エクスプロイトとは?なぜそんなに恐いのか?

2015年8月7日

セキュリティベンダーの発表資料では、データとシステムの安全に関わる深刻な問題として、エクスプロイトがよく取り上げられていますが、エクスプロイトとマルウェアの違いがはっきりしないこともあります。今回はエクスプロイトについて詳しく説明しましょう。

exploits-problem-expanation-featured

エクスプロイトとは?

マルウェアです。正確には、マルウェアの一種といったところでしょうか。エクスプロイトは(悪意ある)プログラムであり、その中に含まれるデータや実行可能コードが、ローカルコンピューターやリモートコンピューターで動作するソフトウェアの脆弱性を悪用します。

簡単に言うとこんな感じです。たとえば、使っているブラウザーに脆弱性が存在するとします。すると、システム上で密かに「任意のコード」が実行(悪意あるプログラムのインストールと起動)されたり、システムが想定外の動作をするようになったりします。大半のケースでは、攻撃者が標的システムで何でもできるように、権限を昇格させます。

ブラウザーは、Flash、Java、Microsoft Officeと並んで、特によく狙われるソフトウェアです。広く利用されているため、セキュリティエキスパートもハッカーも積極的に脆弱性を探しており、ベンダーは脆弱性の修正パッチをたびたびリリースしなければなりません。こうしたパッチはすぐに適用するのが一番なのですが、あいにくタイムリーに適用できない場合もあります。

特に問題となるのは、ブラックハットハッカー(悪意を持ってハッキングするハッカー)が発見して悪用する未知の脆弱性、いわゆるゼロデイ脆弱性です。ベンダーが問題を把握して対処するまでに、しばらく時間がかかることもあります。

感染経路

このセクションはかなり技術的な内容なので、エクスプロイトの仕組みをどうしても知りたい人以外は、読み飛ばしていただいて構いません。ただ、サイバー犯罪者は他の感染手段よりエクスプロイトを好む傾向にあることは覚えておいてください。運任せになることもあるソーシャルエンジニアリングと違って、脆弱性の悪用は犯罪者の望みどおりの結果を出せるからです。

エクスプロイトが「送り込まれる」経路は2つあります。1つは、悪意あるエクスプロイトコードが仕込まれたサイトにアクセスしたとき。もう1つは、一見無害そうで実は悪質なコードが隠されたファイルを開いたときです。簡単に想像が付くと思いますが、ほとんどのエクスプロイトは、スパムやフィッシングメールを介して送り込まれます。

Securelistの記事に書かれているように、エクスプロイトは、脆弱性を含むソフトウェアの特定のバージョンを攻撃するように設計されています。ですから、悪意あるオブジェクトを開いてしまうバージョンのソフトウェアを使っている場合や、そういったソフトウェアがWebサイトで使われている場合、エクスプロイトが起動します。

エクスプロイトが脆弱性を突いてアクセス権を手に入れると、犯罪者のサーバーから別のマルウェアが送り込まれます。悪質なふるまいをするのはこのマルウェアです。個人情報を盗むほか、コンピューターをボットネットに組み込んで、スパムの拡散やDDoS攻撃などに利用します。

注意深くまめな性格で、ソフトウェアをいつもアップデートしている人にとっても、エクスプロイトは脅威となります。というのも、脆弱性の発見から修正パッチのリリースまでに時間差があるからです。

その間、エクスプロイトは好き勝手に動き、インターネットユーザーを脅かします。例外があるとすれば、エクスプロイト攻撃を防ぐ自動ツールがインストールされているユーザーだけでしょう。

群れをなすエクスプロイト

エクスプロイトは通常、複数の種類が1まとめになって送り込まれます。これは、攻撃対象のシステムと数多くの脆弱性を照合し、一致するものがあれば、該当するエクスプロイトを侵入させるためです。エクスプロイトキットは、検知を逃れるためにコードが難読化されていることが多々あり、リサーチャーから特定されないようにURLパスが暗号化されていることもあります。

特に有名なエクスプロイトキットは以下のとおりです:

Angler – アンダーグラウンドマーケットで最も高度なキットの1つです。Anglerがアンチウイルスと仮想マシン(セキュリティリサーチャーがよくハニーポットとして使用)を認識したり、暗号化されたドロッパーファイルを展開したりするようになってから、エクスプロイトを巡る状況が一変しました。また、新たに公表されたゼロデイをいち早く組み込むキットでもあります。Anglerのマルウェアはメモリから実行されるため、標的コンピューターのハードディスクへ書き込む必要がありません。Anglerの技術について詳しくはこちらをご覧ください。

Nuclear Pack – JavaとAdobe PDFのエクスプロイトを使って攻撃し、悪名高いバンキング型トロイの木馬Caphawをロードします。こちらでNuclear Packのさらに詳しいデータを紹介しています。

Neutrino – Javaのエクスプロイトをいくつか含むロシア製のキットです。34,000ドルという非常に手ごろな価格で売り出されたため、昨年、大きく報じられました。このセールは、Paunchという人物の逮捕が原因と見られています。この人物は、(次項で紹介する)Blackhole Kitの作成者です。

Blackhole Kit – 2012年に最も蔓延したWebの脅威です。Firefox、Google Chrome、Internet Explore、Safariといったブラウザーの古いバージョンや、Adobe Flash、Adobe Acrobat、Javaなど、多数の人気プラグインの脆弱性を利用します。標的をランディングページに誘い込むかリダイレクトした後、難読化されたJavaScriptが標的コンピューターの環境を判定し、コンピューターが持つ脆弱性に対応するエクスプロイトをすべてロードします。

Blackholeはエクスプロイトキットにしては珍しくWikipediaに専用のページがありますが、Paunchの逮捕後、このキットはほとんど使用されなくなりました

まとめ

エクスプロイトは、ふるまい分析機能のないセキュリティ製品では検知されないことがあります。実際、エクスプロイトに有効な対策は、ふるまい分析しかありません。さまざまなマルウェアがあるとしても、ふるまいのパターンはほぼ似たようなものだからです。

他のカスペルスキー製品同様、カスペルスキー インターネット セキュリティカスペルスキー マルチプラットフォーム セキュリティのWindows対応プログラム)にも脆弱性攻撃ブロック機能が搭載されており、既知のエクスプロイトの典型的なふるまいに関する情報を利用しています。こうした悪質プログラムに特有のふるまいは、これまで知られていないゼロデイ脆弱性エクスプロイトの感染防止にも役立ちます。

脆弱性攻撃ブロック技術の詳細については、こちらの記事を参考になさってください。