本連載では前回から、セキュリティ事故の報道を正しく読み解くために必要な知識をご紹介しています。
前回は、不正アクセスの内容を大きく4つに分類した後、「リスト型攻撃」について解説しました。今回からは2つ目の分類として挙げた、「改ざん」(Webサイトのコンテンツの書き換え)を取り上げていきます。
著者プロフィール辻 伸弘氏(Tsuji Nobuhiro) - ソフトバンク・テクノロジー株式会社
セキュリティエンジニアとして、主にペネトレーション検査などに従事している。民間企業、官公庁問わず多くの検査実績を持つ。また、アノニマスの一面からみ見えるようなハクティビズムやセキュリティ事故などによる情勢の調査分析なども行っている。趣味として、自宅でのハニーポット運用、IDSによる監視などを行う。
一口に改ざんと言っても実態はさまざま
「改ざん」を行なうために脆弱性を利用する手法はあまたあるのですが個々の手法を紹介するとキリもなく、技術的すぎて混乱を招く恐れがありますので、個別の詳しい手法、仕組みについては割愛する形で、攻撃の結果としての「改ざん」紹介させていただいます。
改ざんと一言で言ってもいくつかのタイプに分けることができます。
以下は、筆者なりの分類ですが、この記事を読んでくださっている方にできるだけ伝わりやすい名称を選んでみました。
- 単なる改ざん
- マルウェアを感染させるための改ざん
- 情報窃取目的の改ざん
- DNSを利用した改ざん(もどき)
紙幅の都合上、2回にわけてこれらを順に解説していきます。
単なる改ざん
「単なる改ざん」は、その名が示す通り、"単なる"改ざんです。
Webサーバ上にあるコンテンツ(ページ)を攻撃者の意図するものに書き換えてしまう攻撃で、その他にはサーバやユーザに技術的な意味でのインパクトを与えるものではありません。(脆弱性が存在したことの露呈や、侵入を許してしまったという信用失墜、"他にも被害があるのではないか"という憶測を招くことはありますが。)
これらを行なう目的としては大きく分けて2つに分類されると考えられます。
1つは世間を騒がせたかったり、自分の腕を見せつけたかったりというような自己顕示などの愉快犯的な目的、もう1つは、改ざん後のページに自分(たち)の主張を掲載するような社会的・政治的な目的です。何れにしても多くの人に見てもらい、事実を知ってもらうことが攻撃者の狙いであると言えます。
マルウェアを感染させるための改ざん
続く「マルウェアを感染させるための改ざん」は、ここ数年、国内でも増加傾向にあるパターンでしょう。
Webサーバ上にあるコンテンツを攻撃者の意図するものに書き換えてしまうという点では前述した「単なる改ざん」と同様なのですが、このパターンの改ざんは見た目には正常な状態のサイトから変化がないものがほとんどです。
しかし、ソースコード(コンテンツの表示や動作のために記述されるもの)レベルで改ざんが行なわれており、普段と同じコンテンツを閲覧している裏では脆弱性を利用してマルウェアに感染させるサイトへ誘導します。
このパターンの改ざんの厄介なところは、普段は安全なサイトがある日突然、危険なサイトに変貌させられてしまう点です。セキュリティの注意喚起の常套句として「怪しいサイトには近づかない」というものがありますが、これが全く通用しないということになります。
このパターンの改ざんは2008年頃から顕著になり、2009年には皆さんもご存知であろう「Gumblar」(ガンブラー。別名:GENOウイルス)が登場し、現在ではよくある改ざんのパターンになりました。
目的としては、マルウェアに感染させたユーザの情報を盗み出したり、更なる攻撃に利用すべく感染したコンピュータをリモートから操作するためボットネットに参加させたりするということが挙げられます。
このパターンの改ざんが登場するまで、攻撃者が用意したサイトにアクセスさせるには、メールや掲示板、チャットメッセージなどで誘導する必要がありました。しかし、このパターンの改ざんを行なうことにより攻撃者が自分からアクティブにユーザに対してアクションをしなくて済むため、ユーザに怪しまれることなく、かつ、効率的に攻撃を成功させることができるようになったと言えます。
現在では、このパターンの改ざんの発展型として「水飲み場型攻撃」と呼ばれるものがあります。水飲み場型攻撃という言葉は「Watering Hole Attack」を日本語に訳したものです。
Watering holeとは「社交場」「水場」「水飲み場」という意味で人が集まる場所を指す言葉でもあります。
動物の世界を想像してください。水飲み場には、自然と様々な動物が集まってきます。その場所は様々な動物を補食するライオンなどにとって格好の餌場になるわけです。そこで、普段ユーザがアクセスするサイトを水飲み場、捕食動物を攻撃者、アクセスしてくるユーザを捕食される側の動物に例えて、水飲み場攻撃と表現しています。
この水飲み場型攻撃が従来のものと異なる点としては、従来のものはターゲットが不特定多数であったのに対して、水飲み場型攻撃は特定の組織や業界などをターゲットとしている点です。(ややこしいですね。)
例えば、国の特定機関、もしくはそこに所属する人物をターゲットとしたい場合は、その特定機関の地方支部局のサイトを改ざんする(最終ターゲットは国土交通省だが、改ざんを行うサイトは地方整備局といった具合)ことで、ある程度アクセスしてくるであろう組織や人物を絞り込むことができるメリットが攻撃者にあるというわけです。(こう考えると、喫煙所型攻撃と呼んだ方が分かりやすいかもしれないと筆者は個人的に思っています)
これにより最終ターゲットを直接攻撃しなくても、間接的に攻撃を行うことができるため攻撃できる範囲を広げられ、弱い部分を探しやすくなるということも攻撃者にとってはメリットでしょう。
また、水飲み場型攻撃は、人の心理面を考えても有利な点があると言えます。標的型攻撃メールのように「人のミスにつけ込む攻撃」に対して耐性のあるユーザは少なからずいると思いますが、そうしたユーザも普段から利用しているサイトを疑うことはそれほどないでしょう。そこを改ざんすることで、"騙す"というある意味、要となる作業のハードルが下がるという点は攻撃者にとって大きなメリットと言えます。
これは筆者の推測なのですが……従来のものが不特定多数で、水飲み場型攻撃が特定の組織や業界を狙うものであるという違いは、攻撃者の目的にあるのではないでしょうか。
例えば、クレジットカード情報やID、パスワードを盗むことが目的であれば数多くの情報を集められるだけ無差別にでも集めたいと攻撃者は考えるはずです。逆に特定組織の機密情報を狙うのであれば目立たずにできるだけ発覚を遅らせ、特定組織のユーザに攻撃ができればいいと攻撃者は考えるはずです。
よって、前者は金銭目的で、後者は機密情報を盗むことが目的であることが多いと筆者は考えています。
次回は、引き続き「改ざん」のパターンである「情報窃取目的の改ざん」「DNSを利用した改ざん(もどき)」について解説させていただきます。