現代ハッカーの基本テクニック - JARを利用した攻撃手法「GIFAR」【前編】

●経済危機の裏で

　低迷し続ける景気を他所に順調に売上げを延ばしている業界がある。某テレビ番組ではマクドナルドやワタミといった好調企業が紹介されていた。しかし、この世界的大恐慌の中、儲かっているのは彼らだけではない。景気低迷と反比例して儲けているのが、アンダーグラウンド業界だ。彼らのビジネスモデルは如何にコンシューマのクライアントPCに悪性プログラムをインストールすることができるかが勝負となる。そのため、その手口は日々巧妙化していると言っても過言ではないだろう。

　さて、彼らの最近の手口であるが、ビジネスや生活の一部がWebを核とするようになり、攻撃者たちはWeb経由での攻撃に注力していることが分かっている。その典型がWebサイトへの悪性コード（JavaScriptなど）の埋込みだろう。

　簡単におさらいをしておくと、

●Web経由での攻撃例1

(1)WebサイトへSQLインジェクションにより攻撃！

(2)コンテンツを改ざんし、悪意あるサイトへ誘導するための悪性コードを挿入！

といった内容だ。ところが、(2)でFlash Playerのゼロデイが悪用された頃から、さらに手口は巧妙になり、FlashにAction Scriptを埋込む攻撃までが出て来た。

●Web経由での攻撃例2

(1)バナー広告（Flash）に悪意あるActionScriptを挿入

(2)メールやURLリンク、ブログ等から誘導

　この手口はAdobe Readerの脆弱性を狙った悪意あるPDFファイルにも応用されている。このように、もはやWebコンテンツそのものが攻撃の道具として悪用され始めているのである。これらの攻撃を完全に防ぐことは中々難しいのが現状であり、ベストエフォートとしてFirefox+NoScriptによるWebブラウジングが現実解となっている。

　そんななか、また新たにClient-Sideを狙った厄介な攻撃手法が報告され注目を集めていることをご存知だろうか。この攻撃手法は「どこにでもある画像ファイルやOfficeファイル」に悪意あるJavaアプレットを埋込む「GIFAR」と呼ばれる技術だ。見た目もGIFファイルそのものであるため見抜くことが難しいうえ、他の攻撃との組合せが可能であるため、その影響度が大きいとされている。

●画像ファイルを偽った攻撃

　画像ファイルやFlashを用いた動的ファイルは、Webコンテンツに必ずといってよい程利用されている。もはやWebには必要不可欠な存在といえるだろう。これらのデータに悪性コードが混入された場合、多くのユーザが対処に困るはずだ。

　「GIFAR」とは昨年8月に報告された攻撃手法である。実はこの攻撃は今年2月にWhitehat SecurityのCTOであるJeremiah Grossmanをはじめとしたセキュリティ専門家が選ぶ「Top Ten Web Hacking Techniques of 2008」で見事（？）1位を獲得した攻撃手法なのである。日本では殆ど話題になっていないので知る読者は少ないと思われるが、世界的にはかなり問題視されていた。もしかすると、毎年恒例のIPA（情報処理推進機構）が発行する「情報セキュリティ白書2009 - 10大脅威」には選ばれているかもしれない…

【執筆：二根太】

【関連記事】
Black Hat Japan 2008 GIF＋JAR＝GIFARファイルでドメインベースの信頼は破
壊される　ネイサン・マクフィーター氏
https://www.netsecurity.ne.jp/3_12364.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw