セキュリティベンダー各社のブログから、最近の攻撃手口に関わるものを紹介する。

 まず最初はARPスプーフィングの自動化ツールについて。トレンドマイクロが、最近確認したとして、ブログで報告した。同ツールは、ログイン認証などの重要情報を盗むのにARPスプーフィングが大変有効であることを示している。

 ARPスプーフィングはターゲット型攻撃の侵入拡大段階でよく使われる。トレンドマイクロが発見したツールは、ARPスプーフィングを自動化し、WebサイトへのIFRAME挿入、偽装ソフトウエアアップデートの配信、SSL接続を侵害などを実行する。

●ARPスプーフィング

 まず最初に、このツールはネットワークトラフィックに割り込み、ネットワークサービスのログイン情報を取得する。さまざまなプロトコルをサポートしており、FTP、HTTP、IMAP、NetBIOS、POP3、SMB、SMTPといったプロトコルから重要な情報を盗むことができる。

 同ツールはネットワークトラフィックをスキャンしてユーザー名やパスワードを入手する。これらは暗号化されたファイルに保存され、攻撃者はこれを自由にアップロードする。ユーザーは異なるアカウントに対して同じパスワードを使うことが多いので、別のさまざまなサービスでも同一のパスワードを使える可能性がある。

 さらにこのツールはTLS/SSLトラフィックに対して中間者(man-in-the-middle)攻撃を仕掛ける能力を持つ。もしユーザーが無効な証明を気にとめずに見過ごすと、TLS/SSLを使用するサイトに送信される重要情報は、安全に送られるどころか攻撃者に盗まれてしまう。

●IFRAMEインジェクション

 このツールは、ユーザーが訪問するサイトにIFRAMEを挿入する機能を備える。システムのHTTPトラフィックを監視し、可能となればいつでも見えないIFRAMEを挿入する。

挿入されたIFRAME

 上図の場合、無害なIFRAMEがHTTPサーバー上のデフォルトWebサイトに挿入され、攻撃者はこれを使ってユーザーを不正URLに誘導する。不正URLでは悪質なコードを埋め込んだページをホスティングしており、ユーザーのシステム上に存在するさまざまな脆弱性を利用する。

●偽装アップデート

 このツールは、ARPスプーフィングを利用して、システムに「Windows Media Encoder 9」のアップデートが提供されていると思い込ませる。しかし実際には悪質なアップデートファイルが配信される。

偽装アップデートのコード

●潜在的攻撃対象

 機能の1つに、考えられる攻撃対象のヒントが見つかった。一部のコードが、明らかに中央チベット行政府のユーザーをターゲットにしている。中央チベット行政府は、ユーザーへの電子メール配信に米グーグルの「Google Apps」を導入している。

中央チベット行政府のユーザーを狙ったコード

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら