Internet Infrastructure Review（IIR）Vol.24
2014年8月22日発行

Heartbleedとは

CCS Injectionとは

この脆弱性は、2014年6月5日にOpenSSLのセキュリティアドバイザリ（CVE-2014-0224）（※52） （※53）として公開されました。影響を受けるOpenSSLのバージョンは0.9.8以降であり、公開時点においてサポート中の全バージョンが対象でした。この脆弱性の影響を受ける実装の組み合わせを、表-2に示します。クライアントは0.9.8以降、サーバは1.0.1以降の組み合わせにおいてのみ脆弱性の影響を受けました。

拡大する

表-2 CCS Injection影響実装一覧

この脆弱性は、SSL/TLSのネゴシエーション完了後に暗号化通信に切り替えるChange Cipher Specメッセージの処理に問題があり、中間者攻撃による暗号化通信の完全な解読や改ざんが可能となっていました。

過去において、今回の脆弱性同様に完全な形式での解読が可能な脆弱性としてはSSL v2の問題がありました。SSL v2については、ネゴシエーション時の通信が保護されていないため、容易に改ざんすることができました。このため、通信に用いる暗号アルゴリズムを、攻撃者が解読可能な強度の弱い暗号アルゴリズムに強制的にダウングレードさせることが可能でした。SSL v3以降において、ネゴシエーション時の通信改ざんを検知する仕組みが導入されたため、この問題はなくなりました。しかしながら、今回の脆弱性で利用されたChange Cipher Specメッセージは、改ざん検知の対象から外れており、OpenSSLの実装では中間者攻撃にて挿入することが可能でした。

Change Cipher Specメッセージの処理は、同じバージョンのOpenSSLにおいても、サーバ側とクライアント側で異なります。この差異が使用箇所によって、影響を受けるバージョンが異なる理由です。脆弱性の特性上、サーバ、クライアント双方を攻撃する必要があるため、いずれかが脆弱性の対象ではないバージョン、またはOpenSSL以外の実装を使用している場合は影響を受けません。他にも影響の有無を分ける細かい条件はありますが、こちらについてもIIJ Security Diary（※54）において考察をしています。

こちらの脆弱性は、Heartbleedと異なり、サーバに保存されている秘密鍵の漏えいなどは発生しませんので、対策版へのバージョンアップのみで問題ありません。

主な機能と特徴

vawtrakの注目すべき特徴として、ZeuS（別名Zbot）（※61）及びPony（別名Fareit）（※62）に酷似した機能を備えていることが挙げられます。具体的には、Webinject（※63）、Dynamic Config、Report、VNC ServerやSOCKS ProxyといったZeuSの特徴的な機能のほとんどを備えています。また、パソコンに保存されたWebブラウザ、メールクライアント、FTPクライアントやsshクライアントなどの設定ファイルからアカウント情報を収集する機能も持っており、この機能の対象とするアプリケーションの種類は、Ponyが対象としているものとほぼ一致します。今回のvawtrak検体におけるZeuS、Ponyとの実行コードの一致率（BinDiffによる）は、それぞれ約8%、20%でしたが、ZeuS、Ponyは、いずれも以前にソースコードがインターネット上に流出したことがあるため、これらのソースコードを参考に多くの機能を組み込んでいるのではないかと推測されます。

以下では、vawtrakの動作フローに沿って検体の各機能について紹介します。

本検体が保持していた接続先C&Cサーバを以下に示します。

• baggonally.com
• mentilix.com
• bennimag.com
• humpold.com
• sandoxon.com
• 185.13.32.67
• 185.13.32.80
• 146.185.233.38
• maxigolon.com
• 146.185.233.80
• terekilpane.com

Dynamic Configを取得して解析をしたところ、Webinjectを行う対象として、日本国内の大手金融機関などのオンラインバンキングやクレジットカード関連サービスを提供するURLが記載されていました（図-14）（※66）。また、閲覧時の情報窃取の対象として、国内外の著名なSNSやクラウドサービス、動画共有サービス、ファイル共有サービスなどを提供するURLも列挙されていました。

拡大する

図-14 取得したvawtrakのDynamic Configの一部（復号済み・赤枠部は国内の金融機関などのサービスを示すURL）

vawtrakは、前述のDynamic Configに加えて、次に行うべき命令（Command）をC&Cサーバから受信します。今回の解析時には、vawtrak自身のバージョンアップ及びパソコンに保存されたデジタル証明書を窃取する命令を受信したことを確認しました。デジタル証明書窃取は、Windows OSの提供する証明書ストアに保持されているすべての証明書を抽出し、C&Cサーバに送信する機能です。パソコンに保存されるデジタル証明書にはいくつかの用途があり、証明書が漏えいした場合には、それぞれの用途で第三者によって成りすまされてしまう危険があります。

その他に、ZeuS、Ponyとは異なる機能として、ソフトウェア制限ポリシーを用いてマルウェア対策ソフトウェアを妨害する機能や、Rapport（※67）の無効化を試みる機能などを備えていました。vawtrakと、ZeuS、及びPonyとの機能の対応をまとめると表-3のようになります。

拡大する

表-3 vawtrakの特徴的な機能及びZeuS、Ponyとの対比

感染経路

MITFのWebクローラは、国内のユーザを対象とした複数のWebサイトでvawtrakを取得しました。該当のWebサイトはいずれもトップページのHTMLファイルが改ざんされ、iframeタグを不正に挿入されていました。Webサイト閲覧者はこのiframeタグによって外部のWebサーバに誘導され、最終的にNuclear Exploit KitやAngler Exploit Kitを用いたドライブバイダウンロードによってvawtrakなどのマルウェアに感染させられてしまいます。

海外では、メールなどによってvawtrakが配布されていることが報告されています（※68）。日本国内では、主に改ざんされたWebサイトを経由したドライブバイダウンロードによって感染を広げているものと推測されます。

なお、改ざんされていたWebサイトのうち1件は、日本国内の著名なコンテンツプロバイダのグループ企業で、4月下旬から6月中旬まで、及び7月中旬から下旬までの期間、改ざんされた状態が断続的に観測されました。このような著名Webサイトを含む複数のWebサイトで、改ざんされた状態が長期間継続していることを観測しています。

対策

ドライブバイダウンロードによるマルウェア感染を防止するためには、クライアントPCのOS、ブラウザ、及び関連プラグインを常に最新の状態に更新し、脆弱性のない状態に保つことが重要です。また、クライアントOSがWindowsの場合には、ソフトウェアの制限ポリシーを用いてプログラムの実行可能領域を制限したり、EMETをインストールして脆弱性の影響を緩和しておくことも効果的です（※69）。

万が一、vawtrakに感染してしまった場合には、クリーンインストールなどのパソコン復旧対応だけでなく、パソコンで利用していたデジタル証明書の失効処理と、パソコン上のクライアントアプリケーションで利用していた各種アカウントのパスワード変更が必要です。更に、該当パソコンでオンラインバンキングやSNSなどのWebサービスを利用していた場合は、それらのサービスのアカウント情報やサービス上でやりとりした情報についても、漏えいした可能性を念頭に、適宜変更や削除などの対処を行う必要があります。

一方、Webサイト運営者、管理者の立場では、サイトが改ざんされExploit Kitの誘導元にならないよう、運用に注力する責任があると考えるべきです。Webサーバ、コンテンツ管理システムやそのプラグイン、あるいはそれらが依存するフレームワークなど、利用しているシステムを網羅的に把握し、脆弱性攻撃の影響を受けないよう管理する必要があります。また、CDNや広告サービス、アクセス解析サービスなど、自社Webサイトに関連する外部（社外）リソースがセキュリティ侵害を受けたことにより、Webサイト閲覧者をマルウェア感染の危機に晒してしまうケース（※70）も散見されます。自社のシステムの診断を重ね、防御を固めるだけでは、このような外部システムに起因する脅威を排除することはできません。提供しているサービスの性質にもよりますが、完全性を担保できない外部リソースについては、その重要度に応じて内製化や廃止などを検討しておくことを推奨します。その上で、外部リソースの利用を継続する場合には、問題を少しでも早く直接把握するために、定期的に外部からWebサイトを閲覧し、実際にクライアントPCにダウンロードされるコンテンツを確認しておくことを推奨します。

クラウドセキュリティに関するガイド

2006年にクラウドコンピューティングの概念が提唱されてから既に8年が経過しました。その後、クラウドコンピューティング技術を使ったサービス（以下クラウドサービス）が続々と提供され、広く一般に利用されています。しかし、当初よりその安全性については様々な疑問が投げかけられており、クラウドサービス導入の障壁としてセキュリティへの懸念が筆頭に挙げられていました。実際に、国内外を問わず大規模な情報セキュリティ事故が発生したことは記憶に新しいところです。その後様々な議論を経て、現在では、各種の団体からクラウドを安全に提供・利用するためのガイドなどが公表されています。ここで、表-4に代表的なガイドなどを例示し、その概要を説明します。
このように、クラウドセキュリティに関するガイドは様々な組織、団体から発行されています。ガイドの数が多くなると目的に合ったガイドの選択が難しくなる面はありますが、以前と比べて容易に情報が入手できるようになったことは歓迎すべきことです。

拡大する

表-4 クラウドを安全に提供・利用するための代表的なガイドなど

ガイド利用時の注意点

これらのガイドには、クラウドサービスを利用、もしくは提供する上で検討すべきセキュリティ事項に関しての有用な情報が数多く含まれており、チェックリストとしても広く活用されています。しかし、ガイドの対象者（利用者や事業者）、対象物（サービスや情報）をあいまいにすると様々な解釈が可能となり、誤解や混乱が起きやすくなります。
例えば「特権アカウント」は、「クラウドサービスを提供している事業者がサービス全体の維持や保守に使うアカウント（1）」、「サービス事業者の情報システム部が持っている特権アカウント（2）」、「利用者がIaaSで利用している仮想マシンのroot（Administrator）アカウント（3）」、「SaaSでユーザ登録、削除などの保守を行うアカウント（4）」などの解釈が可能です。参照したガイドが利用者用ガイドであれば、「特権アカウント」は（3）もしくは（4）、事業者用ガイドであれば（1）もしくは（2）となります。解釈の違いによりチェックリストの設問の意味合いが異なるため、適切なリスク評価やサービス利用ができなくなる恐れがあります。

適切なリスク評価を行うための1つの方法は、対象者と対象物を明確にして事業者と利用者で合意をとることです。例えば、「特権アカウント」は利用するサービスの保守用アカウントのことである、ということを（利用者からでも事業者からでも、どちらからでもよいので）明確にして合意します。事業者と利用者のコミュニケーションが発生するため、時間や手間がかかりますが、認識のずれや思い込みを減らすことはできます。ただし、クラウドサービスの特徴である自動化を阻害しますし、すべての事業者がこのような個別の対応に答えてくれるとは限りません。

別の方法は、事業者が開示している情報を探してそのまま利用することです。どのようなセキュリティ機能が提供され、どのようなセキュリティ対策が取られているか、各事業者が何らかの形で公開していますので、これらの公開情報から、利用者の求めるセキュリティ水準が維持できるかを利用者自身で判断します。一般的なクラウドサービスによく見られるこの方法は、時間がかからず手軽である反面、事業者が公開可能とする情報や粒度がまちまちで、望んだ内容の回答が得られなかったり、回答の信頼性に関しての確認が難しかったりします。

他にも、SSAE16報告書などを利用する方法もあります。事業者は外部監査人に対してのみ情報を公開し、利用者は事業者の統制状態について第三者からの信頼できる評価結果を受け取ることが可能です。利用者、事業者共に利点がある方法ですが、この方法は外部監査人に対して非常に高度なIT知識を要求することや、事業者が支払うコスト負担が大きくなる（ひいてはサービス価格の上昇につながる）ことから、幅広くクラウドサービスで対応することは困難です。

これら様々な課題を解決し、適切なリスク評価を行う方法として、クラウド事業者が共通の基準に従ってセキュリティを評価し、信頼できる情報を開示する取り組みが始まっています。次にその取り組みを紹介します。

クラウド情報セキュリティ監査制度

図-16 パイロット監査における言明書の例