増加するゼロデイ攻撃

ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたときに、問題の存在自体が広く公表される前にその脆弱性を悪用して行なわれる、いわゆる「ゼロデイ攻撃」が増加しています。その中でも最もターゲットにされやすい脆弱性として、Internet Explorer(IE)における脆弱性があげられます。今回はその事例を紹介したいと思います。

2009年7月4日を含む週末に、マイクロソフトのDirectShow ActiveXオブジェクトに存在する脆弱性を狙った大規模なゼロデイ攻撃が、中国の多くのWebサイトで見つかりました。 調査したところ、ハイジャックされたWebサイトが100個以上発見されました。このようなWebサイトには、現在も問題のトロイの木馬を配布している悪質なWebサイトへのリンクが挿入されていました。改変されたWebサイトの多くは、「悪質」とか「怪しい」といった印象を受けないサイトでした。例えば、教育機関のWebサイトや、地域コミュニティのWebサイトが乗っ取られたり改変されたりしていました。

ユーザーがWebブラウザで改変済みWebサイト(下図の「Hijacked website #1」)にアクセスすると、プロキシとして機能しているらしい「Hijacked website #2」へのリンクで誘導されます。Hijacked website #1のソースコードを調べても、このリンクが(Hijacked website #2という)無害なWebサイトを指していると思うでしょう。ところがHijacked website #2は、アクセスしてきたユーザーをWebエクスプロイトツールキットの配布元である、悪質なWebサイトへと導きます。

この攻撃で興味深い点を示します。このWebエクスプロイトツールキットは、アクセス元ドメインが「.gov.cn」(中国の政府機関)および「.edu.cn」(中国の教育機関)からでないことを明からさまに確認しているのです。他のドメインからのアクセスだった場合、ツールキットは以下のエクスプロイトをまとめて送りつけてきます。

  1. Exploit-MSDirectShow.b(ゼロデイエクスプロイト)
  2. Exploit-XMLhttp.d
  3. Exploit-RealPlay.a
  4. JS/Exploit-BBar
  5. Exploit-MS06-014

これらのエクスプロイトは,脆弱性の残っている可能性があり、IEからアクセス可能な「IE 6/7」「DirectShow ActiveX」「RealPlayer」「Baidu Toolbar」といったそれぞれ別のアプリケーションを狙います。

これまでの調査によると、このツールキットはハイジャックされた多くの中国系Webサイトでよく使用されていました。背後にいる攻撃者たちは、中国政府に気付かれることを避けたり、遅らせたりしようとしていると考えられます。

攻撃が成功すると、ダウンローダとして機能するトロイの木馬をパソコンに感染させ、他のマルウェアのダウンロードを行います。

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

[レポート]クラウド環境の現状レポートと今後 ~クラウドの安全性の状況と実用的ガイダンス

 マカフィーでは、1,400人のIT担当者に年次アンケートを実施し、クラウド採用状況やセキュリティについて調査しました。
 調査の結果、クラウドの採用とリスク管理への投資を増やしている組織がある一方で、クラウドの採用に慎重なアプローチをしている組織が多いことがわかりました。
 本調査では、クラウドサービスの利用状況を分類し、短期投資の確認、変化速度の予測、重要なプライバシーおよびセキュリティ上の障害物への対応方法の概要を示しています。

 本レポートでは、クラウドの現状把握と今後の方向性、クラウド対応の課題やポイントを理解することができます。

<掲載内容>
■ 主要調査結果
■ 調査結果から言える方向性
■ 課題への対応
■ 変化への対応力
■ 考慮すべき点:安全なクラウドの採用で事業を加速