セキュリティ 標的型攻撃のウイルス

このドキュメントの内容は、以下の通りです。

• 標的型攻撃
• ウェブアプリケーションへの攻撃
• 脅威の傾向
• Web 以外のサービスに対する攻撃
• Webアプリケーションの脆弱性に対する攻撃
• SQL インジェクションの攻撃
• 今後の脅威予測
• スマートフォン
• リスト型アカウントハッキング
• まとめ
• 参考

LAC の JSOC のレポートに少し目を通しました。

標的型攻撃

LAC の JSOC のレポートによると、国内の標的型攻撃の解析結果から
「必ずしも組織に特化したウイルスが開発されているわけではない」
ということが明らかになってきたとのことです。
JSOC のシグネチャで、標的型攻撃のウイルス感染を早期に発見しているようです。

ウェブアプリケーションへの攻撃

ウェブアプリケーションへの攻撃は、「オープンソースのウェブアプリケーション固有の脆弱性」を狙った攻撃が多い。
ボット型ウイルスに感染したホストから、第三者の命令の指示で攻撃を行なっていると見られています。

Apache JBoss のウェブ管理画面の脆弱性を攻撃して感染を色ゲルウイルスが登場しているようです。
Apache Tomcat や phpMyAdmin などウェブ管理画面やインストール時に一緒にインストールされるサンプルプログラムへの攻撃も継続しています。

OSS(オープンソース) やフレームワークは、脆弱性対応のための継続的なバージョンアップを行わなければなりません。

脅威の傾向

インターネットからの攻撃の88%は、Web サービスを狙ったものです。

Web サービスへの攻撃の内訳は、以下のとおりです。


いずれかの以下の対策が必要です。

• パッチ適用が必要な攻撃
• 設定の不備の見直しが必要な攻撃
• アプリケーションの改修が必要な攻撃

Web 以外のサービスに対する攻撃

SSL や FTP のブルートフォース攻撃は、SSHへの攻撃が多く推移しています。

• SSH Brute
• FTP Brute

Webアプリケーションの脆弱性に対する攻撃

• Web Application オープンソースの特定 Webアプリケーションの脆弱性を狙った攻撃
• Remote File Include リモートファイルの読み込みを狙う攻撃
• SQL Injection
• LFI 環境変数ファイル(environ)の読み込みを狙った攻撃
• XSS
• File Disclose 設定ファイルやパスワードファイルを不正に参照する試み
• XMLRPC XML-RPC の脆弱性を狙った攻撃

SQL インジェクションの攻撃

• SQL Injection (Probe) 脆弱性調査
• SQL Injection (Generic) 情報窃取やコマンド実行
• SQL Injection (Deface) Web ページ改ざん

今後の脅威予測

スマートフォン

Android マーケット等で不正なアプリケーションが配布され、
不正なアプリケーションによって、位置情報、個人情報などの情報の窃取、スマートフォンの操作の乗っとり、SMS(ショートメッセージ)の送信などの被害を受ける可能性があります。

リスト型アカウントハッキング

特定の組織から流出したID/パスワードのリストを元に、様々なオンラインサービスへのアカウントハッキングを試行する「リスト型アカウントハッキング」が行われています。
複数のサイトでのID/パスワードの使い回しにより、その攻撃により影響を受ける可能性があります。

まとめ

2011年は、内部ネットワークのインシデントの傾向では、 SpyEye や TDSS などの高機能なウイルス、また、標的型攻撃によるウイルスの感染によるインシデントが特徴的でした。

インターネットからの攻撃は、 Web系サービスへの攻撃が進み、攻撃件数も増大しました。

参考

• 【JSOC】侵入傾向分析レポート Vol.18 http://www.lac.co.jp/security/column/2012/04/jsoc20120426.html

---