ネットワーク機器がホームページ改ざん幇助:ARPスプーフィングの脅威

 ホームページに脆弱性を突いた不正なスクリプトが埋め込まれる事例が相次いでいます。

 その埋め込み手法は様々です。これまで、バックエンドにデータベースサーバを抱えた環境が標的となり、SQLインジェクションにより埋め込まれた事例に関心が高まっていました。しかしながら、バックエンドにデータベースサーバを抱えていない環境においても、不正なスクリプトの埋め込み脅威にさらされています。

 今回は日本国内にて確認されたホスティング業者のネットワーク機器:ルータがハイジャックされ、ホームページ改ざんを幇助した事例について紹介いたします。

■相互通信と機器の役割

 今回の攻撃を理解するには、ネットワークにおけるデータ取り扱いの背景を知る必要があります。ここでは、誤解を恐れず、簡単に説明したいと思います。

 ネットワークの世界では、各コンピュータが相互通信を行う際、MACアドレスと呼ばれる識別番号を頼りに通信先の特定を行っています。しかしこのMACアドレス、近接した領域内でしか取り扱うことができません。そこで離れたネットワークとの通信に対し、MACアドレスの取り次ぎを行うルータが導入されます。ルータはネットワークの間に陣取り、ARP(Address Resolution Protocol:アドレス解決プロトコル)と呼ばれる規則に従って、MACアドレスの登録台帳をリアルタイムに管理、問い合わせに応じて離れたネットワークのMACアドレスをコンピュータへ伝えます。

■ARPスプーフィング

 では、ルータに登録されているMACアドレスの登録に偽りがあった場合、相互通信はどうなるでしょうか。または、問い合わせに対して虚偽の情報が伝える可能性も考えられます。コンピュータは虚偽の宛先が伝えられたとは気付くことなく、本来の相手とは通信できず、偽りの相手との通信が行われます。

 この種の攻撃は、ARPという規則の特性を悪用し、偽った情報を伝えることから「ARPスプーフィング」と呼ばれています。今回確認された攻撃では、この攻撃手法によって、HTTP通信をハイジャックし、不正なスクリプトの挿入が行われています。

 その手法を図1にて図解してみました。正常な状態であれば、青矢印のとおりルータを経由し、ウェブサーバへとたどり着きます。これに対し、ARPスプーフィングの脅威に晒されている環境においては、ルータとの直接やりとりは阻害され、必ず不正コードの注入を行うコンピュータを介した通信が行われるようになります。

図1 ARPスプーフィングによる不正コードの注入
図1 ARPスプーフィングによる不正コードの注入

 不正コードの注入を行うコンピュータは自身がルータであるかのような宣言を行います。ウェブサーバへのアクセスを試みているコンピュータはこの宣言を信頼し、不正コードの注入を行うコンピュータに問い合わせを行います。問い合わせを受け取った不正コードの注入を行うコンピュータはルータへ要求の転送を行います。そして要求に対する返答を実施する際には、ウェブサーバからの返答結果に細工(すなわち不正コードの注入)を行った上で、アクセス元へデータを送信します。これにより、攻撃は成立です。

■古典的ながらもたらされる被害は甚大

 この攻撃手法は決して新しいものではありません。2007年10月に報告された、中国のセキュリティ組織Chinese Internet Security Response Team(C.I.S.R.T.)に対する攻撃においても、本手法が悪用されていることが報じられています。

 古典的な攻撃手法ながら、その脅威は現役です。ウェブサーバ上に設置されているコンテンツには何ら手を加えられていません。このため、攻撃手法の特定までに時間を要する危険性があります。また、たとえ1台の汚染コンピュータが要因であったとしても、その管理下におかれる全てのコンピュータは例外なく不正コードが注入されることになります。それはすなわち、感染規模によらず、大規模な被害がもたらされることを意味します。

■攻撃に対する対応

 攻撃を予感させる傾向を検出した場合、利用コンピュータに登録されているルータのMACアドレスと正当なルータのMACアドレスとの比較を行うことが有効です。「arp -a」コマンドオプションは利用コンピュータのMACアドレス登録状況をリストアップするのに役立ちます。

 また、感染コンピュータはすべての通信を受け付けるため、「プロミスキャス・モード」と呼ばれる特殊な状態にて動作している可能性があります。このため、「プロミスキャス・モード」検出機能を備えたソフトウェアを使用し、感染端末特定作業を進めることも有効です。

 脅威を特定できたとしても、その要因を取り除くことは容易なことではありません。要因除去が完了するまでのセキュリティ空白時間に対する緩和策を用意しておくことが望まれます。「Webレピュテーション」は緩和策としての役割を期待できます。埋め込まれた不正コードによる転送先を悪意あるページとして、その接続を拒否する機能を提供しています。

■Webレピュテーションの搭載製品

製品名 対策場所
InterScan Gateway Security Appliance ゲートウェイ(アプライアンス)
InterScan Web Security Appliance ゲートウェイ(アプライアンス)
ウイルスバスター コーポレートエディション サーバ/クライアント
ウイルスバスター クライアント

※InterScan Web Security Suiteはバージョン 3.1で対応予定です。2008年6月2日(月)からの出荷開始を予定しております。
※製品によって、対応している機能が異なります。

 正規サイトが改ざんされるケースはユーザの警戒心も低いため非常に危険であり、逆に攻撃者側から見れば狙いどころといえます。セキュリティ対策製品を上手く活用し、安全なインターネット環境でお楽しみください。

Related posts:

  1. アメリカ合衆国独立記念日にちなんだ文面でウイルス感染サイトへ誘導するスパムメール
  2. ASP技術を採用しているウェブサイトにて改ざん被害が広がる
  3. 改ざん被害拡大の一因は、不当な営業活動を広げる偽セキュリティソフトウェア
  4. 2013年 年間セキュリティラウンドアップ:金銭を狙う攻撃が世界規模で拡大