ビジネス化がさらに加速するサイバー攻撃

ビジネス化がさらに加速するサイバー攻撃株式会社ラックサイバーリスク総合研究所コンピュータセキュリティ研究所

CSL Report August 2008 ビジネス化がさらに加速するサイバー攻撃進化し続けるアンダーグラウンドビジネス 1. はじめに... 3 2. 概要... 3 3. コードインジェクション... 4 3-1 中国方面からの SQLインジェクション...4 3-2 ボット化した SQLインジェクション攻撃...4 3-3 増加する SQLインジェクションボットの亜種... 6 4. 中国黒客と攻撃コード... 7 5. 今後の脅威予測...11 6. まとめ...12 コンピュータセキュリティ研究所レポート 2

1. はじめに近年コンピュータシステムに関連した事件事故が多発しており企業においては事業継続上の問題に発展しかねない状況になっていますこれらの状況を解消するためには的確に情報セキュリティに関する現状の問題を把握し今後起こりうる脅威を予測しておく必要がありますそこでラックのコンピュータセキュリティ研究所 ( 以下 CSL)では日本国内における最新の傾向と新たなセキュリティ脅威について評価し本レポートにまとめました本レポートに記載されている内容は日本国内で発生したセキュリティ事件および CSL による独自調査の結果が記されていますが世界的なセキュリティ問題の傾向に近似していますこれらの情報が皆様方の今後のセキュリティ対策に少しでもお役立ていただければ幸いですネットワークが安全に保たれ日本の皆様が安心して利用できるようネットワークの安全のために今後も研究調査を続けていく所存ですなお本文書の利用はすべて自己責任の下でお願いいたします本文書の記述を利用した結果生じるいかなる損失においても株式会社ラックは責任を負いかねます本レポート上に記載されている会社名および製品名は各社の商標または登録商標です 2. 概要 2008 年 3 月以降中国方面からの SQL インジェクション攻撃が急増し多くの Web サイトのコンテンツが改ざんされましたこれらは Google 検索機能を利用して脆弱性が存在する Web ページを探索し SQLインジェクション攻撃を試みるという手法を用いたものでありこの一連の流れがボット化されているためその脅威は大きくなるばかりですさらにこのボットは複数種類が存在し送信するリクエストを調査したところマルチバイト文字環境で作成されたことが判明しました SQLインジェクション攻撃により改ざんされた Webサイトには悪意のある JavaScript が埋め込まれますこの悪意のある JavaScript が参照する攻撃用サーバには有料の中国製埋込み型 Exploit コード生成ツールにより生成された攻撃コードが設置されていましたこれらの事象や調査結果の相関関係から中国のアンダーグラウンドビジネスで用いられている犯罪手口は完全に自動化されておりその市場も大きく今後も成長するものと推測できますさらにこの脅威を受ける対象が企業だけに留まらず一般ユーザに影響が及ぶことから早急な対策が求められていますコンピュータセキュリティ研究所レポート 3

3. コードインジェクション 2008 年 3 月から急増した Web サイトの改ざん事件の正体は中国方面からの SQL インジェクション攻撃であることが確認されておりこれらは Google 検索により標的を絞って攻撃を行っていますこれらの攻撃を解析すると大きく 2 種類に分類できます 3-1 中国方面からの SQL インジェクション 2008 年 3 月頃からの攻撃の発信元はほぼ例外なく中国方面の ISP が保有する IP アドレスからの攻撃でしたこれらの攻撃は図 1 のようなリクエストを送信することで標的の SQL Server で管理されるコンテンツを改ざんし悪意のある JavaScript を挿入します図 1 攻撃に使われた JavaScript この悪意のある JavaScript が実行されると攻撃用サーバに設置された Exploit コードによりシステムの権限が奪われますその結果ユーザの PC にスパイウェアがインストールされユーザの重要情報が外部へ送信されてしまいます 3-2 ボット化した SQL インジェクション攻撃被害を被った Web サイトのアクセスログを解析すると SQL インジェクション攻撃は 2008 年 5 月頃になっても減少せずむしろ複数の攻撃ツールが作成されていることが確認できますその代表的なものがボット化した SQL インジェクションツールですこのツールは図 2 のようなアクセスログを残します図 2 攻撃ツールによるアクセスログコンピュータセキュリティ研究所レポート 4

3-1 との違いは主に次の 3 つです 1ボット化 2 攻撃用サーバに設置されている Exploit コードがさまざまなツールにより作成されている 3 攻撃元がバラバラであり中国方面とは限らないボットは Web ブラウザから感染し一般ユーザの利用する PC を介して Web サイトを攻撃します図 3 一般ユーザの PC を介した Web サイトの攻撃手法このボットは攻撃時に次のようなリクエストを送信するように設計されています Request 1 は URL に asp という文字列が含まれている標的を探すためのリクエストですここで注目したいのは検索表示件数を 100 件 ( 検索オプションで指定可能な表示件数の最大値 )に指定している点ですつまり検索結果で 100 位以内に含まれる Web サイトは確実に標的となっているといえますさらに国名を米国としている点も重要です Request 2 は Request 1 の検索結果として表示された URL に対して攻撃文字列を送信するリクエストです Request 1 標的を探すためのリクエストを Google へ送信 Request 2 検索結果として表示された URL に対し攻撃文字列を付加して送信コンピュータセキュリティ研究所レポート 5

このボットは次のようなデータを送信します Accept-Language が en となっていることに注目してくださいこのように 5 月に確認できたボットは一見英語圏で作成されたように見せかけていることが分かります 3-3 増加する SQL インジェクションボットの亜種 6 月頃より SQL インジェクション攻撃の発信元が増加しており中国方面以外からも確認できるようになりました特に 7 月以降 SQL インジェクション攻撃の発信元が急増していることが JSOC(ラックのセキュリティオペレーションセンター JSOC(ジェイソック))でも確認されておりさらにそれらの送信データが若干異なることからボットの亜種が複数存在することが推測できます 35000 コンテンツ改ざん情報取得 30000 25000 20000 15000 10000 5000 5 月 6 月 7 月 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 1 2 3 4 5 6 7 8 2008 年図 4 SQL インジェクション攻撃の推移 (JSOC 調べ) また発信元増加の要因のひとつとして攻撃者が DNS Fast Fluxing という多数のボットをプロキシサーバとして使用しこれらのボットの IP アドレスを頻繁に変えることによりマスターとなる攻撃用サーバの情報を撹乱する手法を用いていることが考えられますコンピュータセキュリティ研究所レポート 6

次のログは 6 月に登場したボットのリクエストですこのリクエストには 2 バイトの文字が含まれておりこのボットがマルチバイト環境で作成された可能性が高いことを示しています 4. 中国黒客と攻撃コード埋め込み型 Exploit コード生成ツール(Embedding Exploit Tool) 2008 年 3 月より急増している中国方面からの SQL インジェクションの攻撃用サーバには中国で作成された埋め込み型 Exploit コード生成ツール(Embedding Exploit Tool)により生成された攻撃コードが設置されていました 4 月から 5 月にかけて多く設置されていた攻撃コードは Vip2.8x もしくは Vip200x と呼ばれるツールにより作成されたものです図 5 Vip2008 ツール画面これらのツールは標準版で 400 元 /1 ヶ月で利用可能で利用者は誘導先の URL を入力し利用したい脆弱性を選択するだけで攻撃コードを作成できますコンピュータセキュリティ研究所レポート 7

図 6 中国で販売されている攻撃コード生成ツールまた 5 月 27 日に SANS より報告のあった Flash 0day Exploit コードも本ツールにより生成可能であることが分かっています中国アンダーグラウンドビジネスこれまでの経緯から中国方面からの攻撃は金銭を払って埋め込み型 Exploit コード生成ツールを手に入れた上でそれを利用して一般ユーザのアカウント情報やクレジットカード情報などを奪うことを目的としており中国のアンダーグラウンドビジネスが成熟していることを裏付けています図 7 攻撃者の主なターゲット攻撃用サーバは金銭目的に運用されているものであるため攻撃者たちはこれらの攻撃用サーバがブラックリストに登録されないよう攻撃用サーバに設置されている攻撃コードの一部を頻繁に入れ替えてその存在を発見されにくくするなど細心の注意を払った運用を行っていますコンピュータセキュリティ研究所レポート 8

図 8 は攻撃用サーバの Google ブラックリストへの登録状況をまとめたものです約 56%~ 64%の攻撃用サーバは Google ブラックリストに登録されていますが 40% 以上のサーバはブラックリストに登録されることなく運用されていますこれらのサーバの殆どが SQL インジェクション攻撃を能動的に仕掛けるものではなく攻撃の結果誘導されたユーザの PC にスパイウェアやトロイの木馬を仕掛けるための配布サーバとして機能しているためです図 8 攻撃用サーバの Google ブラックリストへの登録状況これらの攻撃サーバは大きく次の 3 種類に分類できます Bulletproof Hosting Service 黒客支援サイト踏み台サイト特に Bulletproof Hosting Service を利用している攻撃用サーバはスパムメール配信利用を行っていると報告されている IP アドレスも含まれていました 5 月の攻撃用サーバ数は図 9 のように緩やかに減少傾向をたどっていましたしかし 6 月には数を戻し始めており攻撃用サーバのホスティング先を変更したと推測できますまた攻撃コード設置サイトのトップページのレスポンスコードを調査した結果攻撃コード以外のファイルへのアクセス制御を行っているサーバは約 40%ほどでありほとんどが使い捨てであることがうかがえますサイト数 140 120 100 80 60 40 ステータスコード DEAD 503 502 500 404 403 401 400 302 301 200 20 0 5 月 13 日 5 月 14 日 5 月 15 日 5 月 16 日 5 月 17 日 5 月 18 日 5 月 19 日 5 月 20 日 5 月 21 日 5 月 22 日 5 月 23 日 5 月 24 日 5 月 25 日 5 月 26 日 2008 年図 9 攻撃コード設置サイト数の推移コンピュータセキュリティ研究所レポート 9

またこれらの攻撃用サーバの緯度経度を Google Maps にプロットすると多くは図 10 のように中国台湾であることがわかります攻撃者がホスティングサービスの利用を考えた場合自国のサービスを利用する可能性と攻撃ツールを中国語環境で利用することを考慮すると一連のセキュリティインシデントは中国語の理解できる中国在住の攻撃者の仕業であると推測できます図 10 攻撃サーバ位置のマッピングコンピュータセキュリティ研究所レポート 10

5. 今後の脅威予測今後予測される Web アプリケーション自動攻撃ツール Web アプリケーションを狙った自動攻撃ツールにより脅威の具現化までの速度が早くなっていますその典型的な例が P4 の 3-2 で紹介したボット化した SQL インジェクション攻撃ですこれらのボットは一般ユーザが訪れそうな Web サイトに悪意のある JavaScript を挿入しますこの Web サイトを一般ユーザが閲覧すると悪意のある JavaScript により攻撃用サーバに設置された埋め込み型 Exploit コードを呼び出してしまいシステム権限を奪われてしまいますその結果一般ユーザが利用している PC にスパイウェアやトロイの木馬などの不正プログラムがインストールされてしまうのですこの一連の攻撃の流れが近頃最も多い攻撃手法の 1 つであるといえますここで重要なのはこの一連の流れの中で攻撃対象を Google 検索機能を利用して抽出している点また自動化したことで悪意のあるコンテンツを効率よくユーザに閲覧させることが可能となった点ですそこで CSL は Google 検索機能の利用と自動化を組み合わせた Web アプリケーションへの攻撃の種類が増えると予測しています今後予測される攻撃対象として CSL が注目しているのがクロスサイトスクリプティング ( 以下 XSS)です XSS は SQL インジェクション攻撃のように直接的被害を与えるものとは異なり XSS を悪用した攻撃は間接的なものであるため Web サイトの運用者はその被害に気付くことが難しくなります 3-2 で紹介したボット化した SQL インジェクション攻撃と同様に XSS の脆弱性をターゲットとしたボット化が進んだ場合その対策は単純にはいかないでしょうしかしながら SQL インジェクションの自動攻撃ツールと同様に Google 検索機能を悪用して XSS の脆弱性を調査する攻撃コードが既に公開されているのも事実です図 11 は Google 検索機能を利用して標的となる Web サイトの URL を抽出し XSS の脆弱性の有無を確認するために JavaScript を埋め込んでいる様子です図 11 クロスサイトスクリプティングの脆弱性を調整する攻撃コードコンピュータセキュリティ研究所レポート 11

これらの脅威への対策は容易ではありませんが企業側の対応として次の 3 つの基本的対策の実施を推奨します (1) 適切な SEO を実施し攻撃されやすいページを検索結果に表示されないようにする (2)Web アプリケーションから脆弱性を取り除く (3)IPS や WAF によるネットワーク上での防御を行う (1)は SEO 対策の基本であるため Web サイトの運営者の方々には最低限実施して欲しい対策ですまた (2)のみの対策では開発責任者やプロジェクトマネージャーの知識や経験 Web アプリケーションプログラマーへの依存度が高くなってしまうため(3) やそれに代わる対策をとることを推奨します 6. まとめ Web を核としたビジネスが普及した結果ネットワークを介した攻撃は本格的に金銭目的のものへと変化しました攻撃者は金銭を得るために一般ユーザのアカウント情報やクレジットカード情報などを詐取することを目的としその手段として SQL インジェクションと悪意のある JavaScript 埋込み型 Exploit コードを巧妙に組み合わせています CSL ではこれらの一連の攻撃が中国黒客によるものであると推測していますその根拠としては次の 3 点が挙げられます (1)SQLインジェクション攻撃の発信元悪意のあるJavaScript および埋込み型 Exploit コードの設置サーバの IP アドレスは中国の保有するものが大半を占めている (2) 埋込み型 Exploitコードは中国製のExploitコード生成ツールにより出力されたものである (3)SQL インジェクション攻撃のリクエストに 2 バイトコードが含まれていた繰り返し伝えて参りましたが攻撃者は Google 検索機能を利用して攻撃の標的 URL を抽出していますそのため SEO を駆使している著名な Web サイトほど狙われ易い傾向にありますしかし残念ながら多くの国内の Web サイトは Web アプリケーションの脆弱性を放置しているのが現状です完璧な対策を実施するためにはコストが膨大になってしまうことが脆弱性対策が進まない原因でしょうしかしながら実際にセキュリティインシデントが発生してしまうとその対応コストは事前対策に必要なものを遥かに超える莫大な金額であるということも事実です経営者および Webサイト運営者の方々にはこのビジネス上のリスクについて改めて理解していただき完璧な対策ではなくてもポイントを押さえた対策を実施し被害を最小限に留める努力をしていただきたいと切に願っていますコンピュータセキュリティ研究所レポート 12

株式会社ラック http://www.lac.co.jp/ 105-7111 東京都港区東新橋 1-5-2 汐留シティセンター 11F L A C ラックラックロゴ J S O C( ジェイソック )は株式会社ラックの登録商標です本ドキュメントに記載されている企業名および製品名は各社の商標または登録商標です本ドキュメントに記載されている情報は 2008 年 8 月現在のものです