2010年を振り返る － ３）次々に狙われた脆弱性。全体像に迫る

そのため、「ウイルスバスター コーポレートエディション」のプラグイン製品である「Trend Micro 侵入防御ファイアウォール」や「Trend Micro Deep Security（トレンドマイクロ　ディープセキュリティ）」など「仮想パッチ」の技術を取り入れた対策を取り、脆弱性を突く攻撃から常に身を守る必要があります。

近年、セキュリティ研究者もサイバー犯罪者も「サードパーティ」製アプリケーションに存在する脆弱性に注目しています。「サードパーティ」とは、コンピュータ本体のメーカーとは直接関係のないメーカーを指し、具体例として、”Adobe Reader” や “Java”が挙げられます。Webサーバなどのインターネットで利用されるサービスや Windows といったコンピュータの OS は、たびたびサイバー犯罪者から攻撃の的として悪用されてきたことから、セキュリティ対策の実施状況が比較的高いといえます。しかし、多くのサードパーティ製アプリケーションには、「Windows Update」機能のような定期的なセキュリティ自動更新システムがまだ用意されていません。このため、ユーザのコンピュータに未修正の脆弱性が存在する危険性も高くなります。これらのことから、サイバー犯罪者がサードパーティ製アプリケーションの脆弱性を攻撃対象として注視することは当然のことだといえるでしょう。

ある脆弱性情報データベースサイトを参考に、「PoC（概念実証型エクスプロイト、実際に有効な攻撃ができることを実証している攻撃コード）」として公開されている脆弱性数を見てみます。ここでは、人気ブラウザとして “Internet Explorer（IE）” と “Mozilla Firefox” を、サードパーティ製アプリケーションとして Adobe製品と Java を選択しました。これらの脆弱性が利用されると、該当ブラウザまたはアプリケーション上で、リモートでコードを実行することが可能となります。

上記の表で示されているように、サードパーティ製アプリケーションの脆弱性数は、人気ブラウザの脆弱性数の 2倍となっています。最新のパッチを適用していない Adobe製品と Java を保有するコンピュータはかなり存在すると考えられるため、これらのアプリケーションの脆弱性を悪用する不正プログラム（エクスプロイト）は、何度も繰り返し利用されています。さらに、こういったエクスプロイトは、ネットワーク型の不正侵入防御システム（IPS）による防御を回避するために難読化されている場合もあります。

2010年に報告された深刻な脆弱性の中でも、実際に大きな影響があったものとして以下が挙げられます。

• IEの “iepeers.dll（Internet Explorer Peer Objects）” の脆弱性。これにより、リモートでコードが実行
  • MS10-018:Internet Explorer 用の累積的なセキュリティ更新プログラム（980182）
  • CVE-2010-0806（英語のみ）
• Java Web startの脆弱性
  • CVE-2010-1423（英語のみ）
• Windows XP および Windows Server 2003 に含まれる Windows のヘルプとサポート センター機能に存在する脆弱性
  • MS10-042:ヘルプとサポート センターの脆弱性により、リモートでコードが実行される（2229593）
  • CVE-2010-1885（英語のみ）
• Windowsのショートカットファイルの脆弱性
  • MS10-046:Windows シェルの脆弱性により、リモートでコードが実行される（2286198）
  • CVE-2010-2568（英語のみ）
  • ※関連記事：
    ・トレンドマイクロ セキュリティブログ：サイバー攻撃に利用！？　USB悪用の新たな脅威「スタクスネット」
• Adobe Acrobat／Adobe Readerにおける “cooltype.dll” のフォント解析コードに起因するバッファオーバーフローの脆弱性
  • APSB10-21:Adobe ReaderおよびAcrobat用セキュリティアップデート公開
  • CVE-2010-2883（英語のみ）
  • ※関連記事：
    ・トレンドマイクロ セキュリティブログ：Adobe PDF関連製品にゼロデイ脆弱性が！
    ・ウイルスデータベース：「TROJ_PIDIEF.ZAE」
• アプリケーションが外部ライブラリをロードする方法に関する脆弱性。これにより、リモートネットワーク共有を経由したDLLプリロード攻撃が実行される
  • マイクロソフト セキュリティ アドバイザリ (2269637):安全でないライブラリのロードにより、リモートでコードが実行される

さらに2008年後半に初めて確認された「WORM_DOWNAD（ダウンアド）」（別名：Conficker）が、2010年にも依然として確認されたことも特筆すべきでしょう。このワームは、「Windows Serverサービスの脆弱性（MS08-067）」を利用した感染拡大を実行することで知られており、いまだにその勢いが衰えていないことから、引き続き注意が必要です。

脆弱性が利用されると、どのような不正プログラムがユーザのコンピュータ内に作成され、または、ダウンロードされるのでしょうか。2010年を振り返ると、脆弱性利用後、情報収集型不正プログラム「ZBOT」が作成、またはダウンロードされる傾向にありました。特に、PDFファイルやIEのプラグイン「ActiveXコントロール」の脆弱性を突く脆弱性利用型不正プログラムが、ZBOTを拡散する目的で頻繁に用いられたようです。

◆　◆　◆　◆　◆

脆弱性を悪用する脅威を振り返ってみると、ユーザにとって、ソフトウェアに修正パッチを適用し脆弱性から身を守ることがいかに重要であるかがよく分かります。そのためにも、以下を参照し対策を取ることをお勧めします。

• Have You Patched Your System Lately?（英語のみ）
• Zero Day Vulnerabilities Risk Overblown（英語のみ）

■脆弱性に関する記事：

• セキュリティ最前線：
  • “Adobe Flash Player” の新たな脆弱性が悪用される
  • iOSの脆弱性を悪用し「iPhone」「iPad」などに対応するJailｂreakツール
  • “Adobe Flash Player”のゼロデイ攻撃
  • 相次ぐInternet Explorerのゼロデイ攻撃
  • IEの脆弱性を悪用したゼロデイ攻撃
• トレンドマイクロ セキュリティブログ：
  • いまだに「ダウンアド」は企業ネットワークの脅威－2010年12月の脅威動向を振り返る
  • 「mstmp」は「ガンブラー」？　Adobe製品へのゼロデイ攻撃ふたたび！－2010年10月の脅威動向を振り返る
  • 「一太郎」の新たなゼロデイ攻撃確認　情報収集が目的か？
  • アフィリエイトによる金銭取得が目的か!? －“mstmp””lib.dll”攻撃続報
  • 国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム
  • Adobe製品へのゼロデイ攻撃、広告配信システムを通じた「Webからの脅威」－2010年9月の脅威動向を振り返る
  • Flash Playerに新たな脆弱性が！　この脆弱性利用の攻撃も確認
  • ※その他の脆弱性関連記事については、こちらをご参照ください。

参考記事：
「2010 in Review: The Vulnerability Landscape」
　by Abhishek Bhuyan (Senior Security Researcher, Trend Micro)

　翻訳・編集：橋元 紀美加（Core Technology Marketing, TrendLabs）