インフラセキュリティの処方箋

第9回2015年3月~Web改ざん多発と、glibcのGHOST脆弱性のその

3月はCMS脆弱性に起因したWeb改ざんが相次ぐ

3月は、CMSや、CMSプラグインの脆弱性が存在するWebサイトに対し、改ざん攻撃が多数行われました。もっとも、全ての改ざんが同じ脆弱性を突かれたと言うわけではなく、改ざんされた結果発生したことも同じというわけではありません。

3月の改ざん事案とタイプは、大きく以下の2種類に別れます。なお、⁠1)のほうの事案は、類似の事案が世界中で発生しており、あくまで被害を受けたサイトの1つを例示しているに過ぎません。一方、⁠2)は明らかに次の攻撃につなげるための仕込みまでされています。

(1) クリエイティブ・ラボ・フクオカ HP復旧のお知らせ(クリエイティブ・ラボ・フクオカ)

こちらのケースでは、⁠Hacked by Islamic State」というようなメッセージや、そのようなメッセージを伴う画像を表示します(見た目派手なものの、本件については特に何かが感染ということはなかったようです⁠⁠。

少し見た限りは、CMSとしてWordpressを用いており、脆弱なバージョンのプラグイン(今回の場合は脆弱性が修正される前のFancyboxプラグインが多く狙われた模様)が原因のようです。

(2) 弊社ホームページ改ざんに関するお詫びと復旧のご報告(成田国際空港株式会社)

こちらのケースでは、Nuclear Exploit Kitを用いたマルウェア感染をさせるような改ざんが行われました(見た目何かがかわるわけではないですが、アクセスするとウイルススキャナが警告を知らせる可能性がありました⁠⁠。

少し見た限りは、独自のCMSを利用しているように見えますが、そのCMSの脆弱性を突かれて改ざんを受けた模様です。

(2)の事案で用いられた「Nuclear Exploit Kit」は、水飲み場型攻撃/Web待ち伏せ攻撃と言うような、Webサイトにアクセスしてきたコンピュータに対し、マルウェアを感染させるまでの一連の攻撃をパッケージ化した⁠Exploit Kit⁠の一種です。

対策をしろ…といってもどうやって?~原則は「要らんモノは入れない&バージョンアップは基本」

本件について、⁠セキュリティ対策をしろ」と言うのは簡単なのですが、実際どのようにやるのかと言われると、ケースバイケースになってしまうのが実情です。

それでも「要らんプラグインなりソフトウェアなどは入れない」と言うことや「本体やプラグインの最新化」などは、真っ先に言われることです。

可能であればバージョンアップが行われれたタイミングで動作検証→入替えと言うのを行えるようにしておきましょう。最新化しておけば、それだけでだいぶ攻撃を成功させるための敷居は上がりますし、脆弱になりうるものが入っていなければ、そもそも利用出来ませんので。

独自のCMSについては、事前に脆弱性を潰しきるのは無理があることから、内容の改ざんに早く気付けるような運用なりを行える必要があります。

あの脆弱性は今~GHOST脆弱性

GHOST脆弱性が発表されてから「リモートコード実行を行える可能性がある」という話が出ており、当初は2月中に発見者であるQualys社から発表されるということで詳細な内容を心待ちにしていたのですが、2015年1月27日に書かれたQUALYS BLOGに、2015年3月17日付けで追記がなされました。

内容は、GHOST発表後にあちこちで検証されていた⁠Exim⁠環境に対するリモートコード実行と言うものでした。リモートコード実行を引き起こす具体的なコード等は、以下の記事に記述されています。Metasploitのモジュールとしても実装したとのことでした。

落ち着いて読み解けば、多くの環境では騒ぐ必要のない脆弱性だった、と言うのが筆者の意見です。

その他~SSLの各種実装やXenなどの「システム基盤に関わるソフトウェア」にも脆弱性が

SSLの各種実装はFREAK脆弱性が公開され、XenはXSA-119~127の9つの脆弱性が事前予告&公開されました。

一般論として、可能な限り早く、全てについて脆弱性修正のためのパッチを適用するのが最も良い対応なのですが、それができない場合には、影響をみきわめてパッチの取捨選択を行うのが次善の策となります。それすらも出来ない場合には、影響が及びうるシステムの運用監視を強化するなどが考えられます。

Xenについては、下記のリストに記述されている中で最も古いセキュリティアドバイザリであるXSA-26のリリース以降、月ごとの脆弱性公開数は、2015年3月が9件と最も多くなっています。

終わりに~攻撃者の関心が、再びローレイヤに移ってきているのか?

システムを俯瞰的に見て、上位層に位置するものの脆弱性は、相変わらず多く発見されてきています。その一方で、いわゆるローレイヤと言われるところの脆弱性は、この1年で、報告数が増加しているように感じています。それも、FREAK然りGHOST然り、システム基盤やプロトコルを制御するソフトウェアに、クリティカルとなりそうな脆弱性が多く発見されています。また、手間はかかるもののBadHDDのような手法も報告されています。

今後、ローレイヤと言われる領域について、きちんと見ることが可能な知見を求められているというように筆者は(勝手に)感じています。

おすすめ記事

記事・ニュース一覧