Internet Week 2009 - H1 インターネットセキュリティ2009 - 脅 威 のトレンド2009 ~ソフトウェア プロトコル ウェブサイトをめぐる ウ 動 向 ~ 一 般 社 団 法 人 JPCERTコーディネーションセンター 2009 年 11 月 24 日 真 鍋 敬 士
最 近 気 になっていること 90 90 ある 公 開 アドレスに 届 いたメールのうち 実 行 ファイルが 添 付 されていた 数 80 80 通 過 70 70 駆 除 60 60 50 50 40 40 30 30 20 20 10 10 00 1
JPCERT/CCに 報 告 されたインシデントの 傾 向 その 他 17% 侵 入 改 ざん 1% その 他 6% 侵 入 改 ざん 5% フィッシング 15% マルウエア 43% フィッシング 10% スキャン 系 15% マルウエア 68% スキャン 系 20% インシデント 報 告 件 数 割 合 (2009 年 4 月 ~6 月 ) インシデント 報 告 件 数 割 合 (2009 年 7 月 ~9 月 ) http://www.jpcert.or.jp/ir/report.htmlより 2
攻 撃 の 特 徴 脆 弱 性 の 悪 用 Adobe Reader/Acrobat Flash util.printf Collab.collectEmailInfo Collab.getIcon JBIG2 影 響 はFlashPlayerのみならず Adobe Reader/Acrobat Excelなど Internet t Explorer MS09-032(ActiveX) JavaScriptが 大 活 躍 PDF JavaScript 上 の 脆 弱 性 スプレイ 用 に Web ホスティングサイトへの 誘 導 悪 性 コードの 埋 め 込 み 3
マルウエア 添 付 メール VAIO のサポートメールを 騙 った 文 面 から Outlook および conflicker ( 本 文 ではConficker) 対 策 のパ ッチ 適 用 を 促 す 内 容 に 変 化 ecard DHLなどメールの 内 容 が 変 化 し 継 続 的 に 受 信 を 観 測 パスワードが 記 載 されているものもあり 実 際 に Zip にパスワードがかかっていたケースも 4
-マルウエア 添 付 メール- マルウエア 添 付 メールの 傾 向 偽 アンチウイルス ZeuS その 他 ボット 地 域 BR US KR CO IN IT AR RU CL CN RO GB BG MX NL PT DE FR TH その 他 件 数 135 104 38 36 34 27 26 22 20 19 15 14 12 11 11 11 10 10 10 129 メールの Received ヘッダーの 一 番 最 初 の IP アドレスから 判 定 BR と US が 約 3 分 の1 の 割 合 を 占 めている 件 数 が 10 件 以 上 の 地 域 のみ 5
-マルウエア 添 付 メール- 偽 アンチウイルス 実 行 した 場 合 感 染 しているというメッセージを 表 示 外 部 へ 接 続 し 偽 アンチウイルスの 本 体 となる 実 行 ファイルをダウンロード して 実 行 ( 接 続 先 についてはベーシック 認 証 がかかっていたため 確 認 ができていない) 感 染 している 旨 のメッセージと install.exe のアイコン Antivirus Pro 2010 のインストール 画 面 とダウンロードした 実 行 ファイルのアイコン 6
-マルウエア 添 付 メール- 偽 アンチウイルス(インストール 後 ) ホーム 画 面 スキャン 実 施 後 購 入 を 勧 める ポップアップ 検 出 の 演 出 スキャン 実 施 中 ポップアップ 定 期 的 に 感 染 し ていることを 警 告 7
-マルウエア 添 付 メール- RAT(Remote Access Trojan/Administration Tool) PCの 遠 隔 操 作 を 可 能 にするツール GUIによりマルウエアの 作 成 やクライアントの 管 理 が 可 能 主 な 機 能 プロセス 情 報 の 取 得 特 定 プロセスの 停 止 特 定 のウイルス 対 策 ソフトのバイパス マシンのシャットダウン リモート リモートからのデスクトップ 操 作 任 意 のプログラムの 実 行 スクリーンショットの 取 得 Webカメラの 操 作 音 声 の 録 音 キーロガー 関 連 記 事 フォーティネットが 総 括 : 上 半 期 のセキュリティ 動 向 http://www.itmedia.co.jp/enterprise/articles/0907/30/news073.html Tracking GhostNet: Investigating a Cyber Espionage Network http://www.scribd.com/doc/13731776/tracking-ghostnet-investigating-a-cyber-espionage-network 15 万 台 が 感 染 国 内 でも 被 害 多 数 ウイルスツール Zeus の ル Z の 脅 威 http://itpro.nikkeibp.co.jp/article/news/20090827/336060/ 8
改 ざんされたWebからの 誘 導 6 1. リストの exe のダウンロード 5 1. exe の URL が 含 まれた txt のダウンロード 4 svchost.exe 1. ダウンロードした exe の 実 行 2. 実 行 した 環 境 から 外 部 へ 接 続 1 最 初 の 接 続 先 1. SITE_A.com/x.js iframe にて 2へ 接 続 2 脆 弱 性 コードを 含 むスクリプトが 存 在 するサイト 1. SITE_ B.org/aa/a3.html?y10 iframe にて 2 に 接 続 2. SITE_B.org/aa/index.html script タグにて 3 を 実 行 3. SITE_B.org/aa/go.jpg SITE_B.org/aa/go1.jpg g 4 に 接 続 して 問 題 なければ3へ 接 続 4. SITE_B.org/aa/load.jpg 3exe ファイルのダウンロード 先 1. SITE_C.com/wm/svchost.exe MS09-032: Microsoft Video ActiveX Control の 脆 弱 性 を 狙 った 攻 撃 9
- 改 ざんされたWebからの 誘 導 - JSRedir-R(aka Gumblar) 共 通 的 な 挙 動 1 Web 改 ざん マルウエアホスティングサイトへ 誘 導 するJavaScriptの 埋 め 込 み 2 ダウンローダ 実 行 脆 弱 性 を 悪 用 して 動 作 し 別 のマルウエアをダウンロード 3 マルウエア 感 染 アカウント 情 報 盗 聴 等 を 行 う 問 題 を 大 きくする 要 因 技 術 的 な 難 しさ JavaScriptの 難 読 化 マルウエアの 多 様 性 パターンだけでは 検 知 困 難 無 数 のマルウエアホスティングサイト アクセス 制 限 複 数 グループ 事 業 者 側 での 対 応 の 限 界 不 正 なFTPアクセスの 制 限 改 ざん の 判 断 繰 り 返 される 改 ざん 本 質 的 な 対 策 がなされていない 10
- 改 ざんされたWebからの 誘 導 - 5カ 月 で 形 態 が 変 化 旧 Gumblar martuz.cn or gumblar.cn 特 に 各 ドメイン 間 の 連 携 は 確 認 でき ていない ドメイン 停 止 により 脅 威 が 軽 減 新 Gumblar 改 ざんが 確 認 されているサイトはリ ダイレクト 元 にも 先 にもなりうる 脆 弱 なシステムの 輪 が 存 在 11
- 改 ざんされたWebからの 誘 導 - 対 策 はあまりにも 基 本 的 一 般 ユーザ OSやアプリケーションのアップデート アンチウイルス 製 品 の 導 入 運 用 最 終 ログイン 日 時 等 のアカウント 情 報 への 関 心 サイト 管 理 者 Webコンテンツの 定 期 不 定 期 の 確 認 定 期 的 なログの 確 認 パスワードの 適 切 な 運 用 関 連 組 織 事 業 者 一 般 ユーザやサイト 管 理 者 への 注 意 喚 起 組 織 間 での 情 報 共 有 12
これから Webからの 誘 導 は 引 き 続 き 攻 撃 の 主 流 に サーバ 側 でのセキュリティ 対 策 が 問 われる Webアプリケーションの 脆 弱 性 をどのように 減 らすか FTPアカウント 等 運 用 上 の 改 善 Windows 以 外 のマルウエアにも 注 目 堅 牢 な 攻 撃 システムの 構 築 可 用 性 の 向 上 追 跡 を 困 難 にする 仕 組 み デスクトップの 脆 弱 性 対 策 ベンダの 対 応 如 何 が 被 害 規 模 に 直 結 Windows 7の 登 場 により 古 い 環 境 が 減 る サードパーティ 製 品 でも 自 動 更 新 が 広 まる 13
お 問 い 合 わせ インシデント 対 応 のご 依 頼 は JPCERTコーディネーションセンター Email:office@jpcert.or.jp Tel:03-3518-4600 Web: http://www.jpcert.or.jp/ インシデント 報 告 Email:info@jpcert.or.jpinfo@jpcert.or.jp Web: http://www.jpcert.or.jp/form/ t j /f /