IBM は IBM X-Force® 2010 中期トレンド・リスクレポート 2010年8月(全112ページ,無料登録が必要) を刊行した。そこでは JavaScript と PDF の難読化,企業における現在のセキュリティ脅威の傾向と将来予想といった,2010 年のセキュリティ脆弱性とエクスプロイト(脆弱性を悪用するコード)に関する詳細な情報が紹介されている。
企業の動向
IBM X-Force レポートによると 2010年は,10代の遊び感覚のハッキングから金銭目当ての組織的なコンピュータ犯罪への移行に加え,国家が資金提供する情報組織というさらに大きな脅威も視野に入りつつある。組織の間では「高度で永続的な脅威(Advanced Persistent Thread, APT) 」という用語が広まっている。それが指すものは,
直接的な金銭的動機によって現金やクレジットカード番号などを標的とするグループとは対照的に,知的情報を目的としてコンピュータネットワークを攻撃する,さまざまな国家のさまざまな団体です。APT グループは,ネットワーク管理者が彼らの存在に気づき,彼らと戦うために積極的な手段を講じている間でさえ,アクセスを維持し,コンピュータネットワークをコントロールする能力を所持しています。このような能力を表現するものとして「永続的(persistent)」という言葉が用いられています。APTグループは忍耐強く – 注意を引かない程度に低いアクティビティで,情報アクセスの手段をじっくりと作り上げていくのです。
APT の活動は,一般的な攻撃に比べるとはるかに高度だ。彼らはソーシャルネットワークやフォーラム,その他の Web サイトから獲得した公開情報を利用して,
ターゲットとする組織に関する完璧な「絵」を描くのです - 誰が働いているか,何をしているのか,組織の報告対象者は誰か,などです。この「絵」を使えば,彼らが求める種類の情報にアクセスする可能性のある人物を特定し,識別することが可能になります。
そして攻撃者は次の犠牲者を決め,そのワークステーションあるいはラップトップのコントロールの略奪を試みる。さらに組織内の別システムへと手を広げていき,別の保護されたネットワークにもアクセスしようとするのだ。その攻撃は,
難読化されたエクスプロイトを用いて,不正な形式のドキュメントやぜロデイ脆弱性をターゲットとした Web ページを通じて行われます。悪意のあるファイルを添付したEメールが,被害者の職務に直接関連するように装って,ビジネスパートナや同僚のアドレスを使って送られてくる場合もあります。あるいは競合会社の Web サイト上の,興味をそそるドキュメントへのリンクであったり,面白いプレゼンテーションのあったトレードショーで手渡された USB トークンであるかも知れません。
このような攻撃の例としてレポートでは,名指しはされていないが,次のようなことが述べられている。
発電所は国家の支援するサイバー戦士の他,単に脅迫を目的とする犯罪グループからも攻撃を受けています。政府戦略担当者を標的としたものと同種の高度な対象特定のフィッシング攻撃が,決済システムにアクセス権を持つ金融機関の役員にも向けられています。
報告書の筆者は,APT に対する銀の弾丸があるとは考えていないが,それでも組織がそれに対抗することは可能だと確信している。そして “物理ネットワークセグメンテーションのより広範な利用,Eメール署名の標準化,アプリケーションのホワイトリスト作成” などの適切なセキュリティツールや新たなプロセスあるいは技術の導入に加えて,組織において最も攻撃される可能性の高い人物を特定するように提案している。
経験から言うならば,ネットワークへのこの種の脅威に対する最も効果的な対抗手段のひとつは,人々の協力を得ることなのです。私たちは「高度な特定フィッシング攻撃から身を守るようにユーザを訓練することは不可能である」といった見方には同意しません。なぜなら,実際にそれが実現するのを見たからです。組織の中でこの種の攻撃を受けるリスクがもっとも高い人を特定できれば,さらには彼らと席を共にして,その脅威の特質や働きを説明できるならば,彼らは防御の第一線となり得るのです。彼らは不審なメールをあなたに報告してくれるでしょう。攻撃者が使用するエクスプロイトのサンプルが手に入れば,問題への足がかりがひとつ得られたことになります。他の攻撃対象者を特定することもできるでしょうし,あるいはマルウエアコマンドやコントロールパターンを識別することで,侵入の解明を始められるかも知れません。
脆弱性とエクスプロイト
ネットワークセキュリティが進歩しているにもかかわらず,IBM X-Force レポートでは,セキュリティ攻撃と悪用コードの増加が報告されている。最も注意すべきエクスプロイトには次のようなものがある。
JavaScript の難読化 – レポートでは JavaScript の難読化を,最高のセキュリティ脆弱性として紹介している。その理由は “データをコードとして実行することが可能であるためです。データは操作可能であり,暗号化も可能なのです。”
PDF – 企業への攻撃の手がかりとする弱点を得る手段として,PDF が利用される機会が増えている。次のグラフは,2010年における PDF エクスプロイトの増加を示したものだ。
報告された脆弱性 – 2010年はセキュリティ脆弱性の報告が増加した年だった。
未対応の開示済脆弱性トップ12ベンダのリストにおいて,Sun,Microsoft,Mozilla の3社が先頭グループに位置している。
レポートが取り上げている脆弱性やエクスプロイトとしては,他に Conficker ワーム や Zeus ボットネット,BlackHat サーチエンジンポイズニング,Rogue アンチウィルスソフトウェア,さらには主要なドメインがロシアに移りつつあるスパムや,先行するブラジルの後をインドと韓国が追う様相のフィッシング,などがある。
IBM X-Force レポートはこれまで発見された脆弱性やエクスプロイト,最も脆弱性の高い企業やアプリケーションや技術,将来の動向などを詳しく解説している。今後もっとも対象となる可能性の高いドメインは,仮想化とクラウドコンピューティングの2つだろう。