中国での攻撃を受けて、MicrosoftのInternet Explorerウェブブラウザのゼロデイ脆弱性が、標的のシステムに侵入するために利用される主要なエクスプロイトの一つであることが判明しました。ドイツ、そしてフランスは、解決策は簡単だと考えています。Internet Explorerの使用をやめればいいのです。しかし、この単純なアプローチは近視眼的であり、誤った安心感を生み出す可能性があります。
Internet Explorerを非難する
Google や、その他の民間企業、政治活動家、国際ジャーナリストに対する攻撃は、Google が中国での事業の完全停止を検討するに至ったが、攻撃ベクトルとして Internet Explorer が使用されていた。
マカフィーのCTO、ジョージ・カーツ氏は自身のブログで「調査の結果、この大規模な攻撃に関係するマルウェア サンプルの 1 つが、Microsoft Internet Explorer の新たな、公表されていない脆弱性を悪用していることが分かりました」と説明しています。
注目すべきは、Kurtz氏が「マルウェアサンプルの一つ」という表現を用いていることです。これは、他にもマルウェアが存在し、追加の攻撃ベクトルが関与している可能性を示唆しています。攻撃を可能にしているのがInternet Explorerだけではない可能性も十分にあります。
先週Adobeが修正したAdobe Readerのゼロデイエクスプロイトが関係しているのではないかという当初の憶測について、カーツ氏に尋ねたところ、同氏は「噂は聞いていますが、Adobe Readerを利用したこれらの攻撃に特有のマルウェアを確認・分析したことはありません。現在調査したマルウェアについてのみコメントできますが、まだ発見されていないマルウェアが存在する可能性は十分にあります。さらに、攻撃者が1つのアクセスポイントを拠点として、そのOSやアプリケーションに固有の異なるエクスプロイトを使って他の社内システムを攻撃することはよくあることです」と答えました。
偽りの安心感
Chromeウェブブラウザの開発元であるGoogleが、Internet Explorerの欠陥によって攻撃を受ける可能性があるという皮肉について、私はカーツ氏に尋ねました。GoogleはChromeを使うべきではないのでしょうか?
カーツ氏は、「その結論に至るのは簡単ですが、IEは広く普及しており、ほぼすべての企業で使用されています。ただし、IEでしか動作しないエンタープライズアプリケーションも多数あることをご留意ください。そのため、たとえそのブラウザの開発者であっても、代替ブラウザの使用を強制することは困難です。」と答えました。
それでも、「Internet Explorer を放棄する」という防御戦略を採用することの問題点は、誤った安心感を生み出してしまうことです。他のブラウザ、アプリケーション、オペレーティングシステムも、特に専用の目的と高度なリソースを持つ攻撃者によって侵害される可能性があります。
昨年のCANSEC Westカンファレンスでは、Pwn2Ownコンテストで、Safariウェブブラウザのゼロデイ脆弱性を突いたMac OS Xオペレーティングシステムが数秒で侵入されました。コンテスト後のインタビューで、優勝者は「(標的の)プログラムよりもオペレーティングシステムの方が重要です。MacのFirefoxもかなり簡単です。基盤となるOSにはアンチエクスプロイト機能が組み込まれていないからです」と説明しました。
調査によると、攻撃に使用されたInternet Explorerのゼロデイ脆弱性は、Windows 7を含むあらゆるバージョンのInternet Explorerで利用可能であることが示されていますが、初期調査では、標的となったシステムは実際にはWindows XP上でInternet Explorer 6を使用していたことが示唆されています。最新のオペレーティングシステムと最新のWebブラウザを使用するだけで、はるかに高い保護を実現できたはずです。
すばらしい新世界
中国での攻撃は、世界中の組織やユーザーが Internet Explorer を放棄すべき理由を示すだけでなく、攻撃戦略の危険な進化を表しています。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は次のように語った。「今回の侵害は、セキュリティコミュニティが過去18ヶ月以上も議論してきた多くの問題を改めて浮き彫りにしました。セキュリティは企業全体を巻き込むべきであり、IT部門の責任だけでは効果を上げられないと、私たちは常に主張してきました。世界中のあらゆるハイテクセキュリティツールをもってしても、あのイカれたセキュリティ担当者たちはもはや全員を救うことはできないのです。」
「今回の攻撃が特異なのは、標的を絞った攻撃であること、そしてテクノロジーの巨人であるGoogleが公表し、この侵害について議論したという事実です。企業は、中核的な知的財産を狙うAPT(Advanced Persistent Threat)がもはや政府だけの領域ではないことに気づき始めていると思います」とカーツ氏は述べた。
新たな攻撃には新たな防御が必要
nCircleのストームズ氏は、「今回の侵害から得られた教訓の一つは、ウイルス対策ソフトウェアはもはや時代遅れだということです。ウイルス対策ソフトウェアは、既知のマルウェアに対してしか効果がないという理由から、長年にわたりIT企業のセキュリティツールセットの中で最も効果の低いツールでした。カスタマイズされたマルウェアがたった一つあれば、ネットワークに侵入できるのです。」と考えています。
カーツ氏とのメールのやり取りでは、彼はウイルス対策ツールの終焉をそこまで明確に宣言しませんでしたが、新しいアプローチも提案していました。「ホワイトリスト方式(McAfee Application Controlなど)のような技術があれば、シグネチャがなくても、今回のゼロデイ攻撃をはじめとする多くの攻撃を阻止できたはずです。企業はブラックリスト方式に加えて、ホワイトリスト方式の保護技術を導入すべきです。」
Windows 7 および Windows Server 2008 を導入している組織は、AppLocker を使用して実行を許可するアプリケーションを制限し、その他すべてのアプリケーションをブロックすることで、同様のホワイトリスト制御を活用できます。
もう一つのセキュリティ戦略は、データが暗号化された状態で保存されていることを確認することです。攻撃者がサーバーやPCへのアクセスに成功したとしても、そこに含まれるデータに侵入できるとは限りません。
Microsoftは、Windows VistaおよびWindows 7のUltimateエディションとEnterpriseエディション(およびWindows Server 2008)にBitLocker暗号化を提供しています。ZecurionのZserver Storageのように、より幅広いプラットフォームを保護するソリューションも存在します。
Googleも、今回の攻撃を受けて暗号化を導入しました。ユーザーはこれまで、より安全で暗号化されたHTTPSプロトコルを使用する選択肢がありましたが、現在ではこれをデフォルトに変更し、暗号化をオプトインではなくオプトアウト方式のセキュリティ管理にしました。
肝心なのは、これらの攻撃はInternet Explorerだけにとどまらず、ブラウザを切り替えるだけでは十分な防御策にはならないということです。Kurtz氏は自身のブログで次のように述べています。「世界は変わりました。誰もが脅威モデルを、これらの高度な持続的脅威という新たな現実に適応させる必要があります。東欧のサイバー犯罪者がクレジットカードデータベースを盗み出そうとしていることを懸念するだけでなく、中核となる知的財産、顧客の個人情報(金融関連以外)、その他無形価値のあるものすべてを保護することに注力する必要があります。」
Tony Bradley は@Tony_BradleyPCWとしてツイートしており、彼のFacebook ページで連絡を取ることもできます。
