2013年6月4日のブログでお伝えした国内で発生している正規Webサイトの改ざん被害について、詳しい攻撃手法などの解析を行った上で得られた調査結果を続報としてお伝えします。国内の正規Webサイト改ざん被害ケースは、つい先週の 5月30日のブログ、また、3月18日のブログでもお伝えしていますが、これらのケースとの類似性はあるのでしょうか。
■以前のケースとの類似性、相違点
まず初めに言えるのは、6月4日に報告したケースが先週お伝えした 5月のケースとはまったく異なる攻撃であるということです。5月のケースは、明確にハクティビズム目的の攻撃であり、改ざん被害を受けたことが表面的にわかるものでした。しかし、今回のケースは、表面的にはわからない形でコンテンツ内に埋め込まれたスクリプトにより、他の不正サイトへ誘導される攻撃となっていました。改ざんされたサイトを閲覧したユーザは、気づかないうちに不正サイトに誘導され、脆弱性の利用により不正プログラム感染被害を受けるという被害の連鎖です。
 |
|
|
この連鎖については、3月のケースと同様と言えます。特に 3月のケースと類似する点として、脆弱性攻撃において「Black Hole Exploit Kit(BHEK)」を利用していることが挙げられます。利用される脆弱性に関しても単一のものでなく、Adobe Reader/Acrobat、Adobe Flash Player、Java のバージョンを判定し、それぞれに存在する脆弱性を特定して攻撃する方法でした。BHEK を利用した脆弱性攻撃では、この 3種のアプリケーションの脆弱性を狙うことがほぼ定番となっており、ユーザにとっては特に優先してアップデートを行うべきでしょう。
また、3月のケースでは、脆弱性特定後に誘導される、エクスプロイトを含む URL は “q.php” を含む法則性を持った URL でした。それが今回の攻撃では “a.php” を含む URL となっています。3月のケースで行った調査同様、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」にフィードバックされた情報から日本国内の利用者が脆弱性攻撃コードを含む “a.php” へ誘導された件数を計測したところ、4月から低い数値で継続していたアクセスが、5月29日から急激に増加しており、ピークは 5月30日の 2414件となっていました。
 |
|
|
これは、トレンドマイクロで改ざんサイトの増加を確認したタイミングと一致するものと言えます。また 6月4日の時点では以前の水準に戻っており、このアクセス推移からは、今回のケースでは改ざん攻撃が開始されてから早い段階で被害の拡大を防げたことが推測できます。
また、今回のケースと 3月のケースとの明確な相違点としては、Web改ざんの方法が挙げられます。3月ケースでは、Linux上のApacheサーバを標的とする、「Darkleech」による改ざんが確認されています。「Darkleech」による改ざんは、Webサーバ上のhtmlファイルなど静的コンテンツの改変を伴いません。また、改ざんを行うための侵入手法としては、Linux上のWeb管理ツールの脆弱性への攻撃や、FTPサーバのアカウント乗っ取りなどがあったことが、JPCERTの調査などによりわかっています。
対して今回のケースで確認されている改ざん手法は、すべて単純な Webコンテンツへの不正スクリプト挿入であり、静的コンテンツの改変を伴わない「Darkleech」でないことは明らかです。また、トレンドマイクロで確認した改ざんサイトに対する調査により、Webサーバが特定できたサイトはすべて Windows の IISサーバを利用していました。このことから、侵入方法は Linux向け Web管理ツールの脆弱性ではないと判断できます。これらのことから、今回のケースは、直近の 3月の攻撃ケースよりも、むしろ 2009年に登場した「Gumblar攻撃」を想起させます。
■最終的な攻撃の目的と、この事例から得るべき教訓
では、今回の正規 Web改ざん攻撃での攻撃者の目的は何でしょうか。結論から言うと、現在のところ断定できていません。トレンドマイクロで確認した脆弱性攻撃ファイル(エクスプロイト)「TROJ_PIDIEF.MT」などが、脆弱性攻撃後にダウンロードするファイルは、調査時点では実行されない実行ファイル(拡張子EXE)となっており、活動内容が確認できないためです。脆弱性攻撃により、指定された URL から “calc.exe”、”info.exe”、”contacts.exe” などのファイルがダウンロードされますが、現時点でこれらのファイルの内容は実行できないジャンクコードとなっています。
3月のケースを始めとする BHEK を利用した攻撃ケース全般、また過去の Gumblar攻撃においても、最終的には「偽セキュリティソフト」や「オンライン銀行詐欺ツール」のような金銭目的の攻撃に連鎖していたことが確認されています。それらの前例から考え、今回も同様の目的がある可能性を推測していますが、実際にダウンロードされるファイルが実行不可のために断定ができない状況です。解析チームでは、まだ攻撃のテスト段階でダミーファイルが置かれていた、もしくは、セキュリティベンダーの追及をかわすためにわざと無害なファイルに置き換えられていた可能性を推測しています。
今後、また有効な不正プログラムに置き換えられ、本格的な攻撃へ移行する可能性はあります。しかし、トレンドマイクロ製品では、現在確認されているダウンロードの URL に関して、すべて Webレピュテーション機能によってブロックすることができますす。
なお、Web管理者の観点では、今後も同様の改ざん攻撃を受ける危険性が常に存在するものと言えます。IPA では「2013年6月の呼びかけ」の中で、サーバの脆弱性悪用と FTPアカウント情報の悪用が、国内 Web改ざん被害の2大原因であることを指摘しています。トレンドマイクロでも、Web改ざんの準備段階と思われる、FTP に対するブルートフォース攻撃を日本国内で実際に観測しており、特に FTPサーバのアカウント乗っ取りへの注意を高めるべきと考えています。観測されているようなブルートフォース攻撃に関しては、ログの監視により試行の段階で気づき、対処することが可能です。攻撃の試行や侵入に少しでも早く気づけるよう、監視により普段と異なるネットワーク内やサーバの挙動を可視化できる体制の構築が重要です。