標的型攻撃 – Microsoft Security Response Center

攻撃コードのトレンド（Exploitation Trend）～セキュリティインテリジェンスレポート第16版から～

Japan Security Team / By jsecteam / June 9, 2014 June 26, 2019

5月に公表された「マイクロソフトセキュリティインテリジェンスレポート第16版」の特集記事、「攻撃コードのトレンド（Exploitation Trend）」を紹介します。マイクロソフトセキュリティインテリジェンスレポート（以下、SIR）は、半期に一度マイクロソフトが公開しているセキュリティに関する分析レポートで、ソフトウェアの脆弱性、攻撃コード(Exploit)、マルウエア、フィッシング、悪性のWebサイト等に関する分析を中心としたものです。今回公表された第16版では、2013年下半期（2013年7月―12月）を対象としています。SIRでは、特集記事として話題性の高いテーマを取り上げており、これまでボットネットへの取組み、クラウドのセキュリティ、オンライン広告を使ったサイバー犯罪などを取り上げてきました。今回は、紹介する「攻撃コードのトレンド」も、第16版の特集記事として掲載されている内容です。 SIRは主要なレポートだけでも約140ページの分厚い資料ですが、興味深い内容も多いので、ぜひオリジナルのレポートをご覧いただければと思います。セキュリティインテリジェンスレポートhttp://www.microsoft.com/ja-jp/security/resources/sir.aspx Security Intelligence Reporthttp://www.microsoft.com/security/sir/default.aspx 攻撃コードのトレンド　～潜在的なリスクから現実の脅威へ～ゼロデイ攻撃が話題になる機会が増えていますが、ゼロデイ攻撃を含め、攻撃コードやマルウエア対策を進めるためには、現状を出来るだけ正確に理解する必要があります。本特集記事では、脆弱性と脆弱性に対する攻撃の推移に着目し、脆弱性悪用の技術的な傾向と、流通状況等の分析を行っています。脆弱性の悪用に関する状況最初に脆弱性に対する攻撃コードが確認された割合の分析です。Figure.1は、リモートコード実行可能な脆弱性のうち、実際に攻撃コードが確認された脆弱性の割合を表したグラフです。最も危険で悪用が容易な脆弱性にも関わらず、2013年はわずかに10%の脆弱性だけが悪用されるにとどまりました。現在の攻撃コード開発者は、脆弱性情報や攻撃コードを販売し、これを購入した攻撃者が、マルウエア感染を通じた不法行為通により収益を上げるというエコシステムになっています。このため、攻撃コードの開発に見合った収益が見込めない場合は、その脆弱性は攻撃コード開発の対象とならない傾向にあります。Figure.1は、この傾向がよく表れています。攻撃コードが確認されたタイミング Figure.2は、リモートコード実行可能な脆弱性に対する、最初の攻撃コードが確認された時期を分析したものです。2011年から、このカテゴリのゼロデイ攻撃は減少していますが、あわせて脆弱性の総数が減少しています。このため、相対的にゼロデイ攻撃の割合が増えており、2013年には公表された脆弱性の大半を占めるようになりました。この変化は、セキュアコーディングの普及により、新たにリモートコード実行可能な脆弱性を見つけることが難しくなったことが背景になっています。脆弱性の発見が難しくなったことで脆弱性の総数が減少し、その結果として未公開の攻撃コードの価値が高まったと考えられます。攻撃コードの開発者は、収益を最大化するため、脆弱性対策が公表され、セキュリティソフトが検知するようになるまでは、極めて限定的な相手（顧客など）を対象に取引をするようになっており、これがゼロデイ攻撃の割合が増えた要因となっています。ゼロデイとは対照的に、公開後30日を超えてから、最初の攻撃コードが出現するケースは減少しています。これは、一カ月以内に脆弱性の対処が行われるコンピューターの割合が増え、古い脆弱性を悪用した攻撃が成功する可能性が減少しているためだと考えられます。悪用された脆弱性カテゴリ(root cause)の傾向 Figure.3では、悪用されたマイクロソフト製品のリモートコード実行可能な脆弱性の脆弱性カテゴリ（root cause）に関する分析です。まず目につくのが、Stack Overflowに代表されるスタックに関する脆弱性の減少です。2007年には、54.2%を占めていましたが、2013年には5%まで減少しています。これは、コンパイラ(Visual Studio等)の対策が進展したことより、/GSやSafeSEH等の緩和策が機能していることや、開発時の静的な分析ツール（コード解析ツール）の精度の向上が貢献していると考えられます。スタックに関する脆弱性の減少に合わせるように、Useafter-free脆弱性の悪用が増加しています。Drive-by-Download等の手法が一般化したことで、クライアントが主要な標的になりました。Userafter-freeは、クライアント側で稼働するアプリケーションによく見られる脆弱性である事から、攻撃コード開発の主要なターゲットなってきたものと考えられます。なお、Stuxnetで悪用された、DLLロードの脆弱性は、2009年から2012年にかけては悪用が確認されていますが、2013年では悪用が確認されませんでした。 DEP（Data Execution Prevention）と、ASLR(Address Space Layout Randomization)は、脆弱性の悪用方法に大きな影響を与えています。Figure.4は、マイクロソフト製品に対する攻撃手法を分析したもので、DEPとASLRを回避する新たな手法を見つける事が、攻撃者の焦点となっていることがうかがえます。DEPを回避するための手法としてROP(Return Oriented Program)が主要な手法となっていますが、ROPを成功させるためにはASLRを回避する必要があります。このため、ROPとASLRを回避する新たな手段が研究の焦点となっています。ASLRの回避には、ASLRが利用されていないイメージを使うか、アドレス情報が取得可能な脆弱性が利用される場合が大半を占めています。なお、DEPとASLRに加えて、最新のInternet ExplorerとEMETの利用率の向上は、実効性のある攻撃コードの開発を困難なものにしています。誰が攻撃コードを使うのか脆弱性が明らかになる経緯は様々です。攻撃コードが犯罪者の手に渡る様子を、2012年1月から2014年2月に攻撃コードが発見された、16の脆弱性について分析をしました。最初に攻撃コードが明らかになった経緯を分析すると、標的型攻撃9件、攻撃フレームワーク3件、トレーダー（販売業者）2件、セキュリティ研究者2件でした。これらの攻撃のうち8件は、後に攻撃フレームワークに取り込まれ、8件のうち2件は犯罪者向けの攻撃キットに取り込まれました。少ないサンプル数ではありますが、攻撃コードは標的型攻撃で使用され、このうちの一部が数か月後を経て広範囲に影響を与える犯罪者向けの攻撃キットに取り込まれています。このことは、セキュリティ更新プログラムを迅速に適用することが、攻撃コードによる攻撃をリスクを避ける上で有効な対策であることを裏付けています。攻撃コードの開発者は、限定的な取引ばかりでなく、商用の攻撃キットを通じて収益を上げています。誰でもハッカーフォーラムなどで、攻撃キットの購入やレンタルすることで、容易に攻撃者となることが可能です。典型的なキットではFigure.6のように、Webブラウザやアドオンの脆弱性に対する攻撃コードが用意されています。これを攻撃者が自ら用意したサイトや侵入して改竄したWebサーバーに仕掛けます。そして適切な対策を取っていないユーザーが閲覧すると、Drive by Download攻撃によりマルウエアに感染することになります。このような商用の攻撃キットの存在は、遅くとも2006年には確認されていますが、使いこなすためには専門的な知識が必要でした。2010年に登場したBlackholeと呼ばれる攻撃キットは、専門的な知識がなくても使いやすいように設計されており、お金を払えばだれでもサイバー犯罪ができるようになりました。サイバー犯罪で大きな収益を得る例も報告されており、たとえばランサムウエアの一種Revetonを使った犯罪者グループは、攻撃キットを使ってRevetonを感染させ、2012年には$50,000/日の収益を上げていたと言われています。悪用される製品の推移初期の攻撃キットは、様々な製品に対する攻撃コードが用意されていましたが、徐々にAdobe Flash/Reader, Microsoft Windows / Internet Explorer, Oracle Java等の主要な製品に絞り込まれるようになりました。最近では、特にJava Runtime …

攻撃コードのトレンド（Exploitation Trend）～セキュリティインテリジェンスレポート第16版から～ Read More »

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策

Japan Security Team / By jsecteam / June 1, 2014 June 26, 2019

Windows XPのサポート終了や、セキュリティアドバイザリ 2963983（MS14-021）によって脆弱性や脆弱性ハンドリングに対する関心が高まっているように思います。特に関心の高いゼロデイ攻撃については、「ゆりか先生のセキュリティひとくち講座：第 8 回: ゼロデイ攻撃ってなんだろう?」で概要をご紹介しています。ゆりか先生のセキュリティひとくち講座：第 8 回: ゼロデイ攻撃ってなんだろう?http://www.microsoft.com/ja-jp/security/msy/msy008.aspx 今回は、少し実践的な視点から、通常の脆弱性ハンドリングとゼロデイ攻撃が確認された際のハンドリングについて、Coordinated Vulnerability Disclosureに基づいた脆弱性ハンドリングの基本的な考え方とセキュリティ更新プログラム公開時の品質管理についてご紹介し、そして「ゼロデイ攻撃が公表された際の対応」として、基本対策の重要性と、緩和策として推奨されることの多いMAPP、拡張保護モード、EMETについてご紹介します。脆弱性とセキュリティ更新プログラム公開のタイミング Windows Update / Microsoft Updateによるセキュリティ更新プログラム（以下、更新プログラム）の提供は、1998年に始まりました。当初は、更新プログラムの準備ができ次第公開していましたが、この形態では企業のIT担当者が事前に準備出来ず、更新プログラムの適用率が上がりませんでした。このため、2002年には毎週水曜日（米国時間）に公開することで、IT担当者が事前に準備ができる形態としました。しかし毎週では負担が大きいことがわかり、2003年には現在の毎月第二火曜日（米国時間）の公開に変更し、そして、具体的な更新プログラムの適用計画を事前に準備できるように、2004年にはセキュリティ情報の事前情報通知を始めました。この変更は、単にマイクロソフト社内のプロセスの変更のように見えるかもしれませんが、実はそれほど簡単な話ではありません。主要な脆弱性のハンドリング（取扱い）には、Responsible Disclosure (RD)とFull Disclosure (FD)と呼ばれるふたつの考えがあります。Responsible Disclosureでは、ソフトウェアベンダー等から修正プログラムが公開されるまで、つまり利用者が対策を実施できるようになるまでは、情報公開を行わない事が最も安全である、という考え方です。これを前提にできれば、月に一度の更新はさほど難しい事ではありません。これに対してFull Disclosureは、ソフトウェアベンダー等からの修正プログラム等の提供の有無にかかわらず、詳細な脆弱性情報を全て一般に公開することで修正プログラムの公開を早め、結果として利用者の安全性を高め事ができる、という考え方です。この二つの考え方の違いにより、修正プログラムが公開される前に、脆弱性に関する情報が公開されることがあります。脆弱性の公開の有無については、セキュリティ情報の脆弱性に対するFAQ「このセキュリティ情報のリリース時に、この脆弱性は一般に公開されていたのですか?」という項目で確認することができます。 Responsible Disclosureを厳密に適用すると、攻撃が確認された場合でも、修正プログラムが公開されるまでは、脆弱性の公表ができないことになります。この課題の解決に取り組んだのが、Coordinated Vulnerability Disclosure(CVD)です。Coordinated Vulnerability Disclosureは、「ベンダーおよび脆弱性の発見者が解決に向けて緊密に連携し、時期を得た対応を実施するために広範に取り組み、一般への公開は積極的な攻撃の場合のみとし、一連の対応において最善だと思われる緩和策および回避策に重点的に取り組むこと」です。端的に言えば、該当する脆弱性への攻撃が確認された場合は必要な情報を公開し、できる限り被害を防ぐための取組みみを行うというものです。 Coordinated Vulnerability Disclosureについては、弊社のKatie Moussouris のBlogに詳しく（少々楽しく）述べられており、日本のセキュリティチームBlogでも概要を紹介しています。 Coordinated Vulnerability Disclosure: Bringing Balance to the Force http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx 「協調的な脆弱性の公開」の発表http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx …

近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策 Read More »

[回避策まとめ] セキュリティアドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される

Japan Security Team / By jsecteam / April 29, 2014 June 26, 2019

2014/5/2 更新：本Internet Explorer の脆弱性に対処するセキュリティ更新プログラムをセキュリティ情報 MS14-021 として公開しました。詳細は、こちらの投稿をご覧ください。 —————————————————————————- このブログでは、セキュリティアドバイザリ 2963983「Internet Explorer の脆弱性により、リモートでコードが実行される」で説明している脆弱性について、ユーザー別に推奨する回避策を記載しています。このブログでは、お客様環境に合わせて設定しやすい回避策を記載していますが、その他の回避策やすべての回避策を実施していただいても問題ありません。 ■ 回避策セキュリティ更新プログラム公開までの間、お客様の環境を保護するために、以下の回避策を実施してください。個人のお客様 ※はじめに、お使いの Windows のバージョンを確認する方法はこちら、またお使いの Windows が 32 ビットか 64 ビットかを確認する方法は「自分のパソコンが 32 ビット版か 64 ビット版かを確認したい」をご参照ください。 Windows Vista をお使いのお客様: VML の無効化を実施してください。 32 ビット (x86) 版の Windows 7 以降のオペレーティングシステムをお使いのお客様: VML の無効化を実施してください。 64 ビット (x64) 版の Windows 7 以降のオペレーティングシステムをお使いのお客様: Internet …

[回避策まとめ] セキュリティアドバイザリ 2963983 – Internet Explorer の脆弱性により、リモートでコードが実行される Read More »

セキュリティアドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開

Japan Security Team / By jsecteam / March 24, 2014 June 26, 2019

2014/03/25 16:45 更新: 回避策④ EMET を導入するの記載を更新し、Mandatory ASLR および anti-ROP features のいずれかで阻止できることを明確にしました。 2014/03/25 15:50 更新: セキュリティアドバイザリ 2953095 の日本語版を公開しました。本日マイクロソフトは、セキュリティアドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開しました。このアドバイザリは、Microsoft Word において確認されている脆弱性の説明、および脆弱性から保護するための回避策を提供しています。ユーザーが、影響を受けるバージョンの Word で特別に細工された RTF ファイルを開く、または特別に細工された RTF 形式の電子メールメッセージを Word を電子メールリーダーとして使用した Outlook でプレビューもしくは開いた場合に、リモートでコードが実行される可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。この脆弱性の悪用状況は、現在のところ Microsoft Word 2010 を対象とした限定的な標的型攻撃のみを確認しています。アドバイザリに記載の製品をご使用のお客様は、アドバイザリで説明している回避策を実施されることをお勧めします。 ■ 影響を受ける環境 Microsoft Word 2003 Microsoft Word 2007 Microsoft Word …

セキュリティアドバイザリ 2953095「Microsoft Word の脆弱性により、リモートでコードが実行される」を公開 Read More »

セキュリティアドバイザリ 2896666「Microsoft Graphics の脆弱性により、リモートでコードが実行される」を公開

Japan Security Team / By jsecteam / November 5, 2013 June 26, 2019

2013 年 11 月 6 日、セキュリティアドバイザリ 2896666「Microsoft Graphics の脆弱性により、リモートでコードが実行される」を公開しました。 Microsoft Windows、Microsoft Office、および Microsoft Lync に影響を与える Microsoft Graphics コンポーネントの脆弱性に関する非公開のレポートについて調査を行っています。マイクロソフトは Microsoft Office に存在するこの脆弱性を悪用しようとする標的型攻撃を確認しています。攻撃者は、特別に細工された電子メールメッセージをユーザーにプレビューさせるか開かせる、特別に細工されたファイルを開かせる、または特別に細工された Web コンテンツを閲覧させることにより、この脆弱性を悪用する可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。攻撃者によりこの脆弱性が悪用された場合、攻撃者が現在のユーザーと同じユーザー権限を取得する可能性があります。コンピューターでのユーザー権限が低い設定のアカウントを持つユーザーは、管理者特権で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。 Fix It ツールを実行するか、手動でレジストリを編集し TIFF コーデックを無効にすることで、この脆弱性を使用した攻撃を回避することができます。また、Enhanced Mitigation Experience Toolkit (EMET) を展開することでも、回避が可能です。影響を受ける製品および回避策の展開方法など、詳細についてはセキュリティアドバイザリ 2896666 を参照してください。関連リンク: Microsoft Security Research ＆ Defense ブログ CVE-2013-3906: a graphics vulnerability exploited …

セキュリティアドバイザリ 2896666「Microsoft Graphics の脆弱性により、リモートでコードが実行される」を公開 Read More »

決意を持った敵対者と標的型攻撃その 2　～マイクロソフトセキュリティインテリジェンスレポート第 12 版より～

Japan Security Team / By jsecteam / June 19, 2012 June 26, 2019

決意を持った敵対者と標的型攻撃ブログ「その 2 」です。「その1」では、標的型攻撃の課題と実態について紹介しましたが、今回は対策について触れたいと思います。従来のセキュリティモデルの中心は、セキュリティ対策製品の導入でしたが、標的型攻撃に対しては複数の対策を準備する必要があります。具体的には、以下の 4 種類の対策が挙げられます。 Prevention ( 予防 ) 従来のセキュリティ対策と同様、ウイルス対策ソフトウェアやファイアウォールといった予防措置が必要です。しかし、リサーチの結果は、そのような対策を講じているにも関わらず、ソフトウェアのセキュリティ設定を正しく設定していなかったり、セキュリティ更新プログラムをタイムリーに適用していないために攻撃されるケースが多いことを示しています。このような基本的な対策をしっかり講じることで標的型攻撃が成功する可能性を少しでも減らすことは非常に重要です。 Detection ( 検出 ) 抑止策だけでは十分ではないという前提で、侵入検知装置やルーター、ホスト、プロキシサーバーなどからのデータを利用して、ホストの運用状況やセキュリティの状況を評価します。また、リアルタイムの対策だけではなく長期的な視点で、ポリシー、コントロール、監視方法の確立、大量のデータを分析できるような人材の育成なども考慮すべき点であると言えます。 Containment ( 封じ込め ) 攻撃者は、初回の攻撃だけで目的を達成することは殆どなく、まずは標的の環境を偵察し、侵入するスキを見つけようとします。製品に組み込まれているセキュリティ機能を利用することによって、攻撃者の活動を抑止し、攻撃を発見、軽減することが大切です。また、ドメイン管理モデルの構築、管理者権限の利用の制限管理者権限の制限、IPsecベースの論理的セグメント化および暗号化といった、不必要な接続が行えないような措置を講じる必要があります。 Recovery ( 回復 ) 攻撃によるダメージを軽減する、または早期にダメージから回復するために、回復計画を準備しておきます。そのためには、ビジネス部門とIT部門が協力し合って準備すること、非常事態に備えて演習や訓練を実施すること、外部専門家の知識を参考にすることが望まれます。また、顧客の信頼を保つために、明確でタイムリーなメッセージを発信できるようなコミュニケーションプランを準備しておくことも大事です。標的型攻撃への対策は、1 個人、1 社の企業だけで行うのには限界があります。標的型攻撃の被害を拡大させないためにも、政府機関と民間が協力して迅速な情報共有を行う必要があり、また、そのために被害者が適切に情報交換できるような環境を構築することが大切です。さらに、上記にある予防、検知、封じ込め、回復によるリスクマネジメントを、組織、ビジネス、政府の主要な戦略として標的型攻撃に対応することが求められます。参考情報: Microsoft_Security_Intelligence_Report_Volume_12_Determined_Adversaries_And_Targeted_Attacks_English.pdf

決意を持った敵対者と標的型攻撃その 1　～マイクロソフトセキュリティインテリジェンスレポート第 12 版より～

Japan Security Team / By jsecteam / May 30, 2012 June 26, 2019

マイクロソフトセキュリティインテリジェンスレポート第 12 版 (SIRv12) について、こちらのブログでも概要、Confickerに関するレポートをご紹介してきましたが、今回、次回と 2 回に分けて Determined Adversaries and Targeted Attacks (決意を持った敵対者と標的型攻撃) に焦点を当てていきます。前半である今回は、SIR v 12 で詳解されている標的型攻撃の実態と課題について触れたいと思います。標的型攻撃の実態 SIR v12 では標的型攻撃の攻撃者をDetermined Adversaries (決意を持った敵対者)という呼称を使って表現しています。単純なマルウェアの拡散を狙った無差別攻撃の実行役とは異なり、標的型攻撃の攻撃者は明確な意図を持った Sponsor（首謀者）と複数の Actor （実行役）から成るチームで、潤沢な資金を持つ洗練された組織であることが多く、スパイ小説に出てくるような犯罪の首謀者と組織の諜報部員のモデルに似ています。これは、首謀者がターゲットとする情報資産などを明確に実行役に指示し、実行役が継続的に標的にアクセスする、という合理的な雇用モデルです。実行役にとっては、C & C サーバーなどを使用して身元を隠すことができるため、実際のスパイ活動よりもはるかにリスクが少ない仕事だと言えるでしょう。標的型攻撃について、SIR v 12 では「価値の高い資産を持つ個人または組織を標的とした執拗な攻撃」と定義していますが、もともとは2000年代中期に政府機関が行った攻撃を指す言葉でした。近年、政府機関とは別の実行役による特定組織への攻撃の増加により一般的にも広く使われるようになったため、ご存知の皆さんも多いかと思います。未知の脆弱性を悪用するなど高度で洗練された攻撃であるようなイメージを持たれがちですが、実際は、古いソフトウェアやセキュリティ更新プログラムを適用していない脆弱性を利用するなど、意外にも高技術を必要としないありきたりな攻撃が多く用いられています。また、簡単に情報にアクセスするチャンスを獲得しやすいソーシャルエンジニアリングも使われることが多く、信頼できる組織や個人などに成りすまして標的者の認証情報を盗用しようとするスピアフィッシングなどが特によく用いられます。初期の標的型攻撃では、特定のファイルやファイルタイプを探し出して攻撃者のサーバーにアップロードするように仕込まれたトロイの木馬が使用されるケースが多く見受けられましたが、最近では、マルウェアを使って攻撃者が制御可能なコンピューターに接続し、動的に新しいコマンドを発してカスタマイズされた通信プロトコルを使ってネットワーク監視ソフトに見つからないようにするケースなども確認されています。標的型攻撃対策の課題標的型攻撃対策の難しさは、組織に対して日々行われている無数の攻撃の中から標的型攻撃だけを特定することの難しさに起因しています。たとえば、2011年下半期には世界中で700 億ものマルウェアが見つかっています。このような環境下で標的型攻撃だけを識別するのは、以下の観点から非常に困難です。 ○　悪意のある実行役が多数存在する ○　これら実行役の動機がさまざまである ○　類似する攻撃が多く、攻撃の性質だけ見ても実行役や動機に結び付けるのが難しい ○　広大なインターネット上で、善意と悪意のネットワークを見分けるのは容易ではないでは、実際にはどのような対策を立てることが可能なのか …

決意を持った敵対者と標的型攻撃その 1　～マイクロソフトセキュリティインテリジェンスレポート第 12 版より～ Read More »