ラック サイバーリスク総合研究所の新井悠氏は、マイコミジャーナルで「ITセキュリティのアライ出し」と題したセキュリティコラムを連載している。「ジャーナルITサミット - 2010 セキュリティ」では「ITセキュリティのアライ出し~ライブ!~」と題して、普段の連載ではなかなか話題にできない実例などを含め、サイバー空間での攻撃の実体を語った。

進化を続けるGumblar

ラック サイバーリスク総合研究所 研究センター長 新井悠氏

OSの脆弱性を突くタイプの攻撃は、年々やりづらくなっているという。DEPの導入などを含め、脆弱性の緩和機能が導入されているからだ。単純な攻撃は無効化されるようになったが、それでも攻撃がなくならないのにはいくつかの理由がある。

講演では、JREの脆弱性などのような設計に起因する問題、実行可能領域のコード片を組み合わせてシェルコードの書き込まれている領域を実行可能にするなどのReturn-Oriented-Programming、特定スクリプト言語の最適化をシェルコードの一部として利用するJIT Spraying、という3つが挙げられた。

このうち、設計に起因する問題であるJREの脆弱性によって、近年猛威をふるったのが「Gumblar」だ。新井氏は「ラックJSOCで環視しているお客様の社内での感染事例は、ピーク時で600件。ウェブ改ざんが大きく報道されたが、実は企業内感染も多かった。現在はピーク時の1/3まで減ったが、完全駆除には至っていない」と企業における実態を語った。

現在でもGumblarによるウェブ改ざんなどは続いている。新井氏からは、Gumblarとまとめて呼ばれるウィルス群にはいくつかの種類があり、それぞれ目的が違うことが紹介された。

「当初流行したのは、FTPアカウントを盗みだし、ウェブ改ざんを行うタイプ。最も被害が大きかったのは、専門家の間で8080系と呼ばれるもの。キーロガーや偽ウィルス対策ソフトなどをインストールしてしまう悪質なもの」(新井氏)

収集した情報を売買したり、感染させるツールを販売していた闇サイトも実際に紹介。非常に手軽かつ少ないコストでサイバー攻撃が行われているという実態が解説された。

その場でウィルスに感染させるデモも披露

講演では、実際にウィルス対策ソフトを装うウィルスにPCを感染させるというデモも行った。

その様子を示した新井氏は、「感染から発症まで潜伏期間があるため、被害者はどのサイトを見たせいで感染したという自覚が持てない。突然おかしな画面が表示され、大量のウィルスに感染していると警告されて購入が促される。しかも、販売は正規の販売代行業者が手がけていることもある。業者自身が騙されている状態」と悪質な状況を解説した。

ラックでは、Gumblarの実態把握を行うために独自の調査も行っている。「あえて感染させたPCへの通信履歴を分析した結果、改ざん元のいくつかはクラウドを活用していた。海外の有名なホスティングサービスを踏み台にしていた例もある。安価で便利なサービスは誰でも使う」と、新井氏はクラウド利用者が必ずしも善意の利用者ばかりではないことを指摘した。

すでに発表されている仮想環境の脆弱性

さらに、クラウド利用者の中に悪意を持つユーザーがいた場合、どのような問題があるのかについても言及された。

クラウドの運用体制や法的な問題などではなく、仮想化環境そのものに関するセキュリティについては2つのパターンが考えられる。ゲストOSからホストOSを攻撃するという、利用者が事業者を攻撃するパターンと、ゲストOS間での利用者同士での攻撃パターンだ。

本来、仮想OSは壁を越えてなんらかの命令を実行できるようには作られていない。しかし、仮想化ソフトウェアにも攻撃対象となる脆弱性は存在する。その脆弱性を発見するテスト手法として「ファジング」がある。

ファジングは、エラーを含むさまざまなデータを送信してその反応を分析し、攻撃の糸口を探すという手法。作成者も想定しなかったようなエラーを発生させる必要があるため、誰でもがこの使用できる手法ではない。

しかし実験的に行われた仮想化ソフトウェアのファジングにおいて、実際にメモリの上書きが行えるバグが各種仮想化OSで発見されている。これらはすでに対応が行われており、攻撃者は迂回する必要があるため、実際の攻撃は難しいと考えられているが、この結果からも仮想環境は必ずしも安全とは限らないことがわかる。

また、機能の欠陥を利用して特定のメモリを上書きする手法もあるという。例として挙げられたのは、VMwareでフレームバッファを上書きすることで攻撃する手法だ。

「ウィンドウをドラッグした時の動作は、少しずつ位置をずらしながらコピーしている状態。このコピー機能がフレームバッファ外からもデータをコピーできることが発覚した。逆にフレームバッファから外へのコピーもできる。これを利用するとゲストOSからホストOSのメモリ書き換えができてしまう」と新井氏は紹介。実際にはフレームバッファの制御やFIFOの制御が必要であり、ゲストOS側のAdministrator権限も必要であるため、悪用するのは難しいが、こうしたイレギュラーな動作は存在するのだという。

簡単に利用できるものではないが、クラウド環境をターゲットとする攻撃自体は決して不可能ではないと感じさせる事例をいくつも紹介した新井氏は「クラウドと呼ばれるバズワードをかなり使ってきたが、安価で便利なものは誰もが使う。脆弱性も存在し、対策はまだ万全ではない。対策製品を使って保護機能を強化する余地はある。脆弱性の保護は進んでいるが万全ではないことを知ってほしい」とまとめた。