「最新セキュリティ動向〜シフトする脅威」(2) | ScanNetSecurity
2024.04.27(土)

「最新セキュリティ動向〜シフトする脅威」(2)

攻撃目的と手法のシフトに応じ、守る側の手法に求められる変化とは?

特集 特集
facebookLINE
攻撃目的と手法のシフトに応じ、守る側の手法に求められる変化とは?

NTTデータ・セキュリティ株式会社
診断サービスグループ ペネトレーションテストチーム 辻 伸弘

昨年末にNTTデータ・セキュリティ株式会社が開催したセミナー「最新セキュリティ動向から見る脅威と対策」では、質的に様変わりしつつあるセキュリティ脅威の最新事情と、企業が取るべき効果的な対策について語られた。

なかでも、NTTデータ・セキュリティ 診断サービスグループ ペネトレーションテストチームの辻 伸弘氏による講演「最新セキュリティ動向 〜シフトする脅威」では、攻撃対象や目的の変化が生み出す新しい攻撃実態を、会場内に仮設したLANを実際に攻撃を行い、デモンストレーション形式で説明するという興味深い手法がとられた。当日の講演の模様をレポートしよう。

協力:NTTデータ・セキュリティ株式会社
http://www.nttdata-sec.co.jp/
───

>> アメリカの大手SNSに蔓延した SamyWorm の仕組

一般ユーザーのパソコンを攻撃対象として、ユーザーにWebブラウザでアクセスさせることで支配下に置き、悪意のある動作を実行させる例として、アメリカの大手SNS、MySpaceを震撼させたSamyWormが紹介された。

SamyWormとは、サミーと名乗る少年が、海外で有名なSNS、MySpaceの自己紹介ページに、クロスサイトスクリプティング(XSS)と呼ばれる脆弱性を利用したワームだ。サミーの自己紹介ページが、MySpaceの他のユーザーに閲覧されるたびに、XSSの脆弱性を利用した悪意のあるコードが、参照したコンピュータのバックグラウンドで実行され、参照したユーザの友達リストに勝手に追加され、そして追加されたユーザーの友達リストに、「サミーはわたしのヒーローです」という文章が付加されるという、嫌がらせを目的としたものであった

13時間で2,500人の友達が追加され、友達になりたいという自動リクエスト6400件を受け取ったという。

SamyWormのセキュリティ上の大きなシフトポイントは4つである。一つ目は、サーバと比べて圧倒的に台数の多い一般ユーザのPCを狙うことで大きな成果を上げることができることだ。二つ目は、ユーザにアクセスさせるというアクションだけで目的の動作を自動的に行うことができるという点。そして三つ目は、ブラウザがインストールされているのみでターゲットとすることができること。そして最後が、そもそもこの攻撃は、ターゲット側に、OSやソフトの脆弱性が無くても行われてしまうことである。脆弱性を必要としない点は、Java Script Malwareがボットと違う点でもある。攻撃者は特に攻撃用のサーバを用意しなくても、XSSの脆弱性がある第三者のWebサイトを利用するだけで攻撃が可能になる。

SamyWormの手法を巧妙かつ狡猾に仕上げたものが、「Java Script Malware(ジャバ・スクリプト・マルウェア)」である。これは、Java Script,Java Applet,CSSを利用しているのみで、OSやソフトウェアの脆弱性を一切利用しない攻撃手法であり。攻撃者が用意したURLにアクセスさせるという受動的な攻撃で、アクセスしてきたコンピュータの制御を奪うことが可能である。

制御を奪われたパソコンは、攻撃者によって「悪意のあるコードの実行」「ユーザーが現在表示しているページの取得」「任意のサイトへ誘導」「ブラウザクラッシュ」「キーログの取得」「DDoS」を実行させられてしまう。

>> Java Script Malware のデモ攻撃から

講演の最後では、デモ環境を使ってJava Script Malwareの実演も行われた。Windows2000 SP4 と IIS 上に、Java Script Malwareを仕込んだページを設置し、そこへ、Windows XP Proffessional SP2(修正パッチはすべて適用済み)でアクセスし、ページへアクセスしただけでJava Script Malwareが発動し、いとも簡単に攻撃者が犠牲となったパソコンに指令を送ることが可能となる様子が解説された。

攻撃者側のパソコンの攻撃管理画面のインターフェイスには、攻撃指令を下す「Commands」、攻撃対象のIPアドレスなどを表示する「Victims」、攻撃操作履歴を表示する「Logs」に分かれ、Commandsメニューには、「get cookie」「prompt」「get Mouse Log」「get clipboard」などの攻撃対象に送るコマンドのメニューが並んでいた。

>> まとめ、対策もシフトを求められている

講演の最後では、ここまで述べてきたように、これまであまり攻撃対象にならなかったファイアウオールに守られた内部ネットワークのコンピュータや個人パソコンでも、外部から操作することが可能であるため、管轄下にある信頼しているコンピュータが、いつなんどき、内なる敵へと豹変するかわからない。

そのため、現在必要とされているのは、脅威の存在と、システムのセキュリティレベルをよく知ることで、攻撃の手法と目的のシフトに合わせて、守る側の考え、手法もシフトするべきである、と結ばれた。

【取材・文:SCAN編集部】

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  5. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  6. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  7. 研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

    研究開発の推進責務が撤廃ほか ~「NTT法」改正法律成立を受け NTT がコメント

  8. RoamWiFi R10 に複数の脆弱性

    RoamWiFi R10 に複数の脆弱性

  9. 2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

    2024年第1四半期 IPA 情報セキュリティ安心相談窓口の相談状況、サポート詐欺被害時の漏えい可能性判断ポイントほか

  10. 脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

    脆弱性診断自動化ツール「AeyeScan」を基盤に「診断マネジメントプラットフォーム」を提供

ランキングをもっと見る
ホーム 特集 特集 記事
TOP