IT導入支援

会員限定

F5ネットワークス合同会社提供コンテンツ

2017年07月28日

暗号化が「逆に危ない」? 攻撃者はセキュリティ対策回避に暗号化通信を“活用”する

近年、日本企業を狙ったサイバー攻撃が急増している。ランサムウェア「WannaCry」は、複数の日本企業でもその感染が確認された。WannaCryの感染経路は特定されていないものの、今後もランサムウェアやバンキングマルウェアを使った攻撃が続くことは間違いない。特に深刻なのが、改ざんされた正規サイトや広告を表示するだけで、マルウェアが仕込まれる攻撃だ。セキュリティコンサルティング企業のラックが、サイバー攻撃の検知・分析の最新動向と対策事例について説明した。


サイトを表示するだけでマルウェアに感染

 東京都内で開催されたF5ネットワークスのイベント「F5 AGILITY 2017」に登壇したラック サイバーセキュリティ事業部 JSOC アナリストの源 武彦氏は、冒頭で同社が有するJSOC(Japan Security Operation Center)の活動内容を紹介した。

photo

ラック
サイバーセキュリティ事業部 JSOC アナリスト
源 武彦氏


 JSOCは、顧客企業のセキュリティ監視・運用サービスを行う国内最大級のセキュリティ監視センターである。契約団体数は880で監視対象の機器(センサー)は1,500台超、1日あたりのログ処理件数は12億件を超える。

 源氏は、JSOCが把握した2017年におけるインシデントの傾向について、「2017年6月半ばまでを見れば、総重要インシデント件数は過去2年よりも少ない傾向で推移しています」と説明する。

「しかし、2017年は過去2年間で1件しか発生していなかった緊急インシデントが、すでに7件も発生しています。その原因は、3月に発生した『Apache Struts 2』と『WordPress 4.7 REST API』の脆弱性を突いた攻撃による攻撃と5月に全世界で猛威を奮ったランサムウェア『WannaCry』の感染事例が発生したことです」(源氏)

 WannaCryの感染被害は収束しつつあるものの、第2第3の亜種が登場する可能性は十分にある。

photo
(クリックで拡大)

2016年〜2017年上半期における重要インシデントの発生状況


 サイバー攻撃の手法は、年々巧妙化している。以前はマルウェアが仕込まれている可能性が高いWebサイトは、コピー商品や違法ダウンロードを扱うものが多く、一目で“怪しいサイト”だと分かった。しかし最近は、正規のサイトを閲覧していただけでマルウェア感染するケースが多発しているという。

 その仕組みはこうだ。攻撃者は正規のサイトの脆弱性を突いて改ざんする。そして、改ざんした正規サイトや不正広告から利用者を「エクスプロイトキット(以下、EK)」を設置したサーバへ誘導する。EKは、コンピュータのOSやアプリケーションの脆弱性を悪用し、脆弱性があった場合に、ドライブ・バイ・ダウンロード(DBD)攻撃を行う攻撃ツールだ。DBD攻撃はサイト利用者が気づかないうちにソフトウェアなどをダウンロードさせる攻撃を指す。これにより攻撃者は、利用者のコンピュータをランサムウェアやバンキングマルウェアなどに感染させ、情報や金銭を盗取できるという具合だ。

photo
(クリックで拡大)

正規のサイトを閲覧していただけでマルウェア感染する大まかな仕組み


この記事の続き >>
・猛威を振るうバンキングマルウェア
・信頼性を確保する暗号化通信、しかしそこには落とし穴が
・インシデントの90%が暗号化対象!攻撃に「活用」されないために対策を

この続きは会員限定です