SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

ゼロから分かる「脆弱性」対策のキホン

最近の事例から学ぶ!脆弱性を狙った侵入方法とは? 

 「脆弱性」は、日々様々なアプリケーションで新しいものが発表されています。攻撃者はどの脆弱性を使い、どのように侵入を試みるのでしょうか。脆弱性対策において、その方法を詳細に知る必要はありませんが、侵入検知や防御の面からは有効な情報となります。今回は、実際の脆弱性を例に、どのような攻撃のパターンが可能なのかを紹介します。

緊急に対処が必要な脆弱性とは?

 サイバー攻撃を受けた場合、必ずと言っていいほど何らかの脆弱性が利用されています。なかには発表されてから数ヶ月経っている脆弱性を利用された例もあり、まだまだ脆弱性の危険度に関する企業の認識の低さがうかがえます。

 前回も説明しましたが、脆弱性の発表同日にそれを利用した攻撃やマルウエアが出てきます

 このような状況ですので、危険度が高いと警告された脆弱性があることが確認されたら、即日対応することが望まれます。それができない場合はリスクに応じて、そのアプリケーションを使わないか、ネットから隔離することも必要です。

 では、そこまで緊急に対処しなければいけない脆弱性とは、どのようなものでしょうか?

 脆弱性のリスクは、影響するアプリケーションやそれが使われている状況により変化します。それが、多数の利用者により使われていて、かつ頻繁にインターネットに接続するようなものである場合は、非常にリスクが高くなります。例えば、Internet Explorerおよびそのプラグインなどがそれに当てはまるアプリケーションと言えるでしょう。

 多くの攻撃者は、ターゲットにマルウエアをインストールすることを最初の目的とし、それを行うのに適した脆弱性を利用します。

 そのなかでも最も多いのが、メモリ破損やバッファオーバーフローと呼ばれる脆弱性で、これがあるとほぼ任意のコードを実行されてしまいます。簡単に言えば、この脆弱性を利用することで攻撃に必要なソフトウエアを、ターゲットのPCにこっそりダウンロードし、実行できてしまうのです。

 この、メモリ破損やバッファオーバーフロー脆弱性ですが、Internet Explorerにおいては今年の8月中には11件報告されており、いずれも任意のコードが実行できるものです。2015年1月から8月までに、118件報告されています。その中でも利用しやすいものは、すぐにそれを利用した攻撃が確認されます(参考:マイクロソフト製品における2015年8月の脆弱性情報)。

 最近公表されたInternet Explorerの脆弱性「メモリ破損の脆弱性 - CVE-2015-2502 - 2015年8月19日公開」がそれにあたります(参考情報)。そして、この脆弱性を悪用した例が確認されていますので、この脆弱性を使った場合の攻撃パターンを見てみましょう。

 まず、攻撃者はターゲットがよく利用するWebサイトを事前にリサーチし、それらのうちに脆弱性を含むものがあれば、それを悪用してコンテンツを改ざんします。多くの場合、攻撃者が用意したWebサイトに密かに接続させるような仕組み(< iframe >タグなど)をオリジナルコンテンツ内に仕込みます。

 これにより攻撃者は、本来表示されるWebサイトの画面の裏で、攻撃者が用意したサイトから、脆弱性を悪用してマルウエアをインストールするように細工したページを読み込ませることができます。要は細工したページを開かせればよいので、リンクを直接メールで送るパターンもあります。ほとんどの場合、この時点でターゲットはマルウエアのダウンロードと実行が行われたことに気付きません。

図:脆弱性による攻撃のパターン[クリックすると図が拡大します]

 さて、細工がうまく働いて攻撃者がそのPC上でターゲットと同じレベルの権限を奪えると、任意のコードを実行してマルウエアをインストールすることができるわけですが、上述したCVE-2015-2502では、ターゲットが管理者権限でログインしていなければ大きなリスクにはなりません。

 とはいえ、PC上での実行権限を奪われているので、それを利用して攻撃者が更なる脆弱性を悪用すると、特権の昇格につながる可能性があります。その、特権の昇格を可能にする脆弱性で最近公表されたものがCVE-2015-2387です。

 Windowsの脆弱性「ATMFD.DLL のメモリ破損の脆弱性 - CVE-2015-2387 - 2015年7月15日公開」は、攻撃者がターゲットのPC上で特別に作成されたアプリケーションを実行し、それが成功すれば特権の昇格が可能になります(参考情報)。

 先の脆弱性でマルウエアの実行に成功していた場合、バックドアを作製してCVE-2015-2387を悪用するアプリケーションをダウンロードします。アプリケーションがうまく働けば管理者権限を奪うことに成功します。攻撃者は、ここまでの侵入を短時間で完了できる能力を持っていると言われています。

 そして、ここまでくればそのPC上のデータや、そのPCからアクセスできる範囲のデータを入手するなど、目的の達成までそれほど時間を要することはないでしょう。

次のページ
パッチを適用することが第一!早ければ早いほど有効

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ゼロから分かる「脆弱性」対策のキホン連載記事一覧

もっと読む

この記事の著者

富田 隆一(トミタ リュウイチ)

ラピッドセブン ・ジャパン株式会社 シニアセキュリティコンサルタント1991年に外資系ネットワーク機器ベンダーに入社。以後、スイッチ、ルータ、負荷分散装置のセールスサポートを経て、2003年にFortinetでUTMを初めて市場に展開。これを機にセキュリティの重要性を認識。その後、セキュリティの新た...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7229 2015/10/05 06:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング