セキュリティウィーク35:WordPressの脆弱性、GitHubへのDDoS攻撃、不正アクセスの法的責任

2015年9月18日

情報セキュリティニュース業界(というものがあればの話ですが)は、真偽の定まらない話題を振りまく『Vanity Fair』誌的なメディアほどではありませんが、いつも興奮気味で常にスクープを探しています。たとえば、昨年Threatpostで特に読まれた記事は、PNGの脆弱性という何ともありきたりな内容でした。というより、脆弱性ですらなく、画像のメタデータ内の悪質コードを難読化する手法にすぎません。では、どうして?誰かが(もちろん当社ではありません)この不具合を「猫の写真を見るだけでPCが感染する!!」と報じることにしたからです。

security-week-35-burn

もちろん、何億台ものマシンが感染するような超特大のセキュリティホールが発見されれば、喜んで記事にするところですが、そういうものはどこにも見当たりません。Slammerは、もうずいぶん前の話です。この卑劣で小さなマルウェアは、インターネット接続さえあれば、Windows XP PCをわずか30分で感染させることができました。

最近のソフトウェアは、(まだ)そこまで簡単に攻撃できる標的ではありません。でも、何かものすごく恐ろしいことが起こったとしたら?誰もが恐れおののき、打ちひしがれ、PCやスマートフォンや冷蔵庫の次世代セキュリティについて考えてしまうような脅威が。または、誰かしら邪悪な人間の意思によって、デバイスや家電がただのプラスチックとか金属とかの塊になってしまったら?世界は大混乱です。おいおい!勘弁してくれ!もう、情報の保存と共有を紙とペンに頼っていた時代に戻るしかない!

まあ、情報セキュリティにおける壮大なやらかし、というものは(モノのインターネットなどを考えると)いかにもありそうですが、可能性は低そうです。それよりも、大きなことが起こるのを待っている間に、誰かが圧倒的勝利を収め誰かが大敗を喫するような深刻で現実的な欠陥を見落とすかもしれません。そのような欠陥とは、未対応の脆弱性に他なりません。いつものことです。

今回の情報セキュリティニュースダイジェストでは、いつものように脆弱性の話題を3件紹介します。どれも大規模かつ効果的に悪用されています。さて、このシリーズについて今一度ご説明を。毎週、Threatpostチームが重要なニュースを3つ選び、私が歯に衣着せぬコメントを加えます。前回までの記事はこちらをご覧ください。

ハッキングしたWordPressサイトを使ってNeutrinoエクスプロイトパックを配布

ニュースZScalerのリサーチ

このニュースは2つに分けて説明するのがいいでしょう。1つ目は、数多くのブログやWebサイトで利用されているWordPressエンジンのさまざまな脆弱性について。2つ目は、こうした脆弱性を悪用するハッカーの手口、PCの感染に使われるマルウェア、そしてハッキングという悪事から利益を得る手段について説明します。

今やWordPressは、WebベースのWindowsのようなもの。豊富なプラグインを利用できる大人気のWebエンジンなので、サイバー犯罪者から大きな注目を集めているのも偶然ではありません。今年見つかった脆弱性(これで全部ではありません)を見てみてください:

security-week-35-boring

ざっと、こんな感じです。Zscalerのリサーチャーは、無防備なWordPressサイト(バージョン4.2以前)への大規模な不正アクセスを発見しました。ちなみに、バージョン4.2がリリースされたのは今年の4月と、ごく最近です。サイトを1年以上更新していない人は、どんなに大変な目に遭っていることか。Webサイトをハッキングしたサイバー犯罪者は、inframeを注入してからNeutrinoエクスプロイトパックをセットアップし、PCをマルウェアに感染させます。これまでに2,500サイト以上が影響を受けました。インターネット全体と比べれば大した数ではありませんが、何万もの利用者が惨めな生活を送るには十分な数です。

さらに、このエクスプロイトパックで利用されているのがAdobe Flashの脆弱性。かの有名なHacking Teamへの不正アクセスで流出したものです。こうして標的マシン上でコードを実行できるようにした後、攻撃者はマルウェアCryptowallを展開します。これは1年以上活動を続けているランサムウェアの一種で、復号鍵と引き替えに500ドル以上の身代金を要求します。

security-week-35-cryptowall

「お前のファイルはすべて預かった」。ランサムウェアについて詳しくは、こちらをクリック

自分が小さな会社を経営していると想像してみてください。2~3年前に、サードパーティのサプライヤーからすっかり準備済みのWebサイトを買ったとしましょう。つまり、このサイトにどんなエンジンが使われているのか、さっぱりわかりません。たとえばYahoo!のバナーを介して悪質コードを忍ばせるといった大がかりな手口に比べれば、なんてことはありませんが、このような感染サイトから百万ドル単位のお金が手に入るのです(見方によっては損失ですが)。

セキュリティの視点で見ると、特に驚くような攻撃ではありません。これは小さなインシデントの集まりです。こんな具合に。「1つのWebサイトエンジン(またはそのプラグイン)に数多くの脆弱性がある」「そのエンジンを利用するサイトにハッキングが繰り返し行われ、エクスプロイトパックが導入される」「誰かがそのエクスプロイトパックを進化させる。そのために使われるデータは、脆弱性の売買を商売にしながら結局は自社の極秘データを守れなかった企業から流出した情報である」。

古いFlashを使っている人たちがいる、自分のファイルにアクセスできなくて絶望している人たちからお金を巻き上げる人がいる。個別に見れば大した問題ではありませんが、全部ひとまとめになるとゾッとするような状況が浮かび上がります。

興味深いことに、先ごろNeutrinoのトラフィックが競合のエクスプロイトAnglerを抜いて急上昇したことをリサーチャーが指摘しました。現時点ではっきりした理由はわかっていません。どうやら、こうしたサイバー犯罪活動の背後にいる人たちは、金儲けだけでなく、覇権を巡って争っているようです。

GitHubにまたDDoS攻撃

ニュース。別のニュース

実を言うと、ソフトウェアの脆弱性の数を減らすのはとても簡単です。プログラマーにコードを書かせないだけでいいのですから。まあ、これは意見が分かれそうなやり方ですが、そうしたいと思った人がいたようで、ソフトウェア業界で最も有名なリポジトリGitHubにDDoS攻撃をしかけて、運用を妨害しました。

といっても、これは一面を飾るようなニュースではありません。早朝に始まった攻撃は、すぐに発見され、3時間後には鎮圧されました。実行犯の正体はいまだ不明。あまりに退屈であくびが出そうです。では、なぜこのニュースが大きく注目されたのか?それはGitHubが3月に1週間以上にわたる激しいDDoS攻撃を受けていたからです。皆が過剰に反応したのも無理はありません。

security-week-35-notagain-en

3月の攻撃は興味深いものでした。エキスパートの間では、マルウェアトラフィックがどういうわけか中国の検索エンジン百度(バイドゥ)に接続されているという見方が有力でした。たとえるなら、Googleのメインページにiframeが現れて、標的のWebサイトにトラフィックをリダイレクトするようなものです。

これならどんなWebサイトでもダウンするでしょうが、とても実行できるとは思えません。可能でしょうか?まず無理でしょうし、この3月の攻撃に関して百度にはまったく非がなく、「ボーナス」は百度ではなくどこかの中国ユーザーに送られたようです。

具体的にどこなのかは、まだわかっていません。もしかすると、利用者を感染させてから、人気サイトにアクセスしたときに悪質スクリプトをダウンロードするように仕向けるという常套手段だったのでしょう。もしくは、どこか別のところでスワップが起きたのかもしれません。

たとえば、世界のインターネットと中国のインターネットの間にあるどこか、「グレートファイアウォール」のある領域で起きたかもしれません。この場合、国外から中国のWebサイトにアクセスする人が、意図せず攻撃者の命令を実行してしまうことが考えられます。サーバーからの応答に悪意あるスクリプトが含まれていて、これが標的のPCからGitHubプロジェクトに対して使用されるというわけです。

なお、影響を受けたGitHubプロジェクトは、慎重に選ばれたと思われます。標的となった2つのプロジェクトは、グレートファイアウォールを迂回し、中国で禁止されているコンテンツへのアクセスを可能にするものでした。この種の攻撃には、「マン・オン・ザ・サイド」(Man-on-the-Side:MotS)という名前まで付いています。このニュースの教訓は、HTTPSに勝るものなし、といったところです。

米国のホテルチェーンが情報漏洩の責任を問われる

ニュース

こちらは完全に法と秩序に関するニュースですが、とても大事な内容です。7年前、ホテルチェーンWyndhamのITインフラがハッキングされ、600,000件の顧客レコードが盗まれました。クレジットカードのデータが流出し、カード会員から奪われた金額は1,000万ドルを超えます。侵入の手口はとても単純でした。グループ内のホテルの中から無防備なコンピューターを1台見つけ、管理者パスワードを手に入れれば、あとはもう…何にでもアクセスし放題です。

技術的な点から見ると、このハッキングはホテルのセキュリティチームの大失態です。顧客データはもちろんのこと、クレジットカード番号まで暗号化せずに保存するなんて、いったいどういう了見なのか?米連邦取引委員会(FTC)はWyndhamに怒り心頭。自社のプライバシーポリシーを順守していないと指摘しました。

Wyndhamは「標準に準拠した保護」(ファイアウォールを設置する、データを暗号化する、など)を提供するという約束を守っていませんでした。結局のところ、ファイアウォールもなければ暗号化もされていなかったのです。PCのパスワードは既定のままで、セキュリティ監査は一度も実施されておらず、緊急時の次善策も用意されていませんでした。FTCは同社を処罰しようとしました。FTCにその権限があるのかどうかが争点になるという極めて異例の訴訟です。一連の審理を経て、FTCにはその権限があるという判決が下りました。

面白そうな話です。ある企業がAPT攻撃を受けたとしましょう。高度なハッキング技術を駆使するAPTで、不正アクセスが長期にわたって続きました。この企業が、必要な対策をすべて実施していたのに、それが迂回されてしまって打つ手がない、という状況なら、何も問題はありません。

でも、お世辞にも高度とは言えない攻撃が延々と続いたのは、単にインフラがどうしようもないほど脅威に対して脆弱だったから、という場合は話が別です。この裁判所の判決で、米国企業のコンプライアンスに関する悩みの種が少し増えました。コンプライアンスに関するルールは通常、クレジットカード処理システムに適用されるのですが、個人情報保護のあらゆる側面に適用されることになったようです。

もしかすると、これで良かったのかもしれません。しかし、保護の技術や手法が生み出される場所は、決して法廷ではないはずです。裁判所の役割は、定義に磨きをかけること。あともう1つだけ言っておきたいのですが、データは暗号化するべきです。「バックアップを取るべき」と同じくらい当たり前のことにしか思えません。繰り返しますが、データは暗号化しなければなりません。

ちなみに、不正アクセスで顧客にもっとひどい影響が出たTargetは、FTCの裁定により、罰金は科されませんでした。

その他のニュース

米国のリサーチャーが、Google Playのアプリ400,000個以上をスキャンし、そのうちの7.6%に危険性があることがわかりました。この数字はGoogle自身の評価と一致していません。同社によると、Google Playだけからアプリをダウンロードした場合に感染する確率は、たったの0.15%だそうです。また、このリサーチャーの調査方法は的外れで、コードを解析し、標準から外れた記述が見つかると、そのコードを自動的に「危険性あり」に分類するというものでした。

ロシアで、ランサムウェアがメールによって拡散しています。これ自体は前からあった話です。どこがニュースかと言えば、銀行のの「督促状」が利用されるようになった点です。サイバー犯罪者はどんな状況であっても、それこそ金融危機でさえも、自分たちの利益になるよう活用する術を心得ています。

Appleは、システムで制限時間が設定されていてもアプリがユーザーを追跡できてしまう脆弱性を修正しました。単なる悪質アプリよりも、このバグを悪用しているアプリの方がずっと簡単にApple Storeの審査を通過するというのは、何とも笑える話です。

懐かしのあれこれ

Den-Zuk

infosec-digest-32-book

非常に危険なウイルスで、長さは9セクターです。呼び出されると(int 13h, ah = 2,3,4,5)、ディスクのブートセクターに感染します。ウイルスの2番目の部分がディスクに保存された場合、セキュリティチェックが行われず、ディスク内の情報の一部(40番目のトラック)が破壊されます。

int 9と13hを乗っ取ります。この「ワーム」はリブートした後、画面上に自分の名前(Den Zuk)を表示します。感染したディスクのタグを「YC1ERP」に変更します。破壊的な関数は使いませんが、ディスクの40番目のトラックにあるデータが破壊される恐れがあるため、非常に危険です。以下のテキストが含まれています:「Welcome to the C l u b — The HackerS — Hackin’ All The Time」「The HackerS」

1992年、ユージン・カスペルスキー著『Computer viruses in MS-DOS』(MS-DOSのコンピュータウイルス)99ページより引用。

注意:この記事は著者の個人的見解を反映したものです。これはKaspersky Labの見解と一致していることも、一致していないこともあります。運次第です。