緊急に対処が必要な脆弱性とは?
サイバー攻撃を受けた場合、必ずと言っていいほど何らかの脆弱性が利用されています。なかには発表されてから数ヶ月経っている脆弱性を利用された例もあり、まだまだ脆弱性の危険度に関する企業の認識の低さがうかがえます。
前回も説明しましたが、脆弱性の発表同日にそれを利用した攻撃やマルウエアが出てきます。
このような状況ですので、危険度が高いと警告された脆弱性があることが確認されたら、即日対応することが望まれます。それができない場合はリスクに応じて、そのアプリケーションを使わないか、ネットから隔離することも必要です。
では、そこまで緊急に対処しなければいけない脆弱性とは、どのようなものでしょうか?
脆弱性のリスクは、影響するアプリケーションやそれが使われている状況により変化します。それが、多数の利用者により使われていて、かつ頻繁にインターネットに接続するようなものである場合は、非常にリスクが高くなります。例えば、Internet Explorerおよびそのプラグインなどがそれに当てはまるアプリケーションと言えるでしょう。
多くの攻撃者は、ターゲットにマルウエアをインストールすることを最初の目的とし、それを行うのに適した脆弱性を利用します。
そのなかでも最も多いのが、メモリ破損やバッファオーバーフローと呼ばれる脆弱性で、これがあるとほぼ任意のコードを実行されてしまいます。簡単に言えば、この脆弱性を利用することで攻撃に必要なソフトウエアを、ターゲットのPCにこっそりダウンロードし、実行できてしまうのです。
この、メモリ破損やバッファオーバーフロー脆弱性ですが、Internet Explorerにおいては今年の8月中には11件報告されており、いずれも任意のコードが実行できるものです。2015年1月から8月までに、118件報告されています。その中でも利用しやすいものは、すぐにそれを利用した攻撃が確認されます(参考:マイクロソフト製品における2015年8月の脆弱性情報)。
最近公表されたInternet Explorerの脆弱性「メモリ破損の脆弱性 - CVE-2015-2502 - 2015年8月19日公開」がそれにあたります(参考情報)。そして、この脆弱性を悪用した例が確認されていますので、この脆弱性を使った場合の攻撃パターンを見てみましょう。
まず、攻撃者はターゲットがよく利用するWebサイトを事前にリサーチし、それらのうちに脆弱性を含むものがあれば、それを悪用してコンテンツを改ざんします。多くの場合、攻撃者が用意したWebサイトに密かに接続させるような仕組み(< iframe >タグなど)をオリジナルコンテンツ内に仕込みます。
これにより攻撃者は、本来表示されるWebサイトの画面の裏で、攻撃者が用意したサイトから、脆弱性を悪用してマルウエアをインストールするように細工したページを読み込ませることができます。要は細工したページを開かせればよいので、リンクを直接メールで送るパターンもあります。ほとんどの場合、この時点でターゲットはマルウエアのダウンロードと実行が行われたことに気付きません。
図:脆弱性による攻撃のパターン[クリックすると図が拡大します]
さて、細工がうまく働いて攻撃者がそのPC上でターゲットと同じレベルの権限を奪えると、任意のコードを実行してマルウエアをインストールすることができるわけですが、上述したCVE-2015-2502では、ターゲットが管理者権限でログインしていなければ大きなリスクにはなりません。
とはいえ、PC上での実行権限を奪われているので、それを利用して攻撃者が更なる脆弱性を悪用すると、特権の昇格につながる可能性があります。その、特権の昇格を可能にする脆弱性で最近公表されたものがCVE-2015-2387です。
Windowsの脆弱性「ATMFD.DLL のメモリ破損の脆弱性 - CVE-2015-2387 - 2015年7月15日公開」は、攻撃者がターゲットのPC上で特別に作成されたアプリケーションを実行し、それが成功すれば特権の昇格が可能になります(参考情報)。
先の脆弱性でマルウエアの実行に成功していた場合、バックドアを作製してCVE-2015-2387を悪用するアプリケーションをダウンロードします。アプリケーションがうまく働けば管理者権限を奪うことに成功します。攻撃者は、ここまでの侵入を短時間で完了できる能力を持っていると言われています。
そして、ここまでくればそのPC上のデータや、そのPCからアクセスできる範囲のデータを入手するなど、目的の達成までそれほど時間を要することはないでしょう。
