2009 年、シマンテックは Hydraq(Aurora)を使うグループによる大規模な攻撃を確認しました。それから 3 年が経過した今に至るまで、このグループはさまざまな業種を狙って攻撃を続けているため、シマンテックも継続してその活動を監視しています。攻撃には多数のゼロデイ脆弱性が悪用されており、最終的な標的組織だけでなく、その組織と取引をしているサプライチェーン企業にも影響が及んでいます。攻撃グループは組織的で、シマンテックが「Elderwood プラットフォーム」と名付けたインフラのコンポーネントを再利用しています。「Elderwood」は、一部の攻撃で悪用された通信に由来する言葉ですが、この攻撃プラットフォームによってゼロデイ脆弱性の悪用が簡単になります。これまでの攻撃では、常にスピア型フィッシングの電子メールが使われてきましたが、現在増えてきているのは、「水飲み場」型の攻撃(標的組織によってアクセスされる可能性が高い特定の Web サイトに侵入する攻撃)とも言える手口です。
シマンテックは、このグループによる攻撃活動をまとめて「Elderwood プロジェクト」と呼んでいます。
利用ユーザー数の多いソフトウェアの深刻なゼロデイ脆弱性が悪用され、実際に被害が出ている例はさほど多くはなく、ゼロデイ脆弱性の数は 2011 年には 8 件程度しかありませんでした。ところが、Elderwood 攻撃グループによって悪用されたゼロデイ脆弱性は、過去数カ月間だけで 4 件にのぼります。ゼロデイ脆弱性を悪用する攻撃(たとえば、Sykipot や Nitro、さらには Stuxnet など)はほかにもありますが、これほど多く使われた例はありません。悪用されたゼロデイ脆弱性の数を見ると、攻撃者は高度な技術スキルを有していることがうかがえます。以下に挙げるのは、このグループによって悪用された最近の脆弱性の一部です。
• Adobe Flash Player に存在するオブジェクト型の混乱によるリモートコード実行の脆弱性(CVE-2012-0779)
• Microsoft Internet Explorer の Same ID プロパティに存在するリモートコード実行の脆弱性(CVE-2012-1875)
• Microsoft XML コアサービスに存在するリモートコード実行の脆弱性(CVE-2012-1889)
• Adobe Flash Player に存在するリモートコード実行の脆弱性(CVE-2012-1535)
攻撃者がこれらの脆弱性を発見するためには、コンパイルされたアプリケーションのリバースエンジニアリングを徹底的に行うなど多くの作業が必要になりますが、もしソースコードにアクセスできていれば、作業は大きく軽減されます。このグループは、ゼロデイ脆弱性を際限なく悪用しているようにも見えます。脆弱性は必要に応じて使われており、その脆弱性の無防備性が高ければ、連鎖的に使われることも少なくありません。
これまでに確認されている主な標的には軍事関係のサプライチェーンも含まれますが、その大多数は最上層の軍事組織ではなく、電子部品や機器を上層の軍事企業に向けて製造している企業です。攻撃者の狙いは、このような中小の企業であればセキュリティ態勢が甘いと思われる点にあります。そのうえで、こうした企業を踏み台にして上層の軍事企業にアクセスしたり、最終的な製品に使われる部品の製造に関わる知的財産を盗み出したりするのです。図 1 は、軍事関係のサプライチェーンに含まれるさまざまな業種のうち、ごく一部を表したものです。
図 1. 標的となる業種
感染経路として「水飲み場」型の攻撃が急増していますが、これは攻撃グループの活動形態が明らかに変化していることを示しています。この攻撃の概念は、肉食動物が砂漠の水飲み場で獲物を待ち受けることと似ています。肉食動物は、獲物となる動物がいずれは水飲み場に現れることを知っているので、狩りに出かけたりせず、獲物が近づいてくるのを待ちます。これと同じように攻撃者は、標的のユーザーを含めた特定の利用者が多く集まる Web サイトを調べます。そのようなサイトを特定できたら、さまざまな手段を駆使してサイトに侵入します。そして、サイト上の公開ページに悪用コードをインジェクトし、標的のユーザーがアクセスしてくるのを待つわけです。悪用コードの影響を受けて侵入を許すと、コンピュータにバックドア型のトロイの木馬を仕掛けられてしまいます。CVE-2012-0779、CVE-2012-1875、CVE-2012-1889 という 3 つの脆弱性すべてが 30 日以内に、危殆化した Web サイトからバックドア型のトロイの木馬を仕掛けるために悪用されています。この攻撃手法を多用するためには、攻撃者は電子メールによる標的型攻撃よりも多くの情報をかき分けなければなりません。Web インジェクションによって侵入される被害者の数はずっと多くなるからです。
図 2. 「水飲み場」型の攻撃で使われる Web インジェクションのプロセス
軍事関係のサプライチェーンに関わる各企業は、子会社や取引先、関連企業などから発生する攻撃に注意する必要があります。これらの企業が、真の標的を狙うための踏み台として侵入を受けている可能性があるからです。企業も個人も、2013 年に予想される新しい攻撃の手口に備えなければなりません。過去に侵入を受け、どうにか攻撃者を撃退した経験のある企業の場合は、特に注意が必要です。以前に侵入されたときに盗み出された情報が、今後の攻撃で利用されるかもしれません。
ホワイトペーパー
シマンテックは、この攻撃者グループが使うさまざまな脆弱性の悪用と、標的の組織を狙う手口、「Elderwood プラットフォーム」との関係を詳しく説明したホワイトペーパー(英語)を公開しました。標的型攻撃が進化を続けている現状と、攻撃の背後にいるグループの執拗さについても考察しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。