これらの 攻 撃 サーバは 大 きく 次 の 3 種 類 に 分 類 できます Bulletproof Hosting Service 黒 客 支 援 サイト 踏 み 台 サイト 特 に Bulletproof Hosting Service を 利 用 している 攻 撃 用 サーバは スパムメール 配 信 利 用 を 行 っていると 報 告 されている IP アドレスも 含 まれていました 5 月 の 攻 撃 用 サーバ 数 は 図 9 のように 緩 やかに 減 少 傾 向 をたどっていました しかし 6 月 には 数 を 戻 し 始 めており 攻 撃 用 サーバのホスティング 先 を 変 更 したと 推 測 できます また 攻 撃 コード 設 置 サイトのトップページのレスポンスコードを 調 査 した 結 果 攻 撃 コー ド 以 外 のファイルへのアクセス 制 御 を 行 っているサーバは 約 40%ほどであり ほとんど が 使 い 捨 てであることがうかがえます サイト 数 140 120 100 80 60 40 ステータスコード DEAD 503 502 500 404 403 401 400 302 301 200 20 0 5 月 13 日 5 月 14 日 5 月 15 日 5 月 16 日 5 月 17 日 5 月 18 日 5 月 19 日 5 月 20 日 5 月 21 日 5 月 22 日 5 月 23 日 5 月 24 日 5 月 25 日 5 月 26 日 2008 年 図 9 攻 撃 コード 設 置 サイト 数 の 推 移 コンピュータセキュリティ 研 究 所 レポート 9
また これらの 攻 撃 用 サーバの 緯 度 経 度 を Google Maps にプロットすると 多 くは 図 10 のように 中 国 台 湾 であることがわかります 攻 撃 者 がホスティングサービスの 利 用 を 考 えた 場 合 自 国 のサービスを 利 用 する 可 能 性 と 攻 撃 ツールを 中 国 語 環 境 で 利 用 することを 考 慮 すると 一 連 のセキュリティインシデントは 中 国 語 の 理 解 できる 中 国 在 住 の 攻 撃 者 の 仕 業 であると 推 測 できます 図 10 攻 撃 サーバ 位 置 のマッピング コンピュータセキュリティ 研 究 所 レポート 10
5. 今 後 の 脅 威 予 測 今 後 予 測 される Web アプリケーション 自 動 攻 撃 ツール Web アプリケーションを 狙 った 自 動 攻 撃 ツールにより 脅 威 の 具 現 化 までの 速 度 が 早 くなっています その 典 型 的 な 例 が P4 の 3-2 で 紹 介 したボット 化 した SQL インジェ クション 攻 撃 です これらのボットは 一 般 ユーザが 訪 れそうな Web サイトに 悪 意 のあ る JavaScript を 挿 入 します この Web サイトを 一 般 ユーザが 閲 覧 すると 悪 意 のある JavaScript により 攻 撃 用 サーバに 設 置 された 埋 め 込 み 型 Exploit コードを 呼 び 出 して しまい システム 権 限 を 奪 われてしまいます その 結 果 一 般 ユーザが 利 用 している PC にスパイウェアやトロイの 木 馬 などの 不 正 プログラムがインストールされてしまうのです この 一 連 の 攻 撃 の 流 れが 近 頃 最 も 多 い 攻 撃 手 法 の 1 つであるといえます ここで 重 要 なのは この 一 連 の 流 れの 中 で 攻 撃 対 象 を Google 検 索 機 能 を 利 用 して 抽 出 している 点 また 自 動 化 したことで 悪 意 のあるコンテンツを 効 率 よくユーザ に 閲 覧 させることが 可 能 となった 点 です そこで CSL は Google 検 索 機 能 の 利 用 と 自 動 化 を 組 み 合 わせた Web アプリケー ションへの 攻 撃 の 種 類 が 増 えると 予 測 しています 今 後 予 測 される 攻 撃 対 象 として CSL が 注 目 しているのがクロスサイト スクリプティング ( 以 下 XSS)です XSS は SQL インジェクション 攻 撃 のように 直 接 的 被 害 を 与 えるもの とは 異 なり XSS を 悪 用 した 攻 撃 は 間 接 的 なものであるため Web サイトの 運 用 者 は その 被 害 に 気 付 くことが 難 しくなります 3-2 で 紹 介 したボット 化 した SQL インジェクショ ン 攻 撃 と 同 様 に XSS の 脆 弱 性 をターゲットとしたボット 化 が 進 んだ 場 合 その 対 策 は 単 純 にはいかないでしょう しかしながら SQL インジェクションの 自 動 攻 撃 ツールと 同 様 に Google 検 索 機 能 を 悪 用 して XSS の 脆 弱 性 を 調 査 する 攻 撃 コードが 既 に 公 開 されているのも 事 実 です 図 11 は Google 検 索 機 能 を 利 用 して 標 的 となる Web サイトの URL を 抽 出 し XSS の 脆 弱 性 の 有 無 を 確 認 するために JavaScript を 埋 め 込 んでいる 様 子 です 図 11 クロスサイトスクリプティングの 脆 弱 性 を 調 整 する 攻 撃 コード コンピュータセキュリティ 研 究 所 レポート 11
これらの 脅 威 への 対 策 は 容 易 ではありませんが 企 業 側 の 対 応 として 次 の 3 つの 基 本 的 対 策 の 実 施 を 推 奨 します (1) 適 切 な SEO を 実 施 し 攻 撃 されやすいページを 検 索 結 果 に 表 示 されないようにする (2)Web アプリケーションから 脆 弱 性 を 取 り 除 く (3)IPS や WAF によるネットワーク 上 での 防 御 を 行 う (1)は SEO 対 策 の 基 本 であるため Web サイトの 運 営 者 の 方 々には 最 低 限 実 施 して 欲 しい 対 策 です また (2)のみの 対 策 では 開 発 責 任 者 やプロジェクトマネージャーの 知 識 や 経 験 Web アプリケーション プログラマーへの 依 存 度 が 高 くなってしまうため(3) や それに 代 わる 対 策 をとることを 推 奨 します 6. まとめ Web を 核 としたビジネスが 普 及 した 結 果 ネットワークを 介 した 攻 撃 は 本 格 的 に 金 銭 目 的 のものへと 変 化 しました 攻 撃 者 は 金 銭 を 得 るために 一 般 ユーザのアカウント 情 報 やクレジットカード 情 報 などを 詐 取 することを 目 的 とし その 手 段 として SQL インジェ クション と 悪 意 のある JavaScript 埋 込 み 型 Exploit コード を 巧 妙 に 組 み 合 わ せています CSL では これらの 一 連 の 攻 撃 が 中 国 黒 客 によるものであると 推 測 しています その 根 拠 としては 次 の 3 点 が 挙 げられます (1)SQLインジェクション 攻 撃 の 発 信 元 悪 意 のあるJavaScript および 埋 込 み 型 Exploit コー ドの 設 置 サーバの IP アドレスは 中 国 の 保 有 するものが 大 半 を 占 めている (2) 埋 込 み 型 Exploitコードは 中 国 製 のExploitコード 生 成 ツールにより 出 力 されたものである (3)SQL インジェクション 攻 撃 のリクエストに 2 バイトコードが 含 まれていた 繰 り 返 し 伝 えて 参 りましたが 攻 撃 者 は Google 検 索 機 能 を 利 用 して 攻 撃 の 標 的 URL を 抽 出 しています そのため SEO を 駆 使 している 著 名 な Web サイトほど 狙 われ 易 い 傾 向 にあります しかし 残 念 ながら 多 くの 国 内 の Web サイトは Web アプリケーションの 脆 弱 性 を 放 置 しているのが 現 状 です 完 璧 な 対 策 を 実 施 するためにはコストが 膨 大 になっ てしまうことが 脆 弱 性 対 策 が 進 まない 原 因 でしょう しかしながら 実 際 にセキュリティ インシデントが 発 生 してしまうと その 対 応 コストは 事 前 対 策 に 必 要 なものを 遥 かに 超 え る 莫 大 な 金 額 であるということも 事 実 です 経 営 者 および Webサイト 運 営 者 の 方 々には このビジネス 上 のリスクについて 改 めて 理 解 していただき 完 璧 な 対 策 ではなくてもポイントを 押 さえた 対 策 を 実 施 し 被 害 を 最 小 限 に 留 める 努 力 をしていただきたいと 切 に 願 っています コンピュータセキュリティ 研 究 所 レポート 12
株 式 会 社 ラック http://www.lac.co.jp/ 105-7111 東 京 都 港 区 東 新 橋 1-5-2 汐 留 シティセンター 11F L A C ラ ッ ク ラ ッ ク ロ ゴ J S O C( ジ ェ イ ソ ッ ク )は 株 式 会 社 ラ ッ ク の 登 録 商 標 で す 本 ド キ ュ メ ン ト に 記 載 さ れ て い る 企 業 名 お よ び 製 品 名 は 各 社 の 商 標 または 登 録 商 標 です 本 ドキュメントに 記 載 されている 情 報 は 2008 年 8 月 現 在 のものです