連載
» 2014年09月12日 18時00分 UPDATE

川口洋のセキュリティ・プライベート・アイズ(51):アップデート機能を悪用した攻撃に対抗セヨ! (1/2)

自動アップデートサーバーを乗っ取るという手法が話題になりました。実はHardeningでも、ひそかにその手を仕込んでいました。

[川口洋(株式会社ラック チーフエバンジェリスト CISSP),@IT]
「川口洋のセキュリティ・プライベート・アイズ」のインデックス

連載目次

2014年11月のHardeningに向け、再始動

 皆さんこんにちは、川口です。2014年度は「Hardening 10 APAC」「セキュリティ・キャンプ全国大会2014」と立て続けにイベントをこなしてきて、いまようやく一息ついたと思っています。しかし、われわれの目の前には2014年11月8〜9日に開催される、次回のHardeningが迫ってきています。

 いままたHardening Projectチームメンバーが集結し、次回のHardeningイベントに向けて始動を始めました。どのような形式のイベントになるかはまだ分かりませんが、発表を楽しみにしていてください。

EmEditorのアップデートサーバーからの攻撃

 2014年8月のセキュリティ・キャンプ全国大会2014が開催されている最中、テキストエディター「EmEditor」のアップデートサーバーが改ざんされて、ウイルスに感染する可能性があったという事件が発生しました。

 攻撃自体はセキュリティ・キャンプの最中から進行していたようですが、セキュリティ・キャンプから復帰した月曜日に「EmEditor 更新チェックによるウィルス感染の可能性について」というお知らせが出ており、復帰早々、関係各所への対応に追われることになりました。

関連リンク

EmEditor 更新チェックによるウィルス感染の可能性について(Emurasoft)

https://jp.emeditor.com/general/更新チェックによるウィルス感染の可能性/


 今回は、特定のIPアドレスからアクセスを行った場合に、ウイルスに感染する危険性があったようです。EmEditorのサイトで対象となっていたIPアドレスが公開されていますので、自分のネットワークが含まれていないか確認してみてください。特に大きな組織においては、フリー版のEmEditorを使用している人が1人や2人はいると思います。その前提での確認をお願いします。

 正規のアップデートファイルを装い、アップデートサーバーからウイルスが配布されるような攻撃は本当に頭が痛い問題です。今回の事件でも、アップデートサーバーが改ざんされた提供元の責任はありますが、いまさら悪い点をあげつらっても仕方ないので、対応の良かった点を三点、書いておきたいと思います。

 まずは、攻撃対象となっている組織へのケアを意識している点です。今回の攻撃は「.htaccess」ファイルが置かれて、特定のIPアドレスからのアクセスにウイルスを感染させようとしていた可能性があります。その「特定のIPアドレス」のユーザーが、自分のことであると分かるように告知をしている点は評価できます。攻撃対象となった組織が、それ以外の人にも分かってしまうという点は課題として残りますが、セキュリティ専門家でもない限り、インシデント対応の最中にそこまでは気が回らないと思うので、仕方がないことだと思っています。

 二点目は、攻撃の詳細や対応の状況がブログで報告されている点です。攻撃を受けた原因を突き止めるまでには至っていないようですが、ソフトの利用ユーザーのことを意識して情報提供をしている点は、他のWeb改ざん事件の当事者にも見習ってほしいところです。

 三点目は、JPCERTコーディネーションセンター(JPCERT/CC)と連携して調査している点です。最初からJPCERT/CCに連絡していたかは分かりませんが、事件発生後いろいろと調査を一緒に行っている様子が分かります。一般のユーザーはセキュリティインシデントの対応に慣れているわけではないので、専門家の意見を聞くことは重要です。特に今回のように、アップデートサーバーに接続する特定のユーザーを狙っている場合は、JPCERT/CCがユーザーへの告知に関してアドバイスをしてくれるでしょう。

攻撃に使われる「.htaccess」ファイル

 今回のEmEditorのサイトに対する攻撃で使用されている「.htaccess」ファイルは、Web改ざん事件でよく悪用されています。このファイルに対しては、以下のような仕込みがされていることがあります。

  • 特定のIPアドレスからのユーザーを、攻撃用ページにリダイレクトする(今回のEmEditorのようなケース)
  • 検索エンジンなど、特定のRefererを含むアクセスを、攻撃用ページにリダイレクトする(一見さんのユーザーを狙うケース)
  • 特定のUser-Agentを含むアクセスを、攻撃用ページにリダイレクトする(特定のブラウザーの脆弱性を狙うケース)
  • 内部ネットワークからのアクセスの場合のみ、正常なコンテンツを返す(社内のユーザーからの発見を遅らせるケース)

 「.htaccess」は不可視ファイルであることから、改ざんチェックの対象外であるという事例が多くあります。Webサーバーが改ざんされた後の調査で見逃されてしまい、しばらくして攻撃が再発して、再度調査して発覚するということも少なくありません。読者の皆様の周りでWebサーバーの改ざん被害に遭う人を見かけたら、「.htaccess」ファイルの確認だけはしておいてください。

 先日ラック社内でも行われた研修(ラック サバイバル チャレンジ)でも、Webサーバーに「.htaccess」を悪用したWeb改ざんを行ったところ、参加者の多くが対応に苦慮していました。弊社の社員にはお客さまを助けるための経験値を積ませるために、研修で痛い目に遭っていただきました(笑)。

実は、他のソフトウェアでも

 今回はEmEditorというテキストエディターが対象になりましたが、他のソフトでも公式サイトが不正アクセス被害を受け、ウイルス付きのソフトウェアが配布されるという事件が起きています。

関連記事

Operaに不正アクセス、コードサイニング証明書悪用でマルウェア配布の恐れ(@IT)

http://www.atmarkit.co.jp/ait/articles/1306/27/news163.html

詳報:正規のアップデートを装いマルウェア配布する手口、ラックが注意喚起(@IT)

http://www.atmarkit.co.jp/ait/articles/1401/23/news138.html

「外部サービス」が原因、公式サイトの改ざん被害相次ぐ(@IT)

http://www.atmarkit.co.jp/ait/articles/1406/03/news056.html


 ソフトウェアのアップデートを楽に行うために、自動アップデート機能や起動時に新しいバージョンを確認する機能が備えられているものも多くなりました。私も日常的に使用しているソフトウェアの多くが何らかの形でアップデート確認を実行しています。このアップデート機能は、ユーザーとしては新しいバージョンのリリースに気付くことができるため、非常に有益であり、セキュリティの面でも大変助かります。この便利な機能が悪用されるようになってしまうと「怖いのでアップデートは実施しない」という流れになってしまわないか心配です。

 多くの事件では、デジタル署名がないファイルがダウンロードされるようになっていますので、実行前にデジタル署名の有無を確認することで防ぐことは可能でしょう。しかし、多くの場合、アップデートが提示されたものをそのまま「はい」や「アップデートを実施」と選択していることが多く、その判断を普通のユーザーに求めるのは難しいかもしれません。

 普通は実行ファイルの実行時に、デジタル署名の有無をみることはできますが、デジタル署名を個別に確認したいユーザーには「Windows Sysinternals」の「Sigcheck」がお勧めです。気が付いたらSigcheckにVirusTotalを使用するオプションも追加されていました。意外と便利なツールなので、興味がある人は使ってみてください。

関連リンク

Sigcheck(マイクロソフト)

http://technet.microsoft.com/ja-jp/sysinternals/bb897441.aspx


       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。