脆弱性攻撃の脅威

脆弱性攻撃の脅威

脆弱性攻撃の脅威

「脆弱性」と「マルウェア」の関係

ソフトウェアにおける脆弱性とは、セキュリティ上の問題につながるような欠陥や、設計段階の見落としなどによる仕様上の問題点のことをいいます。 脆弱性攻撃は、脆弱性を利用してシステムに様々なダメージを与えます。例えば、マルウェアを外部から侵入させるために脆弱性を利用することが挙げられます。
マルウェアの脅威は、大きく分けて「感染手法」と「悪意ある活動」の2種類に分類することができます。「感染手法」とは攻撃者がリモートマシンに侵入して「悪意ある活動」を行うための方法であり、 昨今問題となっている標的型攻撃でも使われているような、脆弱性攻撃コードを含むPDFやMS-Officeファイルをユーザーに開くよう誘導し、ファイルを開かせることによって脆弱性攻撃を発動させ、 攻撃コードの実行によりバックドアを仕掛けるといったものがあります。「悪意ある活動」とは、標的型攻撃の例で説明すると、バックドアを仕掛けた後、端末を外部から乗っ取り、 端末上のアカウント情報や機密情報を外部の攻撃者に送信したり、システムを破壊してしまうといったものが挙げられます。

ここで重要なポイントとしては、マルウェアは「感染手法」がなければ「悪意ある活動」はできません。そして、「感染手法」には「脆弱性」が利用されるケースが多い ということです。脆弱性が利用されるようになった背景は幾つかありますが、一つはユーザーのセキュリティリテラシーが向上し、メールに添付されてきたexeファイルなどの 実行形式ファイルが開かれなくなってきたことが挙げられます。
また、脆弱性は日々発見されており、ユーザーの対策が後手に回りがちなため、攻撃が成功しやすいことも理由の一つです。 一昔前までは、こうした脆弱性を利用した攻撃はスキルの高い一部の攻撃者にしか実行できなかったのですが、昨今では、Exploit Kit(Exploit Pack)と呼ばれる脆弱性攻撃を簡単に行うための ツールキットがアンダーグラウンドマーケットで売買されており、ツールキットさえあれば比較的簡単に攻撃を実行することができます。 このようなExploit Kitは、Blackhole Exploit Kit、Incognito Exploit Kit、Phoenix Exploit Kitなど数多くの種類が存在しますが、ツールキットで利用される脆弱性は、 Internet Explorer、Java、Adobe Readerといったメジャーなクライアントアプリケーションに集中しています。また、ブラウザから起動できるものが上位を占めており、 Webを閲覧するだけでマルウェアに感染するドライブバイダウンロードという攻撃手法でインターネットから組織内のイントラネットへの侵入を意識していることが考えられます。つまり、 できるだけユーザーアクションを伴わない形で感染させるために脆弱性を悪用し、感染の自動化が図られています。 従って、守る側としては、クライアントアプリケーションの脆弱性管理が極めて重要であるといえます 【図解】ドライブバイダウンロードを利用した脆弱性攻撃の流れ

脆弱性対策の選択肢

脆弱性対策は、3つ考えられます。一つは、セキュリティ更新プログラム(パッチ)の適用です。最も確実で脆弱性対策の王道でもありますが、 脆弱性が公表されてからパッチを適用するまでに時間がかかるケースもあり、管理コストが大きいという問題もあります。二つ目は、アプリケーションの構成・設定の調整です。 サービスの無効化やアクセス権の変更、ファイル属性やレジストリの設定調整により回避可能な脆弱性も存在しますが、高度なセキュリティ知識が必要となります。 最後の一つは、ソフトウェアの削除です。脆弱性の影響を受けるソフトウェアをアンインストールすることで脅威を排除可能ですが、対象アプリケーションが不要な場合にしか選択できません。 予め、必要不可欠なものだけを利用することを徹底し、そのアプリケーションについて厳重に管理するというポリシーの運用も有効ですが、利便性に欠ける部分があります。 セキュリティ更新/プログラムの適用

脆弱性管理(パッチマネジメント)のプロセス

脆弱性対策として確実な手法であるパッチの適用を選択した場合、パッチマネジメントを行う上で、以下の図に示したプロセスが必要となります。 脆弱性は、OSや主要アプリケーションだけでも日々発生しており、システム担当者はこれらの脆弱性に対応するために非常に大きなコスト(工数)をかける必要があります。 また、場合によっては、パッチが適用されるまでの間に何らかのワークアラウンドが必要な重大な脆弱性が発見された場合は、当該脆弱性が影響するシステムを停止しなければならないケースもあり、 組織全体としてのITサービスレベルが毀損される可能性もあります。
パッチマネジメントを行う上でのプロセス

様々なパッチ管理ソリューション

こうした現状を少しでも緩和するため、様々なベンダーから脆弱性対策やパッチ管理を支援するソリューションが提供されています。 例えば、マイクロソフト社は、WSUSというパッチの一括配信・適用ツールを無償提供しています。また、Windows XP SP2以降で実装されたDEP(データ実行防止)や、 Windows Vistaで実装されたUAC、ASLR(アドレス空間配置のランダム化)などの脆弱性攻撃の緩和技術もあります。
また、資産管理ツールを利用すれば、組織内の情報資産のパッチ適用状況の把握や配布作業を簡易化することができます。 ただし、前述の脆弱性管理のプロセスのうち、脆弱性の情報取集や最も工数のかかる検証フェーズは対象外です。 IPSなどが提供している仮想パッチは、脆弱性管理プロセスのほとんどのフェーズをカバーしていますが、非常に高価です。

既存のパッチ管理ソリューションや脆弱性攻撃緩和技術の課題

これらのソリューションを効果的に利用することで、システム管理者の工数は削減され、システムセキュリティのレベルを向上させることができますが、 いずれも既知の脆弱性に対して効果を発揮するもので、未知の脆弱性、いわゆる0-day脆弱性には対応できません。
前述のDEPやASLRなどの脆弱性緩和技術は、組み合わせて利用すれば、既知・未知に関係なく脆弱性攻撃に対して有効に作用しますが、 DEPはバイパス技術が明らかになっていますし、ASLRはまだサードパーティベンダーの対応状況が芳しくなく、単体ではバイパスされやすいのが現状です。
0-day脆弱性に起因する問題が表面化している事例の数はそれほど多くはありませんが、以下の図に記載した事例はいずれも社会的な影響を及ぼしています。

【表】0-day 脆弱性を利用した攻撃事例
事例 脆弱性攻撃の対象アプリ 脆弱性(CVE)
Operation Aurora
(Google, Adobe, Symantec, etc...)
Internet Explorer CVE-2010-0249
RSA Security, 震災マルウェア Adobe Flash Player CVE-2011-0609
国内防衛産業 Adobe Flash Player CVE-2011-0611
ManTech
(米国国防総省請負企業)
Adobe Reader CVE-2011-2462

マルウェアに悪用されやすい脆弱性の存在

FFRIでは、日々様々なマルウェア解析や脆弱性分析を行っていますが、その結果からすべての脆弱性がマルウェアに利用されるわけではなく、 マルウェアに「悪用されやすい」脆弱性が存在することがわかっています。
「悪用のしやすさ」には、二つの要素があり、Exploitが持つ環境依存性によるもの(特定のアプリケーション、OSでのみ動作、もしくはそのバージョンにも依存)と、 攻撃安定性、言い換えると、脆弱性自体が持つ不安定性によるもの(攻撃成立に確率的な要素があり、100回に1回程度の確率で動作するなど)があります。

なお、近年では脆弱性攻撃が成功した場合でも、プログラムの権限を制限することで被害を限定的にするための セキュリティ機構(Goolge ChromeやAdobe ReaderのSandboxなど)が実装されたアプリケーションも出てきています。

FFRIの脆弱性攻撃対策

ポイントとしては、脆弱性が発見されても、「悪用のしやすさ」は脆弱性それぞれで様々であり、悪用するための攻撃手法の確立ができなければ脅威にはならないといえます。 FFRIでは、MITRE Corporation(米国政府向けの技術支援や研究開発を行う非営利組織)が個別製品中の脆弱性を対象として採番している共通脆弱性識別子「CVE」を基準として、 マルウェアに悪用される任意のコード実行を可能とするような脆弱性にフォーカスし、既知・未知に関係なく、脆弱性攻撃に対抗できるソリューションとして、FFRI yaraiに搭載されているZDPエンジンを開発しました。 ZDPエンジンは、前述の「0-day 脆弱性を利用した攻撃事例」の脆弱性をはじめ、様々な0-day脆弱性攻撃の防御実績があります。

※任意コード実行型脆弱性とは、攻撃者の意図する操作が可能となり、リモートから不正にシステムを操作し、システムを乗っ取ることが可能となるような脆弱性をいいます。

FFRIの脆弱性攻撃対策の提案

脆弱性対策の王道はパッチ管理ですが、世界的に有名な企業等が被害に遭った数々の事件で使われた脆弱性が 既知のものであったという報道も多数あり、実際問題として、すべてのパッチをリアルタイムに適用するのは難しいというのが実情です。
従って、パッチ適用コストと脆弱性に起因するリスクのバランスを取り、対応のプライオリティと対策方法を検討することが重要です。 判断材料としては、マルウェア攻撃に悪用される可能性が低い脆弱性、攻撃安定性の低い脆弱性(マイクロソフトのExploitability Indexなどの悪用可能性指標等を参考)、 FFRI yaraiのZDPエンジンで防御可能な任意コード実行型脆弱性というように分類し、優先順位を判断した上で、対策方法を検討するのが望ましいと考えています。

弊社では、製品提供だけでなく、セキュリティコンサルティングや、 セキュリティ対策における人材育成のためのトレーニングも提供しており、 お客様の抱えるサイバーセキュリティ上の課題解決に向けて包括的にご支援させていただきます。

pagetop