水飲み場型攻撃に関する対策について

当社は、日本において確認された水飲み場型の攻撃に関する注意喚起を行いました。

日本における水飲み場型攻撃に関する注意喚起

https://www.lac.co.jp/lacwatch/alert/20131009_000174.html

本事案の調査を行う中で判明した対策方法についてまとめます。

Webサイト管理者とその訪問者毎に、被害の発見、恒久的な対策の視点で、情報を整理します。

1. Webサイト管理者の対応

今回の水飲み場型の攻撃の場合、閲覧者が集まるWebサイトが狙われ、コンテンツの改ざんが行われることが考えられます。攻撃者の行為に加担しないよう、Webサイトの現状の確認と、セキュリティ対策をお願いいたします。

1.1 Webサイトの性格をわきまえる。

自社のサイトがどのような性格を持つサービスを提供しているのかを把握することは大変重要です。例えば、以下のような特色を把握することは、水飲み場に集まるサイバー攻撃対象者を絞り込むヒントを得ることができます。

• 不特定多数へ提供しているサービス
• 行政機関や重要インフラ企業などの社会サービス
• 外交、防衛技術、エネルギー開発など、対象者に狙いをつけたサービス

1.2 Webサイトの運用レベルを把握する

オペレーティングシステム(OS)やコンテンツマネジメントシステム(CMS)などのソフトウェア、実行環境で使用されるWebアプリケーションフレームワークなどのミドルウェア、アプリケーション開発環境やサーバ管理ツールに関しての運用管理は、セキュリティ対策を行う上での具体的な作業や漏れの把握をするために大変重要です。
また開発が完了し運用を開始してから時間が経過しているWebサイトは、開発当時の体制や関係者を把握することも必要です。

1.3 今回確認された水飲み場型攻撃の影響を受けていないかを確認します。

初めに、注意喚起で取り上げた攻撃に関して、Webサイトがサイト改ざんなどの被害を受けていないかを確認します。

1.3.1 ログやファイル情報からWebコンテンツの改ざんを探す
Webページの改ざんは、どこのページに仕込まれるかを特定することはできませんので、全てのWebコンテンツに意味不明な文字列などが含まれていないかを確認ください。
正常状態のWebコンテンツに関するチェックサムなど、改ざん前の符号化情報を保存している場合、同様に取得した直近のチェックサムとの比較を行うことで改ざんの有無を把握することが可能です。
同様に、正常なときに取得されたHTMLコンテンツのファイルサイズや更新日時情報を保存している場合には、直近の環境の情報と突き合わせを行うことで、改ざんの有無を確認することが可能です。また、Webコンテンツの更新作業の日時を控えている場合には、最終作業日時以降に更新されたファイルの有無など、HTMLファイルそのものの更新時間の確認を行ってください。
また、ファイルアップロードにFTPやその他のファイル転送を行っている場合には、それらファイル転送処理のログファイルを確認し、システム操作を行っていない日時にアクセスがないかを確認ください。
Webコンテンツに更新の監査を行っている場合には、それらが記録したログを確認してください。
もちろん、Tripwire社などの改ざんを確認できるソリューションを活用されることも有効です。

1.4 将来の被害を予防する

Webサーバの改ざん被害が発生しないよう、攻撃を防ぐ対策を行います。

1.4.1 最新の製品やセキュリティアップデートを適用する
Webサイトの改ざん被害は、Webサーバが動作しているコンピュータを構成するソフトウェアに脆弱性が残っていることで、Webサーバに侵入され、コンテンツの書き換えなどが行われます。特に昨今ではJoomla!やWordPressなどのコンテンツマネジメントシステム、あるいはApache Struts２といったWebアプリケーションフレームワークに含まれる脆弱性が狙われたり、Parallels Plesk Panel等のサーバ管理ツールの脆弱性も攻撃の対象となりますので、注意が必要です。

1.4.2 アカウント窃取への対策
以前に猛威をふるったGumblarのように、Web管理者のアカウント情報を窃取することで、Webサーバへのファイル転送用のアカウント情報が悪用され、コンテンツの改ざんが行われる事例が確認されています。管理者のアカウントは、主にウイルスの感染により攻撃者に窃取されることがあり、ウイルス対策の徹底と、可能な限りWeb管理専用のPCを用意し、他の用途には使用しないなどの対策をお願いします。
また、FTPアカウントは共有しない運用を心がけ、アカウントのパスワード強度も使用するワードや長さなどに注意し、総当たり攻撃に耐えられるようにしてください。

1.4.3 コンテンツ改変を検知する
コンテンツの改変を検知する方法は、コンテンツのファイル情報から比較を行う方法と、ツールを使用する方法の二つが考えられます。
Webコンテンツの内容に見覚えのないスクリプトが書き込まれていないか、コンポーネントの呼び出しが追加されていないかなど、コンテンツの内容確認をお願いします。
また、Webコンテンツのメンテナンスのタイミングで、ファイルのタイムスタンプやサイズなどのファイル情報を保存しておくことや、各コンテンツのチェックサムなどを保存しておき、確認時に比較ができるようスクリプトの用意をすることも有効です。
また、コンテンツの更新を監査する設定をファイルシステムに施すことで、覚えのないファイルの更新を検知することが可能です。
これらの確認方法のほかに、ファイル改ざんを検知するツールを導入することも有効です。

1.4.4 セキュリティ監視サービスを活用する
休みなく稼働するWebサーバの異変を速やかに確認し処置を行うには、自社での24時間監視やリモートメンテナンスなどの取り組みが有効です。しかし自社でそのような体制が取れない場合には、サーバの監視体制を委託するか、ネットワーク上に設置されたセキュリティ機器の監視サービスを活用します。
当社では、今回の水飲み場型の攻撃の調査を行った際、発見された攻撃の特徴をセキュリティ機器に即座に反映させることで、セキュリティ監視を受託した他の顧客への影響を防ぐことができました。このようなサービスを活用することで、他社に対する新たな攻撃が発覚した時点で自社に対する攻撃を未然に防ぐことも可能になります。

1.4.5 定期的にWebコンテンツのセキュリティ診断を実施する
Webコンテンツは、一度作成されると比較的長期間そのまま活用されるケースがあります。しかし、定期的にこれらのコンテンツをセキュリティ診断することにより、Webサイトの改ざんの発見と、Webアプリケーションに含まれる脆弱性を発見できる可能性があります。

1.5 改ざんされた場合の調査方法や対応方法の再確認

万が一Webサイトが水飲み場型の攻撃に悪用されてしまった場合、メディアでの報道や顧客からのクレームなどで矢面に立たされる場合があります。事故に見舞われた場合の対処の原則は、正しい情報を踏まえた誠実な対応が必要です。
ビジネスインパクトをどのように判断するのかを基準として持つことが、対策の第一歩です。サイト利用者への告知方法（一般向け告知や個別の告知）や、その場合に必要となる情報提供内容の精査、監督官庁への連絡や相談方法の再確認、その際に必要な調査方法の確立を事前に行います。

2. Webサイト閲覧者（企業等のネットワーク管理者）

水飲み場型の攻撃で改ざんされたWebサイトにアクセスし、Webブラウザを経由した攻撃を受けた場合、アクセスしたコンピュータに遠隔操作が可能となるようにウイルスが設置される例が多く見受けられます。いったんウイルスが設置されると継続的に攻撃を受けてしまう可能性があるため、以下の内容を試していただき、被害の有無をご確認ください。

2.1 今回確認された水飲み場型攻撃の影響を受けていないかを確認する

改ざんされたWebサイトへアクセスしたことにより、ウイルスの配布サイトへ誘導されて感染活動などが行われたか否かを確認します。

2.1.1 Proxy ログやファイアウォールのログから、攻撃に用いられていたIPアドレスへのアクセスがないかを探す
ラックが行った調査事案においては、ウイルスが以下のIPアドレスに配置された不正なサイトにアクセスをしている模様が確認されました。企業のネットワークの場合には、インターネットとの境界にProxyサーバやファイアウォールが設置されていることが多く、Proxyログやファイアウォールログにこれら不正なサイトへのアクセス記録が残っている可能性があります。もしも自社ネットワークからこれらのサイトにアクセスが行われたことを確認できた場合には、アクセスしていたコンピュータや認証ユーザーを確認し、直ちに当該コンピュータをネットワークから切り離したあと、フォレンジックによる調査を受けることをお勧めします。
なお、以下のIPアドレスは実際に攻撃者が設置したサイトです。すでにサイトが廃棄されている場合もありますが、引き続き動作している可能性もございますので、ログとの照合のみに使用し、アクセスは行わないようにお願いします。
また、攻撃者は頻繁にこのようなサイトを増加させたり減少させたりしています。このリストは攻撃の全容を示すには不十分な情報であることをご理解の上、ご活用をお願いします。

2.1.2 Proxy ログやファイアウォールのログから、以下のファイルへのアクセスがないかを探す
このたびの攻撃においては、以下のWebサイトに配置されたWebコンテンツにアクセスすることで攻撃者の攻撃ネットワークに参加させられます。info.aspやsun.cssなど、以下に記載されたWebコンテンツへアクセスを行っていないか、Proxyやファイアウォールログを参照してご確認をお願いします。
なお、Webコンテンツは実際に攻撃者が設置したサイトです。すでにサイトが廃棄されている場合もありますが、引き続き動作している可能性もございますので、ログとの照合のみに使用し、アクセスは行わないようにお願いします。
また、攻撃者は頻繁にこのようなサイトを増加させたり減少させたりしています。このリストは攻撃の全容を示すには不十分な情報であることをご理解の上、ご活用をお願いします。

2.1.3 ネットワークフォレンジックを行う
未知の攻撃を発見するためには、ネットワークフォレンジックという分析を行うことが効果的です。ラックは、情報漏えいチェックサービスというサービスを提供しており、ネットワーク上で発生する定期的な社外への通信の発生など、通常ではない異変を発見します。

2.2 将来の被害を予防する

企業内のクライアントが、水飲み場型の攻撃を防ぐための対策を施します。

2.2.1 OSやソフトウェアを最新の状態に維持する
クライアントOSやインターネットにアクセスするソフトウェア（ブラウザ等）の脆弱性情報に注意し、適時にセキュリティアップデートを適用します。適用するソフトウェアは、各メーカーの配信方法の確認が必要です。また、セキュリティアップデートの提供期限（サポート期限）を越えて使用しないよう、計画的なシステムの更新が必要です。
今回の水飲み場型攻撃で悪用されたInternet Explorer のセキュリティ更新プログラム MS13-080は、Microsoft Update から適用してください。

2.2.2 NGFWを使用したセキュリティ監視の強化
次世代ファイアウォール(NGFW)は従来のファイアウォール機能に、侵入検知・防御機能、アプリケーション毎の防御機能が加味され、管理機能が向上した最新のセキュリティ対策機器です。パロアルトネットワークス社などが提供しており、インターネットとの境界において一台の機器で多層防御を提供するものです。これらの機器の運用管理は複雑であり、的確な活用を行うためにはセキュリティ監視サービスとの併用をお勧めします。

2.2.3 Proxy やファイアウォールのログの定期的な分析
クライアントが社外に接続する場合、Proxyやファイアウォールを経由してアクセスを行うことが一般的です。この機器が外部との接続を行ったログを確認することで、不正なサイトへのアクセスを確認することが可能です。ラックでは、ファイアウォールの監視はセキュリティ監視サービス、定期的な不正動作の調査は情報漏えいチェックサービスとして提供しています。

2.2.4 Proxyの認証機能を有効にする
コンピュータがウイルスなどに感染し、そのウイルスが社外のネットワークに接続する事例が多く見られます。Proxyの認証機能を有効にしている場合、ウイルスが社外の攻撃者のサーバに接続するときに認証ができないことによる接続エラーが発生します。これにより情報漏えいや遠隔操作被害を抑制することができ、また、ウイルス感染の事実も確認ができます。

2.2.5 サンドボックス型ウイルス対策ソフトの導入
昨今のウイルス対策ソフトには、サンドボックス型のウイルス挙動分析を行う機能が付加されている場合があります。クライアントでのウイルスの活動をより詳細に分析するために、サンドボックス型のウイルス対策ソフトウェアを導入してください。

2.2.6 インターネット環境端末の仮想化による情報漏えい対策
昨今のサイバー攻撃は、非常に早期発見と感染予防がしにくい傾向にあります。また、過去にあった大規模なウイルス感染事故は減少し、攻撃対象を絞り込んで情報を窃取しようとする標的型の攻撃が一般化しつつあります。このような防御が困難になりそうな状況では、インターネットアクセスの環境を機密性のある業務データを取り扱う端末と切り離した仮想コンピュータ上に構築してリモートアクセスし、万が一、ウイルスの被害が確認された場合は切り離すなどの運用を検討ください。

以上

当社の注意喚起情報に関するよく寄せられる質問は、こちらをご参照ください。