攻撃者の狙いは「サーバ」、「モバイル」、「人」の脆弱性～2013年第2四半期国内外の脅威動向（2）

トレンドマイクロは、国内外のセキュリティ動向や傾向を分析した報告書「2013年第2四半期セキュリティラウンドアップ」を公開しました。

国内外における脅威の動向を踏まえると、今期は「サーバ」、「モバイル」、「人」の脆弱性が狙われる傾向にありました。「サーバ」は、Webサーバ上のミドルウェアの脆弱性が狙われた例が特徴的です。「モバイル」においては、ほぼ99%のAndroid向け端末に影響する脆弱性を狙った不正プログラムと、攻撃に必要な複数の機能を備えた多機能型不正アプリが注目されました。また、パスワードの使い回しを狙った攻撃を始め、SNSやアプリを利用した巧みな騙しの手段など、あらゆる場面で「人」の心理の脆弱性を突いた攻撃がみられました。

以下で、詳しい攻撃の事例と、ユーザが必要な対策についてみてみましょう。

●モバイル端末の脆弱性を感染経路に利用

モバイルに関して注目すべき攻撃事例として、Android端末の脆弱性に関する事例が2つあげられます。

まず、「マスターキー」と呼ばれるAndroid向け端末のほぼ99%に存在する脆弱性が確認されました。Android用アプリでは、通常、開発者が開発したアプリは、その完全性を担保するものとしてデジタル署名で保証します。そのため、バージョンアップなどの目的で正規アプリに変更を加える場合、正規開発者のみが保有する「署名キー」が必要となります。しかし、この「マスターキー」の脆弱性を利用すると、攻撃者が「署名キー」なしで不正な改変を加えることができるため、インストール済みの正規アプリを不正なバージョンに更新させることも可能となります。

さらに、Android端末の脆弱性を狙った「OBAD」ファミリと呼ばれる不正プログラムが確認されました。感染した場合、端末内のルート権限が奪われ、攻撃者が外部から端末を自由にコントロールすることができます。これは、PCにおける「バックドア」や「ルートキット」といった不正活動にあたります。この「OBAD」は管理者権限を有効化するため、ユーザに対して承認を促す目的で繰り返しポップアップメッセージを表示させます。さらに、セキュリティソフトによる検知や削除を困難化するために、コードの難読化で自身の隠蔽を行います。これは、非常に多機能、かつ高機能な不正プログラムだといえます。

これらの事例は、PCへの攻撃と同様に、より高度で洗練された攻撃が、モバイルに対しても脅威となり始めていることを表しています。モバイル向けのセキュリティ対策としては、不正プログラム検出という観点だけでなく、怪しいアプリの挙動を評価することができるような、総合的なセキュリティソフトの導入が重要です。また、信頼できるマーケットからアプリを導入することも必要だといえます。

●SNS上で行われるアカウントの「乗っ取り」と外部Webサイトへの「誘導」

そのほかに顕著なサイバー攻撃の傾向としては、SNSが攻撃の場となる傾向が、前四半期から続いていることが挙げられます。攻撃者の狙いは、ユーザのアカウントの「乗っ取り」を行い、情報詐取を行うサイトや、金銭的利益に繋がるワンクリック詐欺サイトへアクセスさせることです。例えば、芸能人などを装ってユーザを巧みに誘導するサクラサイトなどの手法を用いて、SNSの外に誘き寄せて、様々なWebサイトに「誘導」させようとします。

例えば、国内におけるFacebookを悪用した攻撃事例としては、ユーザの所属する組織の構成員や、既に友達である別のユーザを装った名前やプロフィールを用いたアカウントで友達申請を送り、その後、外部サイトに誘導するURLがメッセージで直接送られる事例が確認されています。

このような攻撃事例を予め把握しておき、SNS上での知らない人物からの友達申請を簡単に許諾せず、たとえ実際の知り合いのように見えたとしても、念入りに確認することが必要です。また、SNS上で個人を特定できる情報をむやみに掲載せず、情報の公開範囲については常に適切な範囲かどうかを自身で把握しておきましょう。

また、国外では、様々なサービスで使われる「共通ID」を乗っ取ろうとする手口が確認されています。例えば、Apple IDの窃取を試みるフィッシングサイトが確認されました。この場合、攻撃者が一つのIDの奪取に成功した場合、iTunes、App Storeなど複数のサービスを同時に乗っ取ることができます。

さらに、マルチプロトコルに対応したインスタントメッセンジャーも悪用されており、複数のインスタントメッセンジャーのサービス間連携が悪用され、１つのメッセンジャーから複数のサービスにワームを拡散させる事例を確認しています。

この2つの事例の共通点は、攻撃者が共通IDや単一のメッセンジャーなど、1つの入口から、幅広い範囲への効率的な攻撃を試みている点です。ユーザは、被害を受けた場合に、他への影響度が大きいと思われるサービスやアカウントを特に慎重に取り扱うべきだといえます。また、フィッシング詐欺サイトなどでIDを奪われないよう十分注意するほか、不審なURLをクリックしない、不正サイトへのアクセスを防ぐWebレピュテーション技術を搭載したセキュリティ製品を利用するなど、基本的な対策が重要だといえます。

●「3つの脆弱性」を突いた攻撃を受けないための対策とは」

今四半期は「サーバ」、「モバイル」、「人」の3つの脆弱性を狙う国内外の攻撃事例を確認しました。

Webサイトの管理者にとっては、サーバの対策でこれまでも重視されていた、OSやWebサーバのアプリだけではなく、ミドルウェアの脆弱性にも目を向けることが大切だといえます。さらに、Webの改ざんを防ぐための管理アカウントの管理の徹底や、改ざんに早期に気付くためのシステムの変更監視が重要です。ユーザは、Webレピュテーション技術などの利用による、不正サイトへのアクセスブロックなども脅威から身を守るための重要な対策です。

さらに、ユーザ1人1人が利用端末やサービス、様々な対象に対する必要なセキュリティ対策を把握し、普段から攻撃者の騙しの手法にあわないように心構えをすることが重要です。組織内では、ID・パスワードの管理や、SNS上の脅威などについて、従業員が必要な対策について見識を深められるように教育を行うことも重要だといえるでしょう。（Trend Micro）

※本記事は「TREND PARKコアテク・脅威インテリジェンス」から転載しました※