HP改竄が最終目的ではない

コンピュータ・IT セキュリティ

「JSRedir-R」(GENO/ZlKon/Gumblar/Martuz)、HP改竄、Adobeの脆弱性関連情報の続きです。今回の記事は、HP改竄の裏にある攻撃者の狙いについてと、利用者が行うべき最低限の対策についてまとめました。

HP改竄の真の目的

HP改竄/改変の事象が、通販サイト「GENO」の改竄により事件性を持って広く知られることとなりました。その後も多数のサイトが改竄の被害に遭い、攻撃手法としてAdobe製品の脆弱性を利用していることも分かりました。
でも、攻撃者の目的は単にWEBサイトを改竄することではありません。もし改竄自体が目的なのであれば、感染PC内のHTMLファイルを書き換え、それをサーバにアップさせればよいだけの話で、何年も前から見られた「Redlof」ウイルスなどと同様の動作です。HP改竄は感染PCを広めるための手段に過ぎず、表向きに見えている事象のひとつでしかありません。大きな全体像から見れば氷山の一角です。
彼らの本当の目的は「窃取した他人の情報を使って金儲けをすること」にあります。その前段階としてPC内の情報を窃取しようとしており、情報を窃取できるPCを増やすためにHP改竄が行われています。攻撃チームの意図はただひとつ、「盗んだアカウントを利用して金儲けをすること」です。

PCの挙動を完全に制御

窃取する情報には色々な種類や重要度レベルの差がありますが、今回利用されたFTPアカウントとパスワードという情報それ自体は、彼らにとっては大したものではありません。単にボットネット拡大の手段として利用しているに過ぎません。
さて、HP改竄事象の拡大は、「FTP情報窃取→HP改竄→閲覧者のPCに感染→FTP情報窃取」というサイクルによって行われますが、その一方で、彼らは「感染PCからFTP以外の重要情報窃取→盗んだ情報で金儲け」というモデルを構築し、活動しています。彼らが入手可能な情報は、感染PC内に保存されているすべての情報と、感染PCがインターネットを介して行ったすべての通信です。PCにはトロイの木馬型のマルウェアが1つまたは複数仕組まれており、PCの挙動は攻撃者が完全に制御できます。

誰も守ってくれない

Gumblarの恐ろしい特徴のひとつは、「WEBサイトを見ただけで感染する」ということです。従来、このようにWEBを見ただけでウイルスに感染するということは、(全くとは言いませんが)あまりありませんでした。ですから、WEB閲覧時の注意といえば「怪しいサイトには行くな」「怪しいリンクはクリックするな」くらいなものでした。でも今は違います。普通に毎日見ていたサイトが、ある日突然危険なサイトになっているかも知れないのです。それも、閲覧者だけでなく開設者すら知らないうちに。
かつては、WindowsUpdateをきちんとやって、ブロードバンドルータを入れて、ウイルス対策ソフトを入れておけばよかった。Adobe Reader の更新なんて誰もやっていなかった。今や、Adobe Reader を最新に更新することはインターネット利用者の必須事項になってしまいました。アドビに限らず、利用中のソフトウェアを最新版に更新しておくのは利用者が当然にすべきことであると主張する人もいます。確かにその主張は正しいものです。
でも、システム管理者やネットの世界での振る舞いを多少知った人ならともかく、週に一度しか利用しない、パソコンを単純なツールとして利用している人が、年に数回利用するかしないかの Adobe Reader のためにわざわざ面倒なアップデートをしなければインターネットを使う資格がないとまで言われ、その負荷なり更新しないことのリスクを負わされるのは、正直厳しいように感じています。
ISPやレンタルサーバ会社との契約においては、「IDとパスワード管理はユーザの責任」という旨の約款に同意することを求められます。ネットバンキングの契約にあたっては、「口座番号及びパスワード管理はユーザの責任」とされ、また、PCにソフトウェアをインストールするにあたっては、「ソフトウェアメーカーは不具合によるいかなる損害に対して責任を負わない」とすることにユーザは同意しなければなりません。実際のところ、誰も責任をとってくれないことを約束しなければ、インターネットの利便性を享受できないのです。今や、インターネット環境は生活に欠かせないインフラとなりつつある中で、「誰のどんな不具合についても誰も責任を取ってくれないことに同意しなければ生きていけない」という状況は、利用者にとって(「生活者にとって」と言い換えてもいい)なかなか困難です。

警察も助けてくれない

その上、被害に遭ったとしても、警察も助けてくれません。FTPサーバに不正なログが存在したとしても、そのサーバの所有者はISPですから、直接的な被害者はISPとなります。ISPが被害届を出さなければ警察が動いてくれない場合があります。幸いに警察が動いてくれたとしても、調査の結果、発信元が海外となると日本の警察はお手上げです。国境をまたぐと警察はほとんど何もできず、全く頼りになりません。

ユーザがすべき最低限の対策ラインはどこか

「自分の身は自分で守らなければならない」という自己責任の考えがインターネットの根底にあります。そのために、まず既知の脆弱性を常に解消する努力が求められます。よく、「ウイルスに感染しているPCはインターネットに繋ぐな」といったように、「●●〜なPCはインターネットに繋ぐ資格がない」といった言い方をされることがありますが、この「●●」が許容できる範囲はどの辺でしょうか。

「●●なPCはインターネットに繋ぐ資格がない」の例

  1. ウイルスに感染しているPC
  2. Windows Update をしていないPC
  3. ブロードバンドルータを導入していないPC
  4. ウイルス対策ソフトを導入していないPC
  5. すべてのソフトウェアを最新版にしていないPC
  6. セキュリティ情報に興味がない利用者のPC

数字が小さいほど許容度が小さく、数字が大きいほど許容度が大きくなります。一般的には、少なくとも4のウイルス対策ソフトの導入までは利用者が必須として求められている事項であると思います。セキュリティ対策が全く施されていないPCは、インターネットに接続してからわずか数分でなんらかのウイルスに感染するともいわれています。(ソース

5については、今回Adobeの脆弱性を原因とした被害が広まったために、「利用しているソフトを最新版にして使うのは当然」みたいに言われていますが、先に述べたように、何十も組み込まれているプログラムを常に最新に更新し続けるという作業は、一般の利用者にとって、現実問題としてはなかなか難しいと思います。普段、そのプログラムがインストールされていることを気にしていない場合も多々あります。実際、コントロールパネル内「プログラムの追加と削除」一覧に表示されるプログラムで、それがどういうソフトであるかも知らないものが結構あります。購入時にプリインストールされている場合は、その傾向が特に顕著です。
それらの情報がたとえばPCメーカーから一元的に通知されるならよいですがそういうわけでもなく、アプリケーションが最新版であるかどうかについては、利用者が一つひとつ情報を集めていかなければならないわけで、これは相当大変な作業です。

Adobe社はセキュリティ情報を積極的に告知せよ

2009年6月9日に、脆弱性を修正した Adobe Reader のパッチが公開され、最新版は「9.1.2」となりました。でも一番問題なのは、当のAdobe社の日本語版サイトにおいて、その情報が公開されていないことです(2009年6月14日現在)。同様に、Adobe Reader のダウンロードページにおいて、最新のフルパッケージ版が提供されていません。そのページには「最新バージョンのAdobe Readerのダウンロード」というタイトルが付けられているというのに!利用者が最新版にしたいと思ったら、まず「9.1」をインストールして、その後に「ヘルプ」→「更新の有無をチェック」からアップデートする必要があります。
Adobe社の日本法人は、もっと真面目にセキュリティ情報についてユーザへ告知すべきです。2009年5月に公開されたセキュリティアップデートのページがある(ソース)のですが、ここからリンクされているセキュリティ情報の一覧ページは英語版のサイトです。日本語版の一覧ページはないのですか?

Adobe以外の有名ソフトの脆弱性

脆弱性を悪用されるのはそれなりに広まっているソフトウェアが対象となる場合がほとんどなので、せめてよく使うアプリくらいは最新情報を入手しておきたいところです。
一般に広く知られているソフトで過去に脆弱性が知られた例としては、圧縮解凍ソフト「+Lhaca」やメーラーとしてよく知られている「Becky!」などがあります。お使いの方は、この機会にご自身がお使いのバージョンを確認しておくことをお勧めします。

  • メディア再生ソフト「QuickTime」と音楽管理ソフト「iTunes」は、2009年6月2日に脆弱性に対処した更新版が公開されました。最新版はそれぞれ「QuickTime 7.6.2」と「iTunes 8.2」です。(配布サイト
  • Becky!」は2009年2月11日、「2.48.02(及びそれ以前のバージョン)」に脆弱性が発見され、2009年6月14日現在「2.50.07」が最新です。(配布サイト
  • 「+Lhaca デラックス版(1.2x系)」は2007年6月、「1.20」に脆弱性が発見され、2009年6月14日現在「1.24」が最新です。(配布サイト

とりあえずパスワードは変えよう

よく、「自分のPCがウイルスに感染していても、とりあえず使えればいい」という人がいますが、本当にそうでしょうか。PCが使えれば、銀行の口座から自分のお金を引き出されても文句を言わないと約束できますか?もはやウイルス感染は自分のPCだけで済む問題ではありません。重要情報が盗まれて具体的な金銭被害が発生するという事件が現実に発生しています。それ以外にも、あなたのパソコンを経由して迷惑メールが送信されたり、知らないうちにあなたのパソコンがWEBサーバとして使われ、フィッシング詐欺サイトが公開されたりする事例が実際に起きています。他人から迷惑メールが送られてくることに腹を立てるのであれば、まず自分のPCのセキュリティレベルもある程度上げておく必要があります。
さて、もしセキュリティ情報の収集に興味がなくても、インターネットを利用していく以上、最低限すべきことがあります。それは以下のことです。

  • OSを最新版にすること
  • ブロードバンドルータを導入すること
  • ウイルス対策ソフトを導入し、ウイルススキャンを実行すること
  • 今使っているすべてのパスワードを変更すること

これまでに書いてきたように、今回の一連の被害は相当深刻です。その上、既にあなたのPCが感染していたとしたら、パスワードが抜かれている可能性があります。自分のPCの安全を確保した上で、銀行の暗証番号・ISPの接続パスワード・FTPパスワード・その他各種WEBサービスのパスワードを変更しましょう。今回の問題について「ホームページを開設していないから大丈夫」といった無意味な安心は全くできません。あなたの財布が狙われています。