「気づけない」攻撃手法が日本で拡大
「気づけない」攻撃手法が日本で拡大
2015年、6月に発覚した日本年金機構からの情報漏えい事件は、近年日本で起きた、標的型サイバー攻撃でした。
この事件を発端とし、国内法人組織の情報を狙う「標的型サイバー攻撃」の実態が明るみになりました。
標的型サイバー攻撃による大きな情報漏えい事例は 9 月以降報道されていません。
しかし6月の時点で被害が無いように見える法人組織であっても 4 社に 1 社の割合で既に侵入を受けており、被害に気がついていないだけ、という実態がわかってきました。
また、広く一般のインターネット利用者を狙う脅威としては、「正規サイト汚染」を発端とし、脆弱性を利用した攻撃によって金銭目的の不正プログラムを気づかないままに感染させる、「脅威連鎖」の全貌が明らかになってきました。
発端となる正規サイト汚染に関しては、これまでの常套手段であった Web改ざんに加え、新たに「不正広告」が日本国内でも大きな影響を及ぼしています。
脆弱性攻撃サイトへの誘導手段のうち、不正広告と Web 改ざんの「正規サイト汚染」が 86%を占めています。
この Web 経由の脅威連鎖の中でインターネット利用者に自動的に不正プログラムを感染させる手法として、脆弱性攻撃ツールであるエクスプロイトキットの利用が常套手段化しています。
2015 年 1 年間ではエクスプロイトキットを使用した脆弱性攻撃サイトへ日本から 720 万件以上のアクセスがありました。
そして脅威連鎖の最後には、「ランサムウェア」や「オンライン銀行詐欺ツール」と言った金銭を狙う不正プログラムが侵入することが確認されています。
特にランサムウェアの検出台数は法人利用者において前年比 2.7 倍に増加しており、個人利用者だけでなく法人利用者でも深刻な被害が発生しています。
6 月に発覚した日本年金機構からの個人情報漏えい事例2以降、それまで表面化してこなかった組織の持つ情報を狙う攻撃が一気に顕在化しました。2015 年 1 年間に発覚した標的型サイバー攻撃3事例は 23件であり、公表されているだけでも 110 万件近い情報が流出しました。この発覚件数は 2014 年 1 年間で公表された同様のサイバー攻撃事例 5 件の 4.6 倍となります。
これらの公表事例の内容を整理してみると、23 件中 18 件で外部の指摘を受けて調査を開始しており、「自分では気づけない」という標的型サイバー攻撃の特徴が表れています。
また、侵入経路に関しては標的型メールの添付ファイルによる侵入が最も多いものとなっていますが、7月以降には Web 経由のいわゆる「水飲み場型攻撃4」による感染も見られています。
ただし Web 経由とされている事例でも、調査の結果、メール内の URL から改ざんサイトへ誘導されていた事例も確認されており、侵入の発端はほぼすべてが標的型メールであると言えます。また、侵入経路がはっきりとわかっていない事例も 22%あり、外部指摘からの被害発覚後の調査では、攻撃の全貌把握は十分に行えない場合があることがわかります。
ただし、これらの公表事例だけで判断した場合、事例は 2015 年 6 月以降に集中しており、標的型サイバー攻撃の被害は一過性のものであるかのように思えるかもしれません。しかしこの被害発覚の集中は、
4 水飲み場型攻撃:標的型サイバー攻撃において、標的となる組織や個人が利用するWeb サイトを改ざんし、攻撃に利用する攻撃手法。英:Watering Hole Attack
日本年金機構の事例発覚を発端により厳しい監視や調査が行われた結果、これまで気づけていなかった攻撃がこの期間に表面化しただけ、と言えます。
標的型サイバー攻撃ではまず外部からの遠隔操作を実現するための RAT5を標的組織内に侵入させます。
トレンドマイクロが 2015 年に行った組織内ネットワーク
における挙動監視対応では、事例の 24%において、この標的型サイバー攻撃で使用される RAT による不審な通信を検出しました。この割合は 2014 年における監視対応においても 26%とほぼ同様の割合となっており、この 2 年間で大きな変化はありりませんでした。
また、2015 年 1 年間にトレンドマイクロで実際に対応を行った標的型サイバー攻撃事例においては調査の結果、最初の侵入は調査依頼の 5 か月以上前(平均 153 日、最長 443 日)に発生しており、長期間にわたって攻撃に気づけない実態がわかっています。
これらのデータからは、標的型サイバー攻撃は決して一過性のものではなく、ずっと継続して繰り返されていることがわかります。そして、この侵入に気づくことができなかった組織が実際に被害を受けてしまった組織、と言うことができるでしょう。これらの事実から浮き彫りになる、日本における標的型サイバー攻撃被害の実態は、
1. 被害に遭っていないと考えている企業であっても 4 社に 1 社は既に標的型サイバー攻撃の侵入を受けている
2. 平均的な事例では最初の侵入から 5 か月以上経過後に外部から指摘されて侵入が発覚し対応を開始する。最悪の場合はそのまま気づかずに情報を奪われ発覚もしない
という状況である、とまとめることができます。
5 RAT:攻撃者が外部からの遠隔操作を実現するために使用するツールの総称。Ramote Access Trojan(もしくは Tool)、遠隔操作ツール
セキュリティエキスパートの見解
2015 年に発覚した多くの標的型サイバー攻撃事例を通じて、その「気づけない」特徴が明らかになりました。
これらの特徴は以前から指摘されていたものですが、表面化しにくい標的型サイバー攻撃被害において、実事例の中から確認できたことには大きな意味があります。
これらの実事例においては、個々の事例における攻撃者の最終的な狙いまでは断定できていません。しかし、情報流出被害を確認した被害事例 13 件のうち、12 件は個人情報の漏えいとなっており、実際に確認されている被害の内容は組織の持つ個人情報に集中していると言えます。
顧客や職員の個人情報はどのような法人組織でも必ず持っている重要情報です。また、マイナンバー制の施行により、組織の持つ個人情報の重要性はこれまでよりも高まっています。これらを考え合わせると、「気づけない攻撃」への対策は、すべての法人組織において自分事として捉え、取り組んでいくべき課題になったものと言えます。
組織でのセキュリティ対策は、このような気づけない標的型サイバー攻撃にいち早く気づけるような対処が必要です。そのためには侵入を前提としたネットワーク内外への通信監視の対策が重要です。侵入に気づけていなかった組織が受けた「外部からの指摘」は、組織内のネットワークに侵入した RAT による外部 C&C サーバ6との通信の存在によるものでした。
また、対策の前提として、自組織が持つ情報資産を棚卸し、守るべき情報の優先度を決定すること、侵入が発覚した場合どのような対応を行うべきかといった事前準備も重要です。
日本を狙う「正規サイト汚染」、気づけない不正広告が 7000 サイト以上に影響
2015 年を通じ、「不正広告7」と「Web 改ざん」を中心とした「正規サイト汚染」が日本を狙う攻撃で多く使用されている実態が明らかになってきました。
2015 年にトレンドマイクロでは多くの Web 経由でのドライブバイダウンロード攻撃8を確認しました。うち、特に調査を行った 127件の脆弱性攻撃サイトについて、国内からのアクセスをたどり誘導元サイトを確認したところ、44%が不正広告、41%がWeb 改ざんであり、正規サイト汚染を発端とする攻撃が全体の 85%を占めていることがわかりました。
特に、7 月以降に攻撃が顕著化9 10した不正広告ではその後も攻撃が拡大しています。攻撃者は脆弱性攻撃サイトへ誘導するコードを含む広告コンテンツをなんらかの方法でアドサーバ11に混入させることで、正規のネット広告を不正広告で汚染します。
2015 年にトレンドマイクロでは、国内からのアクセスがあった不正広告サーバ12を 55 件確認しましたが、そのうちのおよそ 4 割にあたる 21件が 12 月に登場しており、日本を狙う不正広告は増加傾向にあると言えます。
7 不正広告:一般の Web サイト上に表示される広告コンテンツ内に、不正コードを混入させる攻撃。英:Malvertisement、Malvertising
8 ドライブバイダウンロード:脆弱性などを利用し自動的に不正プログラムをダウンロード、実行させる攻撃手法
これらの不正広告サーバについて、国内からのアクセス経路を調査したところ、7000件以上の正規サイト上でこれらの不正広告が表示されていたものとわかりました。
サイト種別としては、ブログ・Wiki などのレンタルシステムが最も多く確認されました。
これらのサイトでは日常的に多くの広告を表示するまとめサイトなどが運用されています。また、各種メディアや企業のサイトは数的な割合としては少ないものの月間 100 万アクセスを超える人気サイトが多く、影響度としては非常に大きいものと言えます。
また Web 改ざんについては、Web サイトの弱点として CMS13の脆弱性を狙う手口が顕著になっており、
特に国内でも使用の多い WordPress14が狙われる傾向が明らかになっています。2015年にトレンドマイクロが国内で調査を行った Web 経由のドライブバイダウンロード攻撃で使用された改ざん事例 129件の中でも、WordPress を使用していた被害 Web サイトが最も多く、99 件で全体の
77%を占めました。
13 Web を構成する各種コンテンツの編集や保存を一元的に管理するシステムの総称。Content Manag
gement System、コンテンツ管理システム14 https://ja.wordpress.org/
これらの被害 Web サイトでは WordPress、Joomla! 15、Drupal16などの CMS が使用されていましたが、調査時点で最新バージョンの CMS の使用が確認できたのは 1 件のみでした。また、確認された使用バージョンからの推測では、23%は 1 年以上 CMS のアップデートが行われておらず、平均で 7 か月間、最長では 4 年 7 か月以上放置されていると思われるサイトもありました。これらのアップデートの放置が直接改ざん原因に繋がるとは断定できませんが、そもそも Web サイトの管理自体が行き届いていないサイトが被害を受けやすい、ということは言えるでしょう
セキュリティエキスパートの見解
不正広告による攻撃は、多くのインターネット利用者に影響を及ぼせる点、そして、閲覧者や閲覧タイミングなどの条件で刻々と変化するネット広告の仕組みから、その再現と追跡が困難であるという点において、攻撃者にとって都合の良い攻撃方法となっています。7 月から 12 月に不正広告サーバ件数が拡大している点から見ても、既に攻撃者は日本への攻撃において不正広告の有効性を把握したと考えられ、今後も不正広告は増加していくものと考えられます。
このような Web 経由の攻撃の拡大の裏で使われる正規サイト汚染の手法として、2015年末からドメインシャドウイング(Domain Shadowing)という手口が観測17されています。ドメインシャドウイングとは、攻撃者が正規サイトのドメイン上に勝手にサブドメインを追加して悪用する手口です。例えば、「example.jp」というドメインの正規サイトがあった場合、攻撃者はsub.example.jp」というサブドメインを作成します。
そして、このサブドメイン上に不正広告などの攻撃用コンテンツを設置し、攻撃に利用します。
攻撃者にサブドメインと攻撃コンテンツの追加を許してしまうという点で、ドメインシャ
ドウイングはサイトの乗っ取りとも言える攻撃手法です。攻撃者にとってはドメイン名が正規サイトのものとなるため、疑われにくい利点があると考えられます。
不正広告による攻撃の際、攻撃者がドメインシャドウイングの手法で用意したサイトを不正なアドサーバとして利用する事例を、海外では確認していました。
2015 年にトレンドマイクロが調査を行った国内の不正広告事例 55 件の中でも、現在も運営が続いている正規サイトのサブドメインにアドサーバが設置されていた事例を 4 件確認、うち 3 件は 12 月に登場したものであり、既に日本を狙う攻撃でもドメインシャドウイングの手法が流入していることがわかりました。
その他の Web 改ざん被害とも合わせ、正規サイトの運営者、管理者は自身の Web サイトがこのような攻撃の踏み台にならないような対策をすべきでしょう。
特に、ドメインシャドウイングは運用中のサイト上の対策だけでは検知できない脅威です。この
ような脅威が存在することを認識することが、対策を進める上でも重要です。具体的には、サブドメインを追加する際に必要な ID・パスワードの管理は適切か、パスワードの強度は十分か、などを再確認してください。また、運用中のドメインに不審なサブドメインが追加されていないか確認してください。
2015年、6月に発覚した日本年金機構からの情報漏えい事件は、近年日本で起きた、標的型サイバー攻撃でした。
この事件を発端とし、国内法人組織の情報を狙う「標的型サイバー攻撃」の実態が明るみになりました。
標的型サイバー攻撃による大きな情報漏えい事例は 9 月以降報道されていません。
しかし6月の時点で被害が無いように見える法人組織であっても 4 社に 1 社の割合で既に侵入を受けており、被害に気がついていないだけ、という実態がわかってきました。
また、広く一般のインターネット利用者を狙う脅威としては、「正規サイト汚染」を発端とし、脆弱性を利用した攻撃によって金銭目的の不正プログラムを気づかないままに感染させる、「脅威連鎖」の全貌が明らかになってきました。
発端となる正規サイト汚染に関しては、これまでの常套手段であった Web改ざんに加え、新たに「不正広告」が日本国内でも大きな影響を及ぼしています。
脆弱性攻撃サイトへの誘導手段のうち、不正広告と Web 改ざんの「正規サイト汚染」が 86%を占めています。
この Web 経由の脅威連鎖の中でインターネット利用者に自動的に不正プログラムを感染させる手法として、脆弱性攻撃ツールであるエクスプロイトキットの利用が常套手段化しています。
2015 年 1 年間ではエクスプロイトキットを使用した脆弱性攻撃サイトへ日本から 720 万件以上のアクセスがありました。
そして脅威連鎖の最後には、「ランサムウェア」や「オンライン銀行詐欺ツール」と言った金銭を狙う不正プログラムが侵入することが確認されています。
特にランサムウェアの検出台数は法人利用者において前年比 2.7 倍に増加しており、個人利用者だけでなく法人利用者でも深刻な被害が発生しています。
6 月に発覚した日本年金機構からの個人情報漏えい事例2以降、それまで表面化してこなかった組織の持つ情報を狙う攻撃が一気に顕在化しました。2015 年 1 年間に発覚した標的型サイバー攻撃3事例は 23件であり、公表されているだけでも 110 万件近い情報が流出しました。この発覚件数は 2014 年 1 年間で公表された同様のサイバー攻撃事例 5 件の 4.6 倍となります。
これらの公表事例の内容を整理してみると、23 件中 18 件で外部の指摘を受けて調査を開始しており、「自分では気づけない」という標的型サイバー攻撃の特徴が表れています。
また、侵入経路に関しては標的型メールの添付ファイルによる侵入が最も多いものとなっていますが、7月以降には Web 経由のいわゆる「水飲み場型攻撃4」による感染も見られています。
ただし Web 経由とされている事例でも、調査の結果、メール内の URL から改ざんサイトへ誘導されていた事例も確認されており、侵入の発端はほぼすべてが標的型メールであると言えます。また、侵入経路がはっきりとわかっていない事例も 22%あり、外部指摘からの被害発覚後の調査では、攻撃の全貌把握は十分に行えない場合があることがわかります。
ただし、これらの公表事例だけで判断した場合、事例は 2015 年 6 月以降に集中しており、標的型サイバー攻撃の被害は一過性のものであるかのように思えるかもしれません。しかしこの被害発覚の集中は、
4 水飲み場型攻撃:標的型サイバー攻撃において、標的となる組織や個人が利用するWeb サイトを改ざんし、攻撃に利用する攻撃手法。英:Watering Hole Attack
日本年金機構の事例発覚を発端により厳しい監視や調査が行われた結果、これまで気づけていなかった攻撃がこの期間に表面化しただけ、と言えます。
標的型サイバー攻撃ではまず外部からの遠隔操作を実現するための RAT5を標的組織内に侵入させます。
トレンドマイクロが 2015 年に行った組織内ネットワーク
における挙動監視対応では、事例の 24%において、この標的型サイバー攻撃で使用される RAT による不審な通信を検出しました。この割合は 2014 年における監視対応においても 26%とほぼ同様の割合となっており、この 2 年間で大きな変化はありりませんでした。
また、2015 年 1 年間にトレンドマイクロで実際に対応を行った標的型サイバー攻撃事例においては調査の結果、最初の侵入は調査依頼の 5 か月以上前(平均 153 日、最長 443 日)に発生しており、長期間にわたって攻撃に気づけない実態がわかっています。
これらのデータからは、標的型サイバー攻撃は決して一過性のものではなく、ずっと継続して繰り返されていることがわかります。そして、この侵入に気づくことができなかった組織が実際に被害を受けてしまった組織、と言うことができるでしょう。これらの事実から浮き彫りになる、日本における標的型サイバー攻撃被害の実態は、
1. 被害に遭っていないと考えている企業であっても 4 社に 1 社は既に標的型サイバー攻撃の侵入を受けている
2. 平均的な事例では最初の侵入から 5 か月以上経過後に外部から指摘されて侵入が発覚し対応を開始する。最悪の場合はそのまま気づかずに情報を奪われ発覚もしない
という状況である、とまとめることができます。
5 RAT:攻撃者が外部からの遠隔操作を実現するために使用するツールの総称。Ramote Access Trojan(もしくは Tool)、遠隔操作ツール
セキュリティエキスパートの見解
2015 年に発覚した多くの標的型サイバー攻撃事例を通じて、その「気づけない」特徴が明らかになりました。
これらの特徴は以前から指摘されていたものですが、表面化しにくい標的型サイバー攻撃被害において、実事例の中から確認できたことには大きな意味があります。
これらの実事例においては、個々の事例における攻撃者の最終的な狙いまでは断定できていません。しかし、情報流出被害を確認した被害事例 13 件のうち、12 件は個人情報の漏えいとなっており、実際に確認されている被害の内容は組織の持つ個人情報に集中していると言えます。
顧客や職員の個人情報はどのような法人組織でも必ず持っている重要情報です。また、マイナンバー制の施行により、組織の持つ個人情報の重要性はこれまでよりも高まっています。これらを考え合わせると、「気づけない攻撃」への対策は、すべての法人組織において自分事として捉え、取り組んでいくべき課題になったものと言えます。
組織でのセキュリティ対策は、このような気づけない標的型サイバー攻撃にいち早く気づけるような対処が必要です。そのためには侵入を前提としたネットワーク内外への通信監視の対策が重要です。侵入に気づけていなかった組織が受けた「外部からの指摘」は、組織内のネットワークに侵入した RAT による外部 C&C サーバ6との通信の存在によるものでした。
また、対策の前提として、自組織が持つ情報資産を棚卸し、守るべき情報の優先度を決定すること、侵入が発覚した場合どのような対応を行うべきかといった事前準備も重要です。
日本を狙う「正規サイト汚染」、気づけない不正広告が 7000 サイト以上に影響
2015 年を通じ、「不正広告7」と「Web 改ざん」を中心とした「正規サイト汚染」が日本を狙う攻撃で多く使用されている実態が明らかになってきました。
2015 年にトレンドマイクロでは多くの Web 経由でのドライブバイダウンロード攻撃8を確認しました。うち、特に調査を行った 127件の脆弱性攻撃サイトについて、国内からのアクセスをたどり誘導元サイトを確認したところ、44%が不正広告、41%がWeb 改ざんであり、正規サイト汚染を発端とする攻撃が全体の 85%を占めていることがわかりました。
特に、7 月以降に攻撃が顕著化9 10した不正広告ではその後も攻撃が拡大しています。攻撃者は脆弱性攻撃サイトへ誘導するコードを含む広告コンテンツをなんらかの方法でアドサーバ11に混入させることで、正規のネット広告を不正広告で汚染します。
2015 年にトレンドマイクロでは、国内からのアクセスがあった不正広告サーバ12を 55 件確認しましたが、そのうちのおよそ 4 割にあたる 21件が 12 月に登場しており、日本を狙う不正広告は増加傾向にあると言えます。
7 不正広告:一般の Web サイト上に表示される広告コンテンツ内に、不正コードを混入させる攻撃。英:Malvertisement、Malvertising
8 ドライブバイダウンロード:脆弱性などを利用し自動的に不正プログラムをダウンロード、実行させる攻撃手法
これらの不正広告サーバについて、国内からのアクセス経路を調査したところ、7000件以上の正規サイト上でこれらの不正広告が表示されていたものとわかりました。
サイト種別としては、ブログ・Wiki などのレンタルシステムが最も多く確認されました。
これらのサイトでは日常的に多くの広告を表示するまとめサイトなどが運用されています。また、各種メディアや企業のサイトは数的な割合としては少ないものの月間 100 万アクセスを超える人気サイトが多く、影響度としては非常に大きいものと言えます。
また Web 改ざんについては、Web サイトの弱点として CMS13の脆弱性を狙う手口が顕著になっており、
特に国内でも使用の多い WordPress14が狙われる傾向が明らかになっています。2015年にトレンドマイクロが国内で調査を行った Web 経由のドライブバイダウンロード攻撃で使用された改ざん事例 129件の中でも、WordPress を使用していた被害 Web サイトが最も多く、99 件で全体の
77%を占めました。
13 Web を構成する各種コンテンツの編集や保存を一元的に管理するシステムの総称。Content Manag
gement System、コンテンツ管理システム14 https://ja.wordpress.org/
これらの被害 Web サイトでは WordPress、Joomla! 15、Drupal16などの CMS が使用されていましたが、調査時点で最新バージョンの CMS の使用が確認できたのは 1 件のみでした。また、確認された使用バージョンからの推測では、23%は 1 年以上 CMS のアップデートが行われておらず、平均で 7 か月間、最長では 4 年 7 か月以上放置されていると思われるサイトもありました。これらのアップデートの放置が直接改ざん原因に繋がるとは断定できませんが、そもそも Web サイトの管理自体が行き届いていないサイトが被害を受けやすい、ということは言えるでしょう
セキュリティエキスパートの見解
不正広告による攻撃は、多くのインターネット利用者に影響を及ぼせる点、そして、閲覧者や閲覧タイミングなどの条件で刻々と変化するネット広告の仕組みから、その再現と追跡が困難であるという点において、攻撃者にとって都合の良い攻撃方法となっています。7 月から 12 月に不正広告サーバ件数が拡大している点から見ても、既に攻撃者は日本への攻撃において不正広告の有効性を把握したと考えられ、今後も不正広告は増加していくものと考えられます。
このような Web 経由の攻撃の拡大の裏で使われる正規サイト汚染の手法として、2015年末からドメインシャドウイング(Domain Shadowing)という手口が観測17されています。ドメインシャドウイングとは、攻撃者が正規サイトのドメイン上に勝手にサブドメインを追加して悪用する手口です。例えば、「example.jp」というドメインの正規サイトがあった場合、攻撃者はsub.example.jp」というサブドメインを作成します。
そして、このサブドメイン上に不正広告などの攻撃用コンテンツを設置し、攻撃に利用します。
攻撃者にサブドメインと攻撃コンテンツの追加を許してしまうという点で、ドメインシャ
ドウイングはサイトの乗っ取りとも言える攻撃手法です。攻撃者にとってはドメイン名が正規サイトのものとなるため、疑われにくい利点があると考えられます。
不正広告による攻撃の際、攻撃者がドメインシャドウイングの手法で用意したサイトを不正なアドサーバとして利用する事例を、海外では確認していました。
2015 年にトレンドマイクロが調査を行った国内の不正広告事例 55 件の中でも、現在も運営が続いている正規サイトのサブドメインにアドサーバが設置されていた事例を 4 件確認、うち 3 件は 12 月に登場したものであり、既に日本を狙う攻撃でもドメインシャドウイングの手法が流入していることがわかりました。
その他の Web 改ざん被害とも合わせ、正規サイトの運営者、管理者は自身の Web サイトがこのような攻撃の踏み台にならないような対策をすべきでしょう。
特に、ドメインシャドウイングは運用中のサイト上の対策だけでは検知できない脅威です。この
ような脅威が存在することを認識することが、対策を進める上でも重要です。具体的には、サブドメインを追加する際に必要な ID・パスワードの管理は適切か、パスワードの強度は十分か、などを再確認してください。また、運用中のドメインに不審なサブドメインが追加されていないか確認してください。