感染への「入り口」:ソフトウェアの脆弱性利用とは
ソフトウェアの脆弱性は、マルウェアの脅威と同様、セキュリティの観点から深刻な影響を及ぼします。たとえば、トレンドマイクロが確認した最近の事例では、2012年7月に発生した中国の高校におけるWebサイトへの被害があげられます。これは、「Microsoft XMLコアサービス」の脆弱性利用によりもたらされた被害であり、このWebサイトを閲覧したユーザは、マルウェアをダウンロードするリスクにさらされたといいます。
もちろん、この事例は、ソフトウェアの脆弱性利用の脅威として注意すべき事例のごく一例に過ぎす、その他にも、「Blackhole Exploit Kit」を駆使したスパム攻撃や、「Adobe Flash Player」の特定バージョンの脆弱性を利用する攻撃、「Java 7」の脆弱性を利用するゼロデイ攻撃など、脆弱性を利用した攻撃は数多く発生しています。このようにサイバー犯罪者たちがソフトウェアの脆弱性を利用する攻撃を続けている理由には、「ユーザのほとんどが自分たちのコンピュータの更新作業を定期的に実施していない」という事実があげられます。この意味でも、まず何よりも、「そもそも脆弱性とはどういったものなのか」、「なぜ脆弱性は利用されるのか」、「脆弱性利用によりどのような影響がユーザのコンピュータ使用に及ぶのか」、こうした点をユーザ側で把握することが重要となります。
ソフトウェアの脆弱性とは、どのようなものでしょうか。
ソフトウェアの脆弱性とは、ソフトウェアやオペレーティングシステムにおいて確認されたセキュリティ上の不具合や異常や欠陥として認識され、放置しておくとセキュリティ上の問題につながるものを指します。たとえば、「バッファオーバーフロー」などが、そうしたソフトウェア上の欠陥として典型的な脆弱性に該当します。この場合、そのソフトウェアに関連するファイルをユーザが開こうとすると、プログラムを読み取るメモリサイズを超過する(オーバフロー)状態となり、そのソフトウェア自体が、機能停止や強制終了の状態に陥ります。
このバッファオーバーフローは、ソフトウェア上で一般的によく確認される欠陥でもありますが、この欠陥が、サイバー犯罪者たちによりセキュリティ上の脆弱性として認識されて詳細が調べあげられた上で、この脆弱性を悪用する不正コードやエクスプロイトが作成され、不正活動に際しての標的とされてしまうと、まさしく「深刻なセキュリティ上の問題」となってしまうわけです。この場合の不正活動には、「管理者権限の取得」などが含まれています。こうして、攻撃者であるサイバー犯罪者により、(脆弱性が存在する)コンピュータのコントロールが奪われ、マルウェアの感染ももたらされることになります。
脆弱性自体は、特定のソフトウェアベンダに限定して存在するものではなく、その性質上、すべてのソフトウェアやオペレーティングシステムに確認されるものです。ちなみに、トレンドマイクロによる2012年第1四半期のレポートでは、この第1四半期中で「脆弱性報告数」が最も多かった企業はAppleであり、第2位にOracle、第3位にGoogle、第4位がMicrosoftであることを伝えています。Appleがこの期間中に公開した「更新プログラムの数」は、同社の歴史上で最多でした。
ユーザは、ソフトウェアの脆弱性にはなかなか気づかない傾向にあります。攻撃者は、こうした傾向を利用して、脆弱性があるソフトウェアを標的にする際も、攻撃がもたらされた形跡がソフトウェア側に全く示されることがないように巧みに攻撃を実行することができます。
また、「CVE-2012-2526」や「CVE-2012-1852」の脆弱性を利用した攻撃の場合は、ユーザに対して不正なサイトの閲覧やエクスプロイトのダウンロードなどを行なわせることなく、攻撃者は、巧みにこれらの脆弱性を利用することができます。
エクスプロイトとは、何ですか?
サイバー犯罪者たちが攻撃者としてソフトウェアの脆弱性を悪用したり標的として利用したりする際、その目的に応じて作成されるコードのことを指します。通常、こういったコードは、マルウェアの活動自体にも利用されます。たとえば、「エクスプロイトコードが実行されると、侵入したマルウェアが(脆弱性が存在する)コンピュータ上に自身のコピーを作成する」といったケースが、これに該当します。
また、複数のコンポーネントを駆使した攻撃の一部として利用されるエクスプロイトも存在します。たとえば、「コンピュータ内で最初に侵入したマルウェアが他のマルウェアを作成する際、不正なファイルではなく、エクスプロイト自体に作成される」といったケースが、これに該当します。作成されたマルウェアは、バックドア機能を備えたトロイの木馬型マルウェアや情報収集型のスパイウェアなどであり、感染したコンピュータからユーザの個人情報等を収集することが可能となります。
エクスプロイトは、どのように「進化」してきましたか。
脆弱性を狙うエクスプロイトも、ここ数年の間には、一定の「進化」を遂げてきました。サイバー犯罪者たちが自分たちの攻撃に脆弱性を利用し始めた時期は、2003年に発生した「Blasterワーム」の「成功」にまで遡ることができるでしょう。脅威状況におけるエクスプロイトや脆弱性利用の変遷は、以下のような主要事例を通して振り返ることができます。
時期 | 主要事例 |
2006年以前 |
|
2007年 |
|
2008年 |
|
2009年以降 |
|
「セキュリティアップデート」とは、何ですか
上述のようなソフトウェア上の脆弱性については、もちろん、ソフトウェアベンダ側も認識しており、これらの欠陥を修正するため、「セキュリティアップデート」や「修正プログラム」、「更新プログラム」といった名称で定期的にリリースされています。Microsoftや、Adobe、Oracle、Firefox、Appleなどは、そうした定期的なリリースを実施しているソフトウェアベンダとして知られています。とりわけ、Microsoftが毎月第2火曜日(日本では時差の関係上、毎月第 2 火曜日の翌日)に「セキュリティ情報リリース」と共に「更新プログラムの公開」を報告している「Patch Tuesday (パッチチューズデイ)」が、一般的にもよく知られています。一旦、こうした「更新プログラム」が公開されると、ユーザは、速やかに「適用」を行うことが期待されています。
なぜ、セキュリティアップデートによる修正を行う必要があるのですか。
最新のセキュリティアップデートによりコンピュータやアプリケーションを最新化しておくことで、脆弱性利用の攻撃を未然に阻止することができるからです。
セキュリティアップデートにより最新化されていないコンピュータは、ソフトウェアの脆弱性を利用したマルウェアによる攻撃のリスクにさらされます。こうした脆弱性利用により、コンピュータは、マルウェアの感染被害に見舞われ、不正リモートユーザより外部からコントロールされてしまいます。このようなマルウェアは、侵入したコンピュータ内で様々な不正活動を行うことになります。たとえば、バックドア機能を備えたマルウェアの場合は、不正リモートユーザとの交信が可能になり、情報収集型のスパイウェアの場合は、感染したコンピュータ上からオンライン銀行のアカウント情報や、その他の個人情報が収集されてしまうことになります。
また、セキュリティアップデートを適用することは、技術的な欠陥を修正してソフトウェアのパフォーマンスを向上させることにもつながります。いずれにしても、セキュリティアップデートにより最新化されない限り、そのコンピュータは、脆弱性利用の脅威にさらされ続けることになります。ただ残念なことは、全てのユーザが、こういったセキュリティアップデート適用の重要性を認識していないという点です。
なお、Google ChromeやAdobe Flashなどの場合は、セキュリティアップデートのリリースは、ユーザが気づかないかたちで自動的に実施されていることでも知られています。
なぜ、セキュリティアップデートの適用を行なわないユーザが存在するのでしょうか。
その効果が確実でありながら、必ずしも全てのユーザが最新のセキュリティアップデートによる適用を行なっているわけではないという現実があります。2011年のCSISの調査によると、回答したユーザの37%が「最新化されていない危険なバージョンのJava機能のままでインターネット閲覧活動を行なっている」といいます。また、回答したユーザの実に67%が「使用しているサードパーティのアプリケーションに関しても定期的なセキュリティアップデートの適用を行なっていない」と答えています。
さらに、Skypeが実施したアンケート調査によると、アメリカ人、ドイツ人、イギリス人ユーザの40%が、「セキュリティアップデートの適用が告知やポップアップ等で指示されても直ぐには実施しない」と回答しています。さらにこのアンケート調査結果のレポートでは、「ユーザが直ちに適用を行なわない理由」として、以下のようなユーザからの回答をあげています。
- コンピュータのセキュリティが心配なので、指示されたもの全てを安易にダウンロードしようないようにしている
- 実際の目に見える効果が分からないから
- 時間がかかるから
- セキュリティアップデートが何のためのものか、コンピュータに対して何をするのか分からないから
脆弱性を利用する脅威としては、どのようなものがあげられますか。
ソフトウェアの脆弱性を利用して感染に至った典型的な脅威としては、以下のような事例があげられます。
「Blackhole Exploit Kit」を使用した攻撃:通常、これらの攻撃は、Eメールを介してコンピュータに侵入します。利用されるEメールも、よく知られた企業や組織等からのものに偽装しています。こうした偽装メール内にリンクが含まれており、そのリンクをクリックすると、ユーザは、改ざんされたWebサイトに誘導され、そこからさらに不正なWebサイトや不正なランディングページにリダイレクトされます。そしてリダイレクト先のページにおいて、ユーザのコンピュータ内の脆弱性が利用されます。こうして脆弱性が利用されると、ユーザのコンピュータに「ZBOT」や「CRIDEX」などの情報収集型のマルウェアがダウンロードされることになります。こういったBlackhole Exploit Kitを駆使し、正規に見える偽装メールが大量に出回っていることが、この種の脅威が要注意されている理由となっています。
「すでに指摘されながら現在も有効な脆弱性」を利用した攻撃:これから攻撃を実行しようとしているサイバー犯罪者たちは、セキュリティ上の新たな欠陥を探し出そうとするのではなく、むしろ、既によく知られている脆弱性を活用する傾向にあります。「MS-2010-3333」という2年前に報告された脆弱性が現在も利用され続けている点は、トレンドマイクロでも報告していますが、こうした点から、過去の脆弱性は今でも十分にサイバー犯罪者たちに利用され、ユーザは定期的なセキュリティアップデートの適用を行なっていない事実が把握できます。
「STUXNET(スタクスネット)」との類似点で比較される「Flame」という情報収集型マルウェアも、こういった「すでに指摘されながら現在も有効な脆弱性」を利用することで知られており、何人かのセキュリティ専門家からは、「最も洗練されたマルウェア」とさえ言われています。この攻撃は、「MS10-061」や「MS10-046」など、トレンドマイクロでも2010年ですでに対応済みの脆弱性が標的とされていました。
モバイル端末用アプリの脆弱性:モバイル端末の利用が広く普及する中、こうしたモバイル端末のOSやアプリといったモバイル・プラットフォームの脆弱性を攻撃者たちが狙ってくるのも時間の問題といえます。実際、この種の脅威で初期の段階で確認されたものとしては、iOSをターゲットにした「JailbreakMe」というジェイルブレイクを行うツールをあげることができます。この脅威では、不正なPDFファイルや「TROJ_PIDIEF.HLA」として検出されるマルウェアが駆使され、Safariの脆弱性が利用されました。なお、このソフトウェアの脆弱性に対する修正パッチは、既にAppleから提供されています。
もちろん、Android系のモバイル端末も例外ではありません。2011年、中国のテレコム企業であるZTEが、自社のモバイル端末である「M Score」における脆弱性の存在を認めています。この脆弱性が利用されると、不正リモートユーザが外部からルート権限を取得することができ、これにより、モバイル端末自体が外部の攻撃者から完全にコントロールされてしまうといいます。
実際、Android系のアプリは、格好の標的となっており、Android系のモバイル端末に被害を与えるスパム攻撃まで実行されています。このスパム攻撃では、攻撃者は、「Yahoo! Mail」のアプリ内に存在する脆弱性を利用していたようです。このスパム攻撃がどのような経緯により実行されたかは、まだ不明な部分が多いものの、スパムメール送信者がどのようにしてこのアプリ内の脆弱性を利用してこのようなスパム攻撃に至ったかは、トレンドマイクロでも明らかにしています。
ゼロデイエクスプロイトとは、何ですか
また適用が施されていないソフトウェア脆弱性の利用を「ゼロデイ脆弱性」や「ゼロデイ攻撃」、「ゼロデイエクスプロイト」などと呼びます。
この場合、ソフトウェアベンダがまだ把握していないか、あるいは、まだセキュリティアップデートを提供していない自社のソフトウェアの脆弱性を、サイバー犯罪者や攻撃者側の方が先に発見することになります。たとえば最近では、中東で発生して「第2のSTUXNET」としても知られた脅威の「DUQU」などが、こうしたゼロデイ攻撃に分類されます。「DUQU」の場合、背後に潜む攻撃は、Microsoft WordのWordファイルとしてコンピュータに侵入します。この際、Microsoft Wordにおいて「未修正の脆弱性」(攻撃確認時は未公開でしたが、現在は既にMicrosoftから「セキュリティ アドバイザリ」が公開されています)を利用することにより、侵入したコンピュータ内に「RTKT_DUQU.B」や「TROJ_DUQU.B」といったマルウェアを作成します。
この種の攻撃が与える影響は深刻だといえます。標的とされた脆弱性に修正するはずのセキュリティアップデートがまだ提供されておらず、入手もできないとなれば、その時点で「最新化」されているコンピュータも、この種の攻撃の被害に見舞われることになるからです。こうした状況を阻止するためにも、各ベンダは、セキュリティアップデートの定期リリースを待たずに直ちに修正プログラムを提供するか、何らかの対応策を直ちに提供するといった対策を講じることが不可欠となります。
脆弱性利用が駆使された攻撃から身を守るためには、どのような対策が必要でしょうか。
まず必要なことは、ソフトウェアベンダから提供されるセキュリティアップデートをしっかりと適用することです。これにより、ソフトウェアの脆弱性が感染経路として悪用されるようなWebからの脅威やエクスプロイトを利用した攻撃などから、身を守ることができます。
こういったセキュリティアップデートの適用は、かなりの時間を要することもあり、ユーザは、どうしても怠りがちな傾向にあります。しかしながら、こうした作業こそが、脆弱性利用からの安全を確保してくるものであることを認識しておくべきです。ソフトウェアの自動更新もぜひ導入しておくべきしょう。
ゼロデイ攻撃への対策としてユーザが注意すべきは、ソフトウェアベンダからリリースされるセキュリティ情報等の告知を常に確認しておくことです。通常、ゼロデイ攻撃が発生した場合、該当するソフトウェアベンダからは、公式のセキュリティアップデートがリリースされるまでの対応として、緊急の対応策やツール等が提供されるはずだからです。こういった点に注意しておくことが有効となります。
また、ユーザ側では、信頼のおけないサイトを安易に閲覧したり、スパムメール内のリンクを不注意にクリックしたりしないようにすることです。Webサイトを閲覧する際は、信頼のおけるサイトをあらかじめブックマークしておきそちらを利用するべきです。送信元不明のメール等も、うっかり開封しないように注意することが必要です。
トレンドマイクロ製品は、オンラインゲームに関連した脅威を防ぐことができますか?
もちろん防ぐことができます。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」は、エクスプロイトやマルウェアによるソフトウェア脆弱性利用からユーザを守ることができます。実際、NSS Labsの最新レポートでも、HTTPやHTTPSを介してもたらされる脅威をトレンドマイクロ製品がいかに効果的にブロックしているかが示されています。「Trend Micro Deep Security」や「Trend Micro 脆弱性対策オプション」を利用のユーザ、また「ウイルスバスター クラウド」をご利用の個人ユーザのお客様も、ゼロデイエクスプロイトを含む新たな脆弱性利用の攻撃を効果的に検知することで確実に守られています。
トレンドマイクロの専門家からのコメント:
攻撃者たちは、既に知られてはいるがより確実性の高い「CVE-2010-3333」などの脆弱性を利用する傾向があります。これは、新たに確認されたけれども有効性が不確実な脆弱性を試みるよりも、こういった古くて確実な脆弱性の方が有効であることが証明されており、彼らもよく認識しているからだといえます。
- シニア・スレッド・リサーチャー:Ryan Flores
こういった攻撃が成功するのは、いまだに非常に高い割合のユーザが、脆弱性を含み修正の施されていないソフトウェアを使用しているからです。
- 脆弱性リサーチ・マネージャー:Pawan Kinger