[特別寄稿] MITB の脅威と対策後編

●MITBが用いられた事例

では、MITBが用いられた具体的な事例について見ながら、その脅威について見てみましょう。

・Gumblar

2009年～2010年に世間を騒がせたGumblar攻撃は、多くのWebサイトが改ざんされたことでご存知の方も多いでしょう。実は一般的な報道ではあまり語られなかったものの、この攻撃によってインストールされるマルウェアにはMITBを行う機能があったのです。Gumblar攻撃は亜種も含めると攻撃手法が比較的多岐にわたるため、今回はその一例を見てみましょう。

Gumblarマルウェアが書き換えたWebサイト、または攻撃者が書き換えたWebサイトを閲覧すると、当時未修正だった複数の脆弱性を用いてマルウェアのコンポーネントがインストールされます。これは他のマルウェアをダウンロードする (Drive-by-Download攻撃) 役目を果たし、様々な活動が行われてしまいます。実はこの一連の活動の中で、MITBが用いられたのです。

GumblarがインストールするDaonolマルウェア (Katesとも呼ばれる) の一種はシステムの設定を変更し、Webブラウザを含むほとんどすべてのプロセスに入り込みます。この状態でGoogle、YahooまたはBingによる検索を行うとマルウェアのコードが起動し、特定の検索結果を書き換えて被害者を不正なサイトに誘導しようとするのです。この攻撃は比較的気づかれやすいとはいえ、システムに深く入り込んで悪意ある挙動を実現するという意味では特筆すべきものです。

・Operation High Roller

近年MITBは、オンラインバンキング等を狙う攻撃のための使用例が増えつつあります。Operation High Rollerと呼ばれる大規模な金融詐欺もこのひとつです。2012年に発生したこの攻撃では主にヨーロッパ諸国と南北アメリカの富裕層が標的とされ、この中ではMITB攻撃を行う機能を持つマルウェアが用いられました。被害額は、日本円にして60億円から2000億円と推測されています。

この攻撃において、特にヨーロッパにおいて実際に行われた活動を米McAfee社のレポートから見てみましょう。まず攻撃者は標的を絞り、リンクを含んだメールを送信します。被害者がフィッシングメールに書かれたリンクをたどると、幾つかの脆弱性を用いてコンピュータにマルウェアがインストールされてしまいます。ただしこの段階では攻撃者にとって重要なことは起こりません。

本当に重要なのは、この状態で被害者がオンラインバンキングにログインした後のことです。このとき、インストールされたマルウェア (ZeuSやSpyEyeの一種) はブラウザが表示するページにJavaScriptを書き込み、“セキュリティ強化” の名目で二要素認証の情報を入力させる画面を表示します。ここで情報を入力してしまうと、背後では二要素認証を突破して攻撃者の持つ口座への送金が実行されてしまいます。またマルウェアがMITBによって口座の残高や履歴を改ざんするため、被害者が不正送金の事実に気づきにくいようにもなっているのです。

●MITBへの対策

このようにMITBは今までの攻撃と比べて極めて気づかれにくい脅威ではありますが、一方で技術的に対抗ができないわけではないのです。MITBへの対策は、銀行側の対策、ユーザー側の対策がそれぞれ複数提案されています。幾つか見てみましょう。

まず、振込などの重要な操作については携帯電話など別の手段で認証を行う手法が提案されています。これは二要素認証の一種ですが、MITBによってコンピュータが乗っ取られていた場合にも機能するという点では大きな意味があります。

また一部のベンダーが銀行に提案しているのが、リスクベース認証と呼ばれる追加のセキュリティ機構です。これはユーザーの行動履歴をあらかじめ蓄積しておき、普段の使われ方とは異なる特徴を見つけた場合に取引を中止したり別の手段で認証を行ったりする仕組みです。銀行のシステムに大きな改変が必要になるものの、銀行とその顧客からみた多量の金銭的被害を最小限に抑えるという観点からは有効だと考えられています。

またMITBが行うブラウザの乗っ取りは技術的に検出が困難というわけではありません。そのため、既存のアンチウイルスソフトウェアは既存のMITBマルウェアを検知する、ないしはヒューリスティック検知によって一般的なMITB攻撃に固有の活動を検出する機能を持つ場合があります。また、ブラウザを保護する専用の機能を備える統合セキュリティ製品もあります。

一方でオンラインバンキングを利用するすべてのユーザーがそのようなセキュリティ製品を利用しているとは限りませんし、銀行なども大きなシステムの改変を行うのが難しいという事実があります。

●FFRIにおけるMITB対抗技術

そこでFFRIは技術的に対抗するため、ユーザーのブラウザを積極的に保護する技術開発を行っています。これにより、ユーザーは少なくとも特定サイトを閲覧している間は安全な取引を実現できるようになることが期待できます。

この技術のコンセプトは比較的単純です。ユーザーが特定サイトにおいて保護されたログインを選択するとFFRI Limosaのセキュリティモジュール (ブラウザ拡張) がインストールされ、保護された状態のブラウザが立ち上がります。保護されたブラウザにおいては特定インタフェースなどによる干渉がブロックされているため、仮にユーザーのコンピュータがキーロガーやMITB攻撃を行うマルウェアに感染していたとしても、各種のマルウェアによるブラウザへの干渉を阻止することができます。

我々はこのコンセプトに基づく製品であるFFRI Limosaを年内に提供開始する予定です。一部の統合セキュリティ製品にしか搭載されないようなブラウザ保護を実現するFFRI Limosaをオンラインバンキングなどの重要なWebサイトを通じてユーザーに提供することにより、すべてのユーザーがMITBやキーロガーなどの脅威に対して基本レベルの保護を受けられるようになると期待しています。

●FFRI Limosaシステム要件(予定)

対応OS
・Windows XP（32ビット版）
・Windows Vista（32ビット版）
・Windows 7（32/64ビット版）

対応ブラウザ
・Internet Explorer 8および9（32ビット版）

（大居司）

著者略歴：株式会社フォティーンフォティ技術研究所　技術戦略室　リサーチエンジニア