最新情報

隠された脅威:SSLトラフィックに隠された高度な攻撃

本内容は、米国A10 Networksが掲載した記事の抄訳版です。
原文は以下のURLよりご覧いただけます。
https://files.a10networks.com/vadc/advanced-attacks-that-hide-in-ssl-traffic-encryption/

Targetやソニー、AnthemからAshley Madisonまで、サイバー攻撃のリスクと、結果として発生する顧客情報の損失を免れられる企業はありません。ネットワークセキュリティソリューションは攻撃のリスクを低減できますが、SSL暗号という予期せぬ敵に直面します。

SSL暗号化によってプライバシーとデータの整合性が改善されますが、同時に企業防御の盲点も生まれています。現在はすべてのインターネットトラフィックのほぼ半分が暗号化されており、この割合は2016年までに67%まで上昇すると予測されています。

攻撃者は、SSLの盲点を悪用してセキュリティ制御を逃れることができます。ほぼすべてのネットワーク攻撃は、HTTPS、FTPS、SMTPS、その他のSSL対応プロトコルで暗号化できるのです。ですから、暗号化トラフィックで隠匿できるすべての攻撃を説明すると、非常に長い退屈なブログになってしまいます。

ここでは、その代わりにマルウェア開発者が暗号化をどのように使用して検知を回避するか、またその回避テクニックがどのように巧妙化しているかについて説明していきます。

C&C(コマンドアンドコントロール)通信にSSLを悪用

銀行を狙ったトロイの木馬「Zeus」は、暗号化を取り入れた多くのマルウェアのうちの1つです。Zeusは新しい脅威ではありません(最初の検知は2007年)が、現在も最も頻繁に使用されている危険なトロイの木馬で、2014年12月時点で約400万台のPCに感染しています。[ⅰ]

Zeusが金融機関をターゲットとする他のマルウェアより長く使用されている理由は、検知と駆除が困難であることです。また、Zeus攻撃ツールキットは幅広く入手可能であるため、多数の犯罪グループが一層高度で検知が難しい亜種を開発できるようになっています。

例を挙げれば、トロイの木馬「Gameover Zeus」は、暗号化を活用してマルウェアの配布とC&C通信の両方を行っています。Gameoverのインストールに使用されるUpatreダウンローダ―ユーティリティは、セキュリティが侵害されたWebサーバーからSSL接続を介してGameoverソフトウェアをダウンロードします。そしてGameoverソフトウェアがインストールされると、ピアツーピアネットワークを使ってC&Cサーバーと通信するのです。

Gameoverは2048ビット暗号化を使用し、ドメイン名を何度も変更したため、当局はGameoverボットネットの防止に手間取りました。ただしこのボットネットは、トーヴァ―作戦によって2014年6月に閉鎖に追い込まれています。

C&Cがソーシャル化

新種のマルウェアは、検知を逃れるためにソーシャルネットワークとWebメールを活用してC&C通信を行います。セキュリティ研究者たちは、悪質なTwitterアカウントやPinterestのコメントからC&Cコマンドを受信するマルウェアを発見しました。[ⅱ] 大半のソーシャルネットワークと同様に、TwitterとPinterestはすべての通信を暗号化します。したがって、組織がボットネットの活動を検知するためには、SSLトラフィックを検査しなければなりません。さもなければ、ITセキュリティアナリストはTwitterやPinterestサイトにアクセスする悪質なマシンを監視していても、そのトラフィックが安全だとみなしてしまうかもしれません。

マルウェアがペトレイアス元CIA長官の手段を盗用

ソーシャルマルウェアの動向を実証すべく、ドイツのセキュリティ研究者がリモートアクセスするトロイの木馬(RAT)を発見しました。このRATは、YahooやGmailなどのオンラインメールアカウントを通じてC&Cコマンドを受信します。[ⅲ] ただし、これも興味深いことですが、Shape Securityのコンサルタントが、少なくともIcoscriptの亜種の1つがGmailの下書きメッセージからC&Cアップデートを受信することを発見しました。 不祥事を起こしたペトレイアス元CIA長官(愛人ポーラ・ブロードウェルとGmailの下書きメッセージで通信)のように、このマルウェアはメールを完全に送信しないことで検知を免れようとしました。

ほとんどのオンラインメールプログラムと同様に、GmailおよびYahooメールはトラフィックを暗号化します。マルウェア開発者は、この暗号化を上手く活用して検知を回避します。悪質な活動を検知するためには、メールサイトへのトラフィックを復号化して検査する必要があります。さもなければ、マルウェアを見逃してしまうかもしれません。