役立つ製品・サービス情報<PR>

2013年05月15日

気づきにくい「正規サイト書き換え」攻撃とは?

密かに広まる脅威 Webブラウジングするだけで不正プログラムに感染

Apache不正モジュールを悪用した気づきにくい「正規サイト書き換え」攻撃とは?

 

密かに広まる脅威 Webブラウジングするだけで不正プログラムに感染


Apache不正モジュールを悪用した気づきにくい「正規サイト書き換え」攻撃とは?
■密かに広まる脅威 Webブラウジングするだけで不正プログラムに感染
韓国の主要企業を狙ったサイバー攻撃を始め、サイバー戦争を想起させる攻撃が注目を集める一方で、Webブラウジングという極めて日常的なコミュニケーションを脅かす脅威が密かに広まっている。正規のWebサイトにアクセスしただけで不正なサイトに自動接続され、不正プログラムに感染するという攻撃だが、従来のサイト改ざんとは若干手法が異なるため発見が困難とのこと。
このような状況を受け、大手情報セキュリティ会社のトレンドマイクロ株式会社は、Webサーバとして有名な「Apache」の不正モジュールを利用した正規サイト書き換え攻撃について、以下のようにまとめた。
まずはApacheのモジュール機能を悪用したこの攻撃について、どうやって起こったのか、なぜ発見が遅れたのか、今後同様の被害を発生させないために何ができるのか、トレンドマイクロが把握している情報を基に考察する。
きっかけは正規サイトの改ざんである。ただし、コンテンツが書き換えられるのではなく、HTTPリクエストに対して不正なコンテンツを含んだレスポンスを返すような書き換えが行われる。その結果、アクセスした利用者は知らないうちに不正サイトに接続させられ、そこで不正プログラムに感染する。そしてそのプログラムによってシステムの脆弱性検索が行われ、その脆弱性を狙った追従攻撃が行われる。
この攻撃を、ブラウザを通じて通信を行う「利用者(ユーザ)」と、Webサーバを運用する「管理者」の2つの立場から、さらに考察する。
利用者の視点からすると、たとえばインターネットショッピングをしようとして、住所などの個人情報やパスワード、クレジットカード番号などを入力する。通常であれば、商品発送や決済といった手続きに利用される情報であるが、その入力画面が実は攻撃者によって仕掛けられた偽画面であったらどうか。クレジットカード情報を含む個人情報は、攻撃者側に自動的に送られてしまうかもしれない。
また、不正なサイトへリダイレクトさせるためのURLを埋め込むことで、一連の連鎖感染の扉を開いてしまう場合もある。一度リダイレクトされれば、不正ソフトが利用者のPC上で動作するAdobeアプリケーションやJavaの脆弱性を検索し、攻撃者にとって「最も効果的」な攻撃手法を用いて、さらなる攻撃を仕掛けてくることになる。
では管理者視点ではどうか。不正フォームの表示であれ、不正サイトへのリダイレクトであれ、もしWebサイト側で静的に用意されたHTMLファイル等の書き換えにより発生した攻撃なのであれば、変更監視を行っていれば発見は比較的たやすかったかもしれない。
しかし今回は、Apacheの不正モジュールを利用し、アクセス要求のあった利用者のブラウザに対して、不正なフォームやリダイレクト先URLなどの任意の文字列を含めて送信するものだった。
つまり、サーバ側の情報は何も変わらず、利用者のブラウザに表示される情報だけが本来のものとは違うものになるのだ。
リダイレクトを行う攻撃で利用されたURLには規則性が認められ、その条件で調査した結果、少なくとも約4000件のURLが確認されているとのこと(※Trend Micro Smart Protection Network にフィードバックされた情報に基づく。2013年3月18日時点)。攻撃者側は一つのURLを長期にわたって利用したり、複数の攻撃で使いまわしたりするのではなく、URLを次々と変えることで対策を困難にし、また発見されにくくしていると考えられる。
偽のレスポンスをブラウザに表示させるこの不正モジュールは、一部のアンダーグラウンドサイトで販売されていることがわかっている。今後、似たような攻撃の一般化が始まり、同様の被害拡散の恐れもあると言えるだろう。
では、防止のために何ができるのだろうか。対策は、利用者と管理者でそれぞれ行う必要がある。最終的にはシステム上の脆弱性を検索し、そこを攻撃してくるので、利用者は常にソフトウェアの最新版を用い、可能な限り脆弱性を無くしておく必要がある。そのためには、新しい修正パッチが出た場合には、直ちに適応すること。
また、ゼロデイ攻撃などからの防御のために、仮想パッチを適応するようなセキュリティ製品の導入を行うのも対策の一つとなるだろう。
管理者としては、サーバ上で動作しているApache拡張モジュールの確認の必要がある。心当たりのないモジュールが動作していれば、それが必要性に基づく正当なものなのか、それとも不正なものなのか確認し、後者であれば直ちに削除する。すでに不正なApache拡張モジュールとして確認されているものがいくつかあることから、それらに該当するものがあればすぐに対処が必要だ。
また今回の攻撃は、直接コンテンツの書き換えが行われるわけではないため、発見が困難という特徴がある。そのため、監視の対象をコンテンツからシステムの監視にまで拡張していく必要があるだろう。
トレンドマイクロでは、既知のApache拡張モジュールをパターンファイルで検出したり、リダイレクト先となる不正なURLリストを元にアクセスを回避させたりする機能を各製品にて提供している。管理者側で必要となるサーバセキュリティ製品としては、ServerProtect for Linuxによるパターンベースの検出や、Trend Micro Deep Security によるサーバ攻撃への総合的な対策などによる、サーバ保護を提供している。
企業が防御力をアップさせ、あらゆるリスクを避けるためにも、備えが必須なことは言うまでもないだろう。
あなたは、この内容でも騙されない自信がありますか?
攻撃の詳細「トレンドマイクロ セキュリティ ブログ」
http://blog.trendmicro.co.jp/archives/6888?cm_mmc=Ent-_-Sakaami_Addition-_-Pronweb-_-001
エンドポイントセキュリティ「Trend Micro 脆弱性対策オプション?」
http://jp.trendmicro.com/jp/products/enterprise/idf/?cm_mmc=Ent-_-Sakaami_Addition-_-Pronweb-_-002
サーバセキュリティ「Trend Micro Deep Security」
http://jp.trendmicro.com/jp/products/enterprise/tmds/?cm_mmc=Ent-_-Sakaami_Addition-_-Pronweb-_-003
トレンドマイクロ株式会社
http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_Addition-_-Pronweb-_-004
公式リリースを読む
http://www.pronweb.tv/release.php?code=8161

130515_tm_01.jpg

韓国の主要企業を狙ったサイバー攻撃を始め、サイバー戦争を想起させる攻撃が注目を集める一方で、Webブラウジングという極めて日常的なコミュニケーションを脅かす脅威が密かに広まっている。正規のWebサイトにアクセスしただけで不正なサイトに自動接続され、不正プログラムに感染するという攻撃だが、従来のサイト改ざんとは若干手法が異なるため発見が困難とのこと。


このような状況を受け、大手情報セキュリティ会社のトレンドマイクロ株式会社は、Webサーバとして有名な「Apache」の不正モジュールを利用した正規サイト書き換え攻撃について、以下のようにまとめた。


まずはApacheのモジュール機能を悪用したこの攻撃について、どうやって起こったのか、なぜ発見が遅れたのか、今後同様の被害を発生させないために何ができるのか、トレンドマイクロが把握している情報を基に考察する。


きっかけは正規サイトの改ざんである。ただし、コンテンツが書き換えられるのではなく、HTTPリクエストに対して不正なコンテンツを含んだレスポンスを返すような書き換えが行われる。その結果、アクセスした利用者は知らないうちに不正サイトに接続させられ、そこで不正プログラムに感染する。そしてそのプログラムによってシステムの脆弱性検索が行われ、その脆弱性を狙った追従攻撃が行われる。


この攻撃を、ブラウザを通じて通信を行う「利用者(ユーザ)」と、Webサーバを運用する「管理者」の2つの立場から、さらに考察する。


利用者の視点からすると、たとえばインターネットショッピングをしようとして、住所などの個人情報やパスワード、クレジットカード番号などを入力する。通常であれば、商品発送や決済といった手続きに利用される情報であるが、その入力画面が実は攻撃者によって仕掛けられた偽画面であったらどうか。クレジットカード情報を含む個人情報は、攻撃者側に自動的に送られてしまうかもしれない。


また、不正なサイトへリダイレクトさせるためのURLを埋め込むことで、一連の連鎖感染の扉を開いてしまう場合もある。一度リダイレクトされれば、不正ソフトが利用者のPC上で動作するAdobeアプリケーションやJavaの脆弱性を検索し、攻撃者にとって「最も効果的」な攻撃手法を用いて、さらなる攻撃を仕掛けてくることになる。


では管理者視点ではどうか。不正フォームの表示であれ、不正サイトへのリダイレクトであれ、もしWebサイト側で静的に用意されたHTMLファイル等の書き換えにより発生した攻撃なのであれば、変更監視を行っていれば発見は比較的たやすかったかもしれない。


しかし今回は、Apacheの不正モジュールを利用し、アクセス要求のあった利用者のブラウザに対して、不正なフォームやリダイレクト先URLなどの任意の文字列を含めて送信するものだった。


つまり、サーバ側の情報は何も変わらず、利用者のブラウザに表示される情報だけが本来のものとは違うものになるのだ。


リダイレクトを行う攻撃で利用されたURLには規則性が認められ、その条件で調査した結果、少なくとも約4000件のURLが確認されているとのこと(※Trend Micro Smart Protection Network にフィードバックされた情報に基づく。2013年3月18日時点)。攻撃者側は一つのURLを長期にわたって利用したり、複数の攻撃で使いまわしたりするのではなく、URLを次々と変えることで対策を困難にし、また発見されにくくしていると考えられる。


偽のレスポンスをブラウザに表示させるこの不正モジュールは、一部のアンダーグラウンドサイトで販売されていることがわかっている。今後、似たような攻撃の一般化が始まり、同様の被害拡散の恐れもあると言えるだろう。


では、防止のために何ができるのだろうか。対策は、利用者と管理者でそれぞれ行う必要がある。最終的にはシステム上の脆弱性を検索し、そこを攻撃してくるので、利用者は常にソフトウェアの最新版を用い、可能な限り脆弱性を無くしておく必要がある。そのためには、新しい修正パッチが出た場合には、直ちに適応すること。


また、ゼロデイ攻撃などからの防御のために、仮想パッチを適応するようなセキュリティ製品の導入を行うのも対策の一つとなるだろう。


管理者としては、サーバ上で動作しているApache拡張モジュールの確認の必要がある。心当たりのないモジュールが動作していれば、それが必要性に基づく正当なものなのか、それとも不正なものなのか確認し、後者であれば直ちに削除する。すでに不正なApache拡張モジュールとして確認されているものがいくつかあることから、それらに該当するものがあればすぐに対処が必要だ。


また今回の攻撃は、直接コンテンツの書き換えが行われるわけではないため、発見が困難という特徴がある。そのため、監視の対象をコンテンツからシステムの監視にまで拡張していく必要があるだろう。


トレンドマイクロでは、既知のApache拡張モジュールをパターンファイルで検出したり、リダイレクト先となる不正なURLリストを元にアクセスを回避させたりする機能を各製品にて提供している。管理者側で必要となるサーバセキュリティ製品としては、ServerProtect for Linuxによるパターンベースの検出や、Trend Micro Deep Security によるサーバ攻撃への総合的な対策などによる、サーバ保護を提供している。


企業が防御力をアップさせ、あらゆるリスクを避けるためにも、備えが必須なことは言うまでもないだろう。



あなたは、この内容でも騙されない自信がありますか?

攻撃の詳細「トレンドマイクロ セキュリティ ブログ」

http://blog.trendmicro.co.jp/archives/6888?cm_mmc=Ent-_-Sakaami_Addition-_-Pronweb-_-001


エンドポイントセキュリティ「Trend Micro 脆弱性対策オプション?」

http://jp.trendmicro.com/jp/products/enterprise/idf/?cm_mmc=Ent-_-Sakaami_Addition-_-Pronweb-_-002


サーバセキュリティ「Trend Micro Deep Security」

http://jp.trendmicro.com/jp/products/enterprise/tmds/?cm_mmc=Ent-_-Sakaami_Addition-_-Pronweb-_-003


トレンドマイクロ株式会社

http://jp.trendmicro.com/jp/home/enterprise/index.html?cm_mmc=Ent-_-Sakaami_Addition-_-Pronweb-_-004


公式リリースを読む

http://www.pronweb.tv/release.php?code=8161

 

 

 

PAGE TOP