「Watering Hole」型攻撃はなぜ有効なのか

2012年12月下旬、米国の超党派組織「外交問題評議会」のWebサイトが、Internet Explorer(IE)に影響を及ぼすゼロデイの脆弱性を利用した不正プログラム(エクスプロイト)を組み込むように改変および変更されました。解析によると、攻撃は、ブラウザの言語が英語(米国)、中国語(中国)、中国語(台湾)、日本語、韓国語またはロシア語に設定されている場合のみ動作するように設定されており、特定の条件におけるユーザが影響するように設定されていることが明らかになっています。

マイクロソフトは、問題の脆弱性に対して2012年12月29日、「セキュリティアドバイザリ(2794220)」を公表しました。トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」をご利用のお客様は、すでに以下のフィルタによって保護されています。

  • 1005297 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792)
  • 1005301 – Identified Suspicious JavaScript Encoded Window Location Object
  • 1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated
  • 上記のフィルタは、問題のエクスプロイトコードの亜種すべてを検出するように設定されています。

    攻撃者は、マイクロソフトのIEに存在する「解放後使用の脆弱性」により、任意のコードを実行することが可能となります。マイクロソフトのブログでも報告があったように、トレンドマイクロは、これまでに報告されたすべての標的型攻撃がエンコード化または難読化されたJavaScriptの「Window Location」オブジェクトによって引き起こされることを確認しています。通常、このオブジェクトは、現在表示しているウィンドウの「location」オブジェクトを変更する際に用いられます。この脆弱性は、解放されている「cButton」オブジェクトが原因であり、ページの再読み込み中に利用される参照先は、現在のユーザのコンテキストで任意のコードの実行をもたらす無効なメモリ位置を指すようになります。なお、この脆弱性は、IE のバージョン 6、7 および 8 に影響しますが、より新しいバージョンである 9 および 10 には影響ありません。

    ■昔から確認されている手法だが効果的
    「Watering Hole(たまり場という意味)」型攻撃は新しいものではないことを、トレンドマイクロでは、これまでにも言及してきました。実際、このような手法の利用を、早くも2009年には確認しています。ただし同時に、トレンドマイクロでは、Watering Hole型攻撃は、将来より一般的になり、主に標的型攻撃に利用されると考えます。

    ■なぜ今後「Watering Hole」型攻撃が一般的になるのか
    この回答の一つとして、トレンドマイクロのCTOである Raimund Genes は、2013年におけるセキュリティ予測のなかで述べた「攻撃者は、不正プログラムの開発行為ではなく、どのようにしてより脅威を展開するかという点により焦点を当てるだろう」という予測が相当するのではないでしょうか。攻撃者は、攻撃を行う前にその標的の情報を収集しておき、収集情報を利用し、目的を達成するためのより効果的な手法を考えます。

    Watering Hole型攻撃の内容を確認すれば、この攻撃で利用されている手法は、一般的によく知られているものであることがわかるでしょう。しかし、標的型メールが典型的なスパムメールよりも効果的であるのと同様に、事前に収集した標的の情報から標的の閲覧する可能性の高いサイト(たまり場)を狙うこの攻撃は他のWeb改ざんやゼロデイ攻撃と異なるレベルの脅威をもたらします。攻撃者は標的から事前に収集した情報を利用することで、見破ることが非常に困難なソーシャルエンジニアリングの手法を生み出すことができるため、必要以上に高度なツールを作成する必要が無くなりました。そして、ユーザが正しく理解しておくべきことは、攻撃者は、単にソフトウェアの脆弱性のみを利用するのではなく、ユーザ自身をも利用しているということです。

    Tom Kellermann および Nart Villeneuve は、「トレンドマイクロは、2013年、より多くの Watering Hole型攻撃を確認することになるでしょう。そのため、ユーザは、今回のような攻撃や他の攻撃と同じくらい戦略的な解決策を考えることが重要になります」と述べています。

    参考記事:

  • Why is the Watering Hole Technique Effective?
     by JM Hipolito (Technical Communications)
  •  翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)

    【更新情報】

    2013/01/24 12:00 トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」の以下のフィルタ名が更新されました。

    更新前:1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated
    更新後:1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) – 2