Scan Tech Report 特別転載 2009年上半期のセキュリティトピック | ScanNetSecurity
2024.05.05(日)

Scan Tech Report 特別転載 2009年上半期のセキュリティトピック

 Scan Tech Reportは、セキュリティ技術者と研究者に向けた、エクスプロイトコードを分析研究する、株式会社ラックの寄稿・協力のもと週刊で配信される有料メールマガジンです。2009年上半期レビュー原稿を、エクスプロイトコード部分を割愛して特別掲載します。エクス

特集 特集
facebookLINE
 Scan Tech Reportは、セキュリティ技術者と研究者に向けた、エクスプロイトコードを分析研究する、株式会社ラックの寄稿・協力のもと週刊で配信される有料メールマガジンです。2009年上半期レビュー原稿を、エクスプロイトコード部分を割愛して特別掲載します。エクスプロイトの具体例と分析はScan Tech Reportでご利用下さい。

Scan Tech Report
https://www.netsecurity.ne.jp/14_3698.html


 気がつくと暑い季節が到来しており、今年も折り返しとなりました。そこで、今回は2009年上半期のセキュリティニュースを振り返ってみたいと思います。今年の上半期のトピックはやはり次の2つのウイルス騒ぎではないでしょうか。

・Confickerワーム
・Gumbler / Nine-ball

● Confickerワームの猛威

 Confickerワームは2008年に報告されたワームですが、日本国内でアウトブレイクしたのは2009年2月頃からです。その感染方法や感染力は2003年のブラスターワームに例えられ、企業によっては数千台〜数万台規模での感染が確認されました。興味深いのは、あるセキュリティ調査を実施している企業では日本での感染は殆ど観測されていないということです。どういった調査を実施しているのかは不明ですが、少なからず筆者らの顧客をはじめとして、Confickerワームの駆除作業に多くの時間を費やした企業は少なくありません。

W32.Blaster.Worm
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html

 Confickerワームの特徴といえば、次の3点が挙げらます。

(1)Microsoft Windowsの脆弱性を悪用しての感染
(2)ネットワーク共有の感染
(3)外部記憶媒体からの感染

 特に話題になったのが(3)の外部記憶媒体からの感染です。autorun.infを悪用しWindowsの自動実行機能を悪用した感染は目新しい手法ではありません。しかし、Confickerワームは自動実行だけでなく、自動再生機能も悪用しました。その結果、ActiveDirectoryなどでドメイン管理によりセキュリティ設定を変更している組織でさえも感染の予防策を講じることが困難な状況となりました。

 また、もうひとつ話題となったのが、Conficker.Bで利用されたautorun.infの内容です。一見、可読性の無い中身になっており、内容がわかりづらく作成されています。良く目を凝らして確認すると、実行されるDLLファイル名が確認できます。

 一見、ブラスターワームと同じように報道されていましたが、そのメカニズムが解明されるにつれ、様々な工夫により感染力を高めたワームという印象があります。

● Gumbler(通称、GENOウイルス) / Nine-ball

 Confickerワームに続き、国内でも話題になったのが、Gumblerです。Gumblerは3月頃から報告されていましたが、国内で注目が集まったのはゴールデンウィーク頃からでした。このウイルスの動作は次の手順により感染します。

(1)悪意あるJavaScriptを挿入したWebコンテンツを閲覧したPCからFTPのアカウント情報を詐取
(2)(1)で盗んだFTPのID/パスワードにより、被害PCが管理するWebサーバにログイン
(3)Webコンテンツに悪意あるJavaScriptを挿入

 これらのウイルスは、(1)で悪意あるPDF、SWFファイルにより、Adobe ReaderとFlash Playerの脆弱性を悪用し、システムを乗っ取ります。その後、パスワードスティーラーをインストールすることでFTPアカウント情報を詐取しています。

 また、このGumblerの特徴は、PCからWebサーバを改ざんするための情報を詐取している点が興味深い点です。公開サーバへの侵入は、サーバへ直接攻撃が行われるものとの先入観を利用した間接的攻撃と言えます。

 現在、Gumblerの名前の由来となったgumbler.cnは存在せず、とりあえず終息しました。ところが、同様の手口により4万台以上のサイトを感染させたとされるNine-ballが登場しており、猛威を振るっています。

Nine-Ball Mass Injection - Details - Security Labs Blog
http://securitylabs.websense.com/content/Blogs/3422.aspx

 これらのウイルスは様々な情報が飛び交っており、正確な情報は掴めていません。筆者は確認できていませんが、次のような情報もあります。

・FTPのアカウント情報だけでなく、その他情報も盗まれている
・メール添付型も存在する
・2タイプ存在する

● 2009年後半を占う

 Nine-ballで話題になっているのが、「YES Exploit System」などのDrive by downloadで悪用する際のExploit生成ツールの存在です。これらのツールが有名になったのは、2007年に登場したMpackからであり、その多くがロシアで作成されたものです。これらのツールは有料で入手可能であり、0day Exploitを含んでおり、ユーザ側の防御が難しいことが特徴と挙げられます。このようなツールの普及により、暫くはWeb経由でのサイバー攻撃の続く事が予想されます。具体的には…

(※本記事は「Scan Tech Report Vol.341」掲載記事からエクスプロイトコードの具体例を割愛し、再構成して掲載しました)

Scan Tech Reportご購読の案内
https://www.netsecurity.ne.jp/14_3698.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  6. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  7. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  8. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  9. 「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

    「GMOサイバー攻撃 ネットde診断」Palo Alto、Cisco、SonicWall、OpenVPN に対応

  10. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

    ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

ランキングをもっと見る
ホーム 特集 特集 記事
TOP