セキュリティ・レポート

標的型攻撃の脅威

標的型攻撃の脅威

「脆弱性」と「マルウェア」の関係

 ソフトウェアにおける脆弱性とは、セキュリティ上の問題につながるような欠陥や、設計段階の見落としなどによる仕様上の問題点のことをいいます。脆弱性攻撃は、脆弱性を利用してシステムに様々なダメージを与えます。例えば、マルウェアを外部から侵入させるために脆弱性を利用することが挙げられます。
 マルウェアの脅威は、大きく分けて「感染手法」と「悪意ある活動」の2種類に分類することができます。「感染手法」とは攻撃者がリモートマシンに侵入して「悪意ある活動」を行うための方法であり、昨今問題となっている標的型攻撃でも使われているような、脆弱性攻撃コードを含むPDFやMS-Officeファイルをユーザーに開くよう誘導し、ファイルを開かせることによって脆弱性攻撃を発動させ、攻撃コードの実行によりバックドアを仕掛けるといったものがあります。「悪意ある活動」とは、標的型攻撃の例で説明すると、バックドアを仕掛けた後、端末を外部から乗っ取り、端末上のアカウント情報や機密情報を外部の攻撃者に送信したり、システムを破壊してしまうといったものが挙げられます。

 ここで重要なポイントとしては、マルウェアは「感染手法」がなければ「悪意ある活動」はできません。そして、「感染手法」には「脆弱性」が利用されるケースが多いということです。脆弱性が利用されるようになった背景は幾つかありますが、一つはユーザーのセキュリティリテラシーが向上し、メールに添付されてきたexeファイルなどの実行形式ファイルが開かれなくなってきたことが挙げられます。
また、脆弱性は日々発見されており、ユーザーの対策が後手に回りがちなため、攻撃が成功しやすいことも理由の一つです。一昔前までは、こうした脆弱性を利用した攻撃はスキルの高い一部の攻撃者にしか実行できなかったのですが、昨今では、Exploit Kit(Exploit Pack)と呼ばれる脆弱性攻撃を簡単に行うためのツールキットがアンダーグラウンドマーケットで売買されており、ツールキットさえあれば比較的簡単に攻撃を実行することができます。このようなExploit Kitは、Blackhole Exploit Kit、Incognito Exploit Kit、Phoenix Exploit Kitなど数多くの種類が存在しますが、ツールキットで利用される脆弱性は、Internet Explorer、Java、Adobe Readerといったメジャーなクライアントアプリケーションに集中しています。また、ブラウザから起動できるものが上位を占めており、Webを閲覧するだけでマルウェアに感染するドライブバイダウンロードという攻撃手法でインターネットから組織内のイントラネットへの侵入を意識していることが考えられます。つまり、できるだけユーザーアクションを伴わない形で感染させるために脆弱性を悪用し、感染の自動化が図られています。従って、守る側としては、クライアントアプリケーションの脆弱性管理が極めて重要であるといえます
【図解】ドライブバイダウンロードを利用した脆弱性攻撃の流れ

脆弱性対策の選択肢

 脆弱性対策は、3つ考えられます。一つは、セキュリティ更新プログラム(パッチ)の適用です。最も確実で脆弱性対策の王道でもありますが、脆弱性が公表されてからパッチを適用するまでに時間がかかるケースもあり、管理コストが大きいという問題もあります。二つ目は、アプリケーションの構成・設定の調整です。サービスの無効化やアクセス権の変更、ファイル属性やレジストリの設定調整により回避可能な脆弱性も存在しますが、高度なセキュリティ知識が必要となります。最後の一つは、ソフトウェアの削除です。脆弱性の影響を受けるソフトウェアをアンインストールすることで脅威を排除可能ですが、対象アプリケーションが不要な場合にしか選択できません。予め、必要不可欠なものだけを利用することを徹底し、そのアプリケーションについて厳重に管理するというポリシーの運用も有効ですが、利便性に欠ける部分があります。
セキュリティ更新/プログラムの適用 アプリケーションの構成・設定の調整 ソフトウェアの削除

脆弱性管理(パッチマネジメント)のプロセス

 脆弱性対策として確実な手法であるパッチの適用を選択した場合、パッチマネジメントを行う上で、以下の図に示したプロセスが必要となります。脆弱性は、OSや主要アプリケーションだけでも日々発生しており、システム担当者はこれらの脆弱性に対応するために非常に大きなコスト(工数)をかける必要があります。また、場合によっては、パッチが適用されるまでの間に何らかのワークアラウンドが必要な重大な脆弱性が発見された場合は、当該脆弱性が影響するシステムを停止しなければならないケースもあり、組織全体としてのITサービスレベルが毀損される可能性もあります。
【情報収集】ベンダーから公表される脆弱性とセキュリティパッチ情報の収集
【リスク分析】脆弱性の危険度や影響範囲の把握・対象となる情報資産の洗い出し
【適用計画の立案】スケジュールの調整・優先順位の決定
【パッチの検証】検証環境の準備・利用中のアプリケーションとバージョンに対するテスト・パッチ間の依存関係を考慮し、特定の順序でインストールなど
【バックアップの取得】万一の場合に備え、適用前の状態を保存
【パッチの適用作業実施】そしてまた次の脆弱性が…・エンドレスな対応に疲弊するシステム担当者

様々なパッチ管理ソリューション

 こうした現状を少しでも緩和するため、様々なベンダーから脆弱性対策やパッチ管理を支援するソリューションが提供されています。例えば、マイクロソフト社は、WSUSというパッチの一括配信・適用ツールを無償提供しています。また、Windows XP SP2以降で実装されたDEP(データ実行防止)や、Windows Vistaで実装されたUAC、ASLR(アドレス空間配置のランダム化)などの脆弱性攻撃の緩和技術もあります。
 また、資産管理ツールを利用すれば、組織内の情報資産のパッチ適用状況の把握や配布作業を簡易化することができます。ただし、前述の脆弱性管理のプロセスのうち、脆弱性の情報取集や最も工数のかかる検証フェーズは対象外です。IPSなどが提供している仮想パッチは、脆弱性管理プロセスのほとんどのフェーズをカバーしていますが、非常に高価です。
【NEXT】既存のパッチ管理ソリューションや脆弱性攻撃緩和技術の課題
よくお問い合わせをいただくご質問【FAQ】
製品に関する技術的なお問い合わせ【お問い合わせフォーム】