今月のセキュリティアップデートで「大ネタ」のMS13-080
10月9日に公開されたマイクロソフト月例セキュリティアップデートは、更新が多かっただけでなく、悪用されたゼロデイ脆弱性の対策が行われた。
ゼロデイの1つは「CVE-2013-3893」として報告。事前に脆弱性情報が公開され、悪用も確認済みだ。このため、2013年9月のセキュリティアップデート後に、セキュリティアドバイザリ(9月17日)として「マイクロソフト セキュリティ アドバイザリ(2887505)」が公開され、暫定的な対策方法(FixIt)も用意した。これを含めて、Internet Explorer(以下、IE)に対する「10」の新しい脆弱性に対処したのが、今回のMS13-080だ。
|
ラックの資料より |
いやらしい表現になるが、MS13-080は「悪用に使える『大ネタ』の脆弱性」を修正している。毎月のセキュリティアップデートでは細かい脆弱性が多く、例えば「あらかじめローカルドライブに悪意あるフォントファイルを送り込んだのち、細工が施されたドキュメントを閲覧させる」のように、悪用までにクリアしなければならない条件が多い…などだ。それに対して、「特別な細工を施したページをIEで閲覧させるだけで、プログラムを実行できる」というのは使いやすい脆弱性であり、重大な脅威といえるだろう。
今回の事例でもう1つ重要なのが、「悪用された事例がすでに日本で発生していた」という点にある。MS13-080の説明ページを見ると、「Internet Explorer のメモリ破損の脆弱性(CVE-2013-3893)について、マイクロソフトに協力してくださったLAC Co.のYoshihiro Ishikawa氏」という謝辞が入っている。
CVE-2013-3893を発見したのは、情報セキュリティ会社として知られるラックだ。日本で実際に悪用されていた事例の解析をもとに、発見されている。同日、ラックも「水飲み場型の攻撃」に関する説明会を行い、脆弱性に関して解説した。
|
ラックの説明会の前に行われた、マイクロソフトの月例セキュリティアップデート説明。MS13-080は適用優先度1、悪用可能性指標1、事前の脆弱性情報公開あり、悪用事例ありと、大きな問題を抱えている |
|
IE 6 ~ 11と、サポートされているすべてのIEに影響を与えるだけでなく(IE 6 / 7 は無償サポート終了)、新たに「10」の脆弱性に対応しているので、早急に適用したい |
|
悪用可能性指標を見ると、今回取り上げる「CVE-2013-3893」は、すでにIE 8とIE 9での悪用が確認されていることが分かる |
「獲物」だけを狩る「水飲み場型攻撃」
まず「水飲み場型攻撃」に関して簡単に触れておきたい。これは「水源に毒を入れて無差別攻撃する」のではなく、「オアシスの水に引き寄せられた『特定のターゲットだけ』を狩る」という意味で、標的型攻撃の一手法だ。
|
|
|
概要を説明したラックの顔ともいえるCTOの西本逸郎氏(写真左) |
|
|
水飲み場型攻撃の概念。オアシスには多く人が来るから格好の狩場になるという |
これまでの標的型攻撃は、標的となる人物群が興味を引くであろうメールを送付し、そのリンク先にアクセスするか、もしくは添付ファイルを開くことで感染させていた。メールという物証があるので、URLや添付ファイルを標的外の人が検証することが可能だ(第三者による解析が行いやすい)。また、標的型攻撃で使われるような模擬攻撃メールを送り、体験を通じた予防措置も取られている。
一方、Webサイトへのアクセスをきっかけとして、悪意あるファイルをダウンロードさせようとする「ドライブバイダウンロード攻撃」も一時期使われていたが、これも不特定多数が相手なので発見されやすく、解析しやすい。
水飲み場型攻撃はその2つをミックスしたものだ。メールなどでURLや添付ファイルを送らない代わりに、ターゲットを含む人々が多数アクセスするであろうサイトに「罠」を仕掛ける。この罠は不特定多数ではなく、目標となるターゲットのみ発動。これによって、検知や解析されることを極力回避して、「悪用寿命」を延ばすことが可能なのだ。
|
水飲み場型攻撃を模式化したチャート。本来ならごく普通のサイトが、狩場になってしまう。これが水飲み場型攻撃の困るところであり、かつターゲットが絞れるので解析しにくい |
|
今回の技術的な問題点は、ゼロデイの水飲み場型攻撃が日本で発生したこと。ウィルス対策ソフトやファイアウォールなどでは防ぐことが難しいだけでなく、ラックによると狩場が複数存在したという |
|
アドレスはボカされているが、IP ZONEが20あり、ターゲットとなった組織群が20あることを示している |
次ページ: 犯人側にとってアンラッキーだったのは
