エフセキュアブログ

by:福森 大喜

DEFCON CTFでの日本と世界の差がすごいと話題に

世界最高峰のハッキング大会であるDEFCON CTFのネットワークを流れるデータは宝の山です。
主催者を含め世界中の研究者は、毎年そのデータを元に様々な研究を行います。
その中でも特にネットワークの可視化は見た目にもわかりやすいのでたびたび行われていて、時々画面を見せてくれたりします。

これは2014年の大会で主催チームであるLegit BSが行った可視化です。



見る目が肥えている日本の技術者であれば、率直に言ってショボいと感じたことでしょう。
一方、日本で可視化と言えば、NICTのNIRVANA改ですよね。



日本のクオリティの高さを実感できます。

Dragonflyが日本を飛び回る?

制御システムを狙ったマルウェアとしてはStuxnetが有名ですが、第二のStuxnetとして騒がれているHavex(別名Dragonfly)の記事「HavexがICS/SCADAシステムを探し回る」はご覧になったでしょうか。

ブログ記事からもリンクが貼られていますが、CrowdStrikeの調査によると感染端末の数が多いのはアメリカ、スペインに次いで、なんと3番目に日本が位置しています。(シマンテックの統計だと日本は出てこないのですが。)

CrowdStrike Report
引用元:CrowdStrike_Global_Threat_Report_2013

日本の感染端末はおそらく流れ弾に当たったのでしょうが、元々の標的ではなかったとしても、スパイ活動をするマルウェアなのでついでに情報を抜かれているかもしれません。

感染手段の一つとしてトロイの木馬化されたソフトウェアが使われましたが、現在明らかになっているのはドイツ、スイス、ベルギーにある3社のソフトウェアのインストーラに細工がされたということです。
細工の方法は極めて単純で、正規のインストーラにマルウェアDLLをくっつけて再パッケージして配布します。

7z
setup.exeの中に隠された正規のsetup.exeとマルウェアDLLであるtmp687.dll

その後、再パッケージしたインストーラが実行されたタイミングで、正規のインストーラを起動しつつ、その裏でrundll32コマンドを使いマルウェアDLLを起動するというものです。

winrar
マルウェアDLLを実行するためのコード

感染後はスタートアップにrundll32が登録されるので、感染確認は容易です。

ドイツ、ベルギーの制御システム用VPN、スイスの監視カメラ用ソフトウェアに心当たりがある方は念のため確認してみてください。

germany
ドイツ企業のVPNソフトウェアに仕込まれたトロイの木馬

belgium
ベルギー企業のVPNソフトウェアに仕込まれたトロイの木馬

switzerland
スイス企業の監視カメラ用ソフトウェアに仕込まれたトロイの木馬

エフセキュアブログにもコナミコマンドが!

世界一有名な隠しコマンドとしてギネスにも認定されているらしいコナミコマンドですが、実はこのエフセキュアブログにも!?
エフセキュアブログを閲覧中にPCのキーボードから
↑ ↑ ↓ ↓ ← → ← → b a
と順番に押してみてください。

なんとエンディング画面が・・・
konami command

アンチウイルスはもう死んでいる

エフセキュアブログ : アンチウイルスは死んだ?

エフセキュアブログ : アンチウイルスが役立たなくなることについて

つまりは、パターンマッチとヒューリスティック(ふるまい検知)やレピュテーション(評判)の組み合わせで守っているから死んでないという言い分のようですが、私が経験している状況は彼らの言い分とはちょっと異なるので紹介します。

以下は重要インフラに関わる業務を担う組織の事例です。

この組織では重要インフラに関わる業務を担っているため、かねてよりセキュリティ対策を重要視しており、「USBメモリを使用する前には必ずウイルスチェックを行うこと」という社内規則も存在します。 しかし、アンチウイルスソフトは動作が不安定なため、重要インフラ用マシンにインストールすることはできません。

そのため、次のような運用が行われています。
  1. あらかじめウイルスチェック用マシンが用意されており、担当者が重要インフラ用マシン上にファイルをコピーする際には、ウイルスチェック用マシン上でウイルスチェックを行ってから、重要インフラ用マシンにコピーするようにしています。
    av1
  2. ウイルスチェックで問題無いと判断されたUSBメモリは重要インフラ用マシンへと接続されます。
    av2
  3. 重要インフラ用マシンにはアンチウイルスソフトはインストールされていませんが、ウイルスチェック済みのUSBメモリなのでセキュリティ上の問題ありません。・・・という理屈です。
    av3

このような使用方法の場合、パターンマッチによるウイルスチェックは行われていますが、ヒューリスティック検知によるウイルスチェックはどの段階でも動作していないという問題があります。アンチウイルスベンダー自身も認める「死んだ」使い方ですね。

そしてミッコが言う「敵の攻撃を利用し、それをそのまま相手に返す」デジタル柔道ですが、敵もやられっぱなしでじっとしているわけはなく、柔道なわけですから当然技を返してきます。
  • ヒューリスティック型のアンチウイルス製品とマイクロソフトのEMETが競合を起こし同時にインストールできないので、利用者はアンチウイルスを選択。ゼロデイ攻撃で一本負け。
  • 出張から帰ってきて久しぶりにPCを起動したので、パータンマッチやらヒューリスティックやらレピュテーションやらサンドボックスやらブラックリストやらの更新に時間がかかり、更新が終わる前にウイルス感染で一本負け。
いずれも機能を追加したことが仇となって被害を受けてしまった事例です。
デジタル柔道ではなくデジタル北斗神拳だったらよかったんでしょうけどね。

異動のご挨拶

4月からシンガポールに異動になりましたことをこの場を借りてご報告させていただきます。(注:会社やブログを辞めるわけではないですよ。)

私が初めてエフセキュアブログに投稿したのが4年前ですが、その頃からすでにセキュリティエンジニアが相手にするのは愉快犯から犯罪組織へと完全に変わっていました。

私は幸いにして社内、社外問わず本当にクレイジーな技術者といっしょに仕事をすることができ、彼らは犯罪組織が犯したミスを元に、時にはマルウェアの点と点を繋ぎ合わせ、時にはSNSに入り込み、犯罪組織を特定しました。それでも結局逮捕にいたることはありませんでした。国際犯罪の前では自分の無力さを痛感するしかなかったのです。

インターネットが社会インフラとなり変革の時代を迎えようとしているというのに、セキュリティエンジニアがなすべきことはまだまだ山積みじゃないでしょうか。

というわけで今後はサイバーディフェンス研究所に籍を置きつつ、インターポールに出向することとなりました。

IGCI
まだまだ工事中の職場。左下が完成予想図です。

今後も色々な方々にサポートを仰ぐ機会が多くなると思いますが引き続きよろしくお願いいたします。

では最後に(といってもブログの執筆は今後も続けさせていただきますが)書籍サイバー・クライムの監修時に出会って未だに私の頭にこびり付いて離れない言葉を紹介します。主人公バーレットライアンが元同僚たちに向けて送った言葉です。

いまプロレキシックに身を置いている人たちには、自分がなんのために仕事をしているのかをよく考えて欲しい。君たちの仕事は金のためだけじゃないはずだ。僕が会社を立ち上げたときも、この仕事で金持ちになろうとは思っていなかった。徹底的に利益を出そうと思えば出せただろう。でも、欲望まみれの会社にはしたくなかった。僕が思い描いていたのは、企業をサイバー・クライムの脅威から守るセキュリティ会社だ。誰もが不可能だと思うようなことをやってのける会社だ。自分の仕事の意味がわからなくなったら、このことを思い出してほしい。
書籍サイバー・クライムの319ページから引用

アイシスを使って非表示でアプリケーションを起動させることができるか

iesysには、感染PCのプログラムを起動する命令(run)がある。これによって、メモ帳などのアプリケーションを起動させることはできる。ただし、PCのユーザには見える状態で起動され、非表示にすることはできない。
ではこれも検証してみましょう。

これまた同様にPCをアイシスに感染させ、run notepad.exeコマンドを実行させます。
iesys_notepad

たしかに、デスクトップにメモ帳が表示され、ユーザに見える状態になっています。

しかし、不正プログラムの解析に関わっていると、不正プログラムが「ユーザに見えない状態でアプリケーションを起動する」場面をよく見かけます。
どうやっているかというと、次のようなVBScriptを作成し実行すれば、ユーザに見えない状態でメモ帳が起動されます。
CreateObject("WScript.Shell").Run "notepad.exe",0

dlコマンドでVBScriptファイルをダウンロードし、runコマンドで実行した結果です。
iesys_vbs

ユーザに見えない状態でメモ帳を起動することができました。

アイシスを使ってファイルスラックに痕跡を残せるか

遠隔操作されて、ファイルを置かれて、消されて、他のファイルが上書きされて、残ったスペースにデータが残るということは十分ありうることだと思うんです。遠隔操作ではファイルスラックのスペースは自由に残せないという(検察側の)主張は良くわからないというのが正直なところです
第三者を陥れるために不正プログラム開発の痕跡だけをハードディスク上に矛盾なく残すことは困難である。
これら2つの記事を読む限りでは、ファイルスラックに痕跡を残すことができないと検察側が主張しているのではなく、(ファイルスラックに情報を残すことは可能だが)第三者を陥れるための痕跡だけ矛盾なく残すことが困難である、ということですね。

では、ファイルスラックに情報を残すことがどれくらい簡単かを検証してみましょう。

弁護側はアイシスよりも高度な遠隔操作プログラムを使って遠隔操作されていたという主張のようですが、ここではアイシスを使ってPCを遠隔操作し、iesys.pdbの痕跡をファイルスラックに残してみます。

サーバにiesys.pdbを用意した後で、アイシスに感染させます。
chikan

次に、ここにあるように、アイシスを利用してPCを遠隔操作し、dlコマンドを実行させ、サーバに用意したiesys.pdbをダウンロードしPCにファイルとして保存します。
iesys_pdb

その後、ファイルサイズの小さい別のファイルをダウンロードし、同じファイル名で上書きします。
dummydata

その状態で、ファイルスラックを確認します。
slack_1st

何やら別のデータが残っていました。どうやら単純にはいかないようです。そこで、10回くらい同じ作業をしてみたら、
slack_pdb

うまくいきました。iesys.pdbの内容が残っています。

リモートからファイルスラックに痕跡を残すことは簡単ではないが不可能でもないですね。ファイルパスだけならもっと簡単でしょう。ただしそれと同時に、残したい痕跡だけではなくウイルス感染の痕跡など、他の痕跡も残ってしまいますが。
結局のところ、「第三者を陥れるための痕跡だけを矛盾なく残すことが困難」という話に戻り、争点はハードディスク上に矛盾がないかどうかだと思います。

ファイルサイズだけで悪性文書ファイルを検出するツールをリリース

残念ながら私はコードブルーに出席できず、しょんぼりしながらタイムテーブルを眺めていたら、興味深い発表が目に留まりました。
ファイルサイズだけで悪性文書ファイルを見ぬくことができることが判明した
http://www.codeblue.jp/speaker.htmlより引用

ファイルサイズだけで、というのはすごいですね。
後ほどソフトは公開されるそうですが、待ちきれなかったので自分で実装してみました。
user@local:~/Product$ cat f-checker.py
#!/usr/bin/python
import os, sys
print "malicious" if os.path.getsize(sys.argv[1]) % 512 else "benign"

使い方は簡単で、次のように検知対象ファイルを指定するだけです。ちなみに指定しているのはRed Octoberという日本も標的となったスパイ活動で使用されたファイルです。
user@local:~/Product$ python f-checker.py 'WORK PLAN (APRIL-JUNE 2011).xls'
benign

それでは検知率を調べてみましょう。エフセキュアブログではミッコや他のエンジニアがマルウェアのハッシュ値を公開してくれていますので、その中から検査対象をリストアップすることにします。ファイルサイズに着目する方法はPDFや最近よくマルウェアに使われるdocx形式のファイルに対しては効果がありませんので、今回はdoc、xls、pptファイルだけに絞ってリストアップします。合計で12個のマルウェアが見つかりました。エフセキュアブログでフォーカスされるだけあって、悪質な標的型攻撃で使われたマルウェアばかりです。

検知率は次のとおりになりました。
f-checker75%
T社AV92%
S社AV92%
M社AV100%

私のツールはまだまだ改善の余地がありそうです。

検知対象としたファイルのハッシュ値:
0c1733b4add4e053ea58d6fb547c8759
362d2011c222ae17f801e3c79e099ca7
3c740451ef1ea89e9f943e3760b37d3b
4031049fe402e8ba587583c08a25221a
46d0edc0a11ed88c0a39bc2118b3c4e071413a4b
4bb64c1da2f73da11f331a96d55d63e2
51bb2d536f07341e3131d070dd73f2c669dae78e
7ca4ab177f480503653702b33366111f
8f51b0e60d4d4764c480af5ec3a9ca19
97a3d097c686b5348084f5b4df8396ce
d8aefd8e3c96a56123cd5f07192b7369
ee84c5d626bf8450782f24fd7d2f3ae6

私が制御システムに根こそぎ侵入した方法

昨年も紹介したS4という制御システムに関するカンファレンスで、今年はICS Villageという新しい企画(公式サイト)がありました。制御システム用の機器を用意し、みんなで攻撃してみるというイベントです。
会場では、4つのセグメント(コーポレートゾーン、DMZ、制御センターゾーン、フィールドゾーン)からなるネットワークが構築され、参加者は無線を使ってコーポレートゾーンに接続できるようになっていました。

FieldZone

攻撃の最終目的はフィールドゾーンにアクセスし、フィールド機器(多くはPLCと呼ばれる機器)の制御を乗っ取ることですが、各セグメントの間にはファイアウォールがありますので簡単にはフィールドゾーンにたどり着くことすらできません。運営側に確認したところ、いかにして最終攻撃対象にたどり着くかもイベントの一部なのでICS Villageにある機器はすべて攻撃対象とのことでした。
特に初日は厳しい設定になっており、挑戦の状況によって二日目以降は設定を緩めていくというルールでした。

ところが、私も初日に挑戦してみて、いきなり初日にフィールド機器の制御を乗っ取ることに成功してしまったので、その手順を紹介します。
続きを読む

DODAからの挑戦状に隠された画像

先月まで「DODAからの挑戦状」という企画でハッキング問題を掲載しておりました。(現在、企画は終了しており、こちらに解答を掲載しています。)

DODAChallengeFromWired

初級、中級、上級と全部で3部構成の問題となっており、最後の上級問題の正答率を1%にしてほしいという要望をいただいておりました。過去のCTF参戦の経験から考えても難易度の調整は難しいものでして、「DODAからの挑戦状」の裏で、個人的に「1%への挑戦」がありました。

最終的には、初級問題の正答者数(アクセス数)が8232でした。これはユニークを取っていない数字なのですが、ユニークを取ると半分くらいの4000名くらいになるでしょうか。
4000名の1%だと40名になりますが、実際に上級問題を正解した方は32名でしたので、難易度の設定はうまくいったと思います。

さて、この挑戦状は普段からデコンパイルに慣れ親しんでいる方には退屈に思われるかもしれないので、上級問題の後に超上級問題として追加で一問隠しておきました。

ここではその解法を紹介します。
続きを読む

本格的に日本を襲い始めたAPT

本日、2013年11月のWindows Updateで一つのゼロデイの脆弱性(MS13-090)が修正されました。

MS13-090
マイクロソフト セキュリティ情報 MS13-090 - 緊急 : ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (2900986)

これは実際に日本の組織を狙った攻撃の中で使用されていたものです。

先月のWindows Updateで修正されたゼロデイ(CVE-2013-3893)も日本を狙った攻撃で使用されていました。(エフセキュアブログ : いかにWindows XPが攻撃しやすいか)
「ゼロデイを使って日本を攻撃」というのが立て続けに起こっています。

CVE-2013-3893を使って日本を狙ったキャンペーンはOperation DeputyDogと名付けられ、攻撃元のグループは2012年に米国のセキュリティ企業であるBit9を攻撃していたグループと同一だと言われています。
そして今回MS13-090(CVE-2013-3918)を悪用して日本を攻撃していたグループも同一の攻撃グループであると私は睨んでいます。
今まで日本でAPT(Advanced Persistent Threat)だと騒がれていた攻撃のほとんどは、技術的にAdvancedなものでは無かったのですが、このグループの攻撃は技術的にかなりAdvancedです。

特に政府機関の方や重要な情報を大量に扱う業務の方は、適切にアップデートを行うのはもちろんのこと、その上でEMETを導入してゼロデイ攻撃への対策(緩和策)をしておくことをおすすめします。

2013/11/28追記:
攻撃が練習だったという見方の記事が出ていますが、違うと思います。実際に被害が出ていますし、今さら練習が必要なほどスキルの低いグループではありません。
IEを狙ったゼロデイ攻撃は「練習」?

いかにWindows XPが攻撃しやすいか

先日よりInternet Explorerのゼロデイ攻撃(CVE-2013-3893)がアジア各地で確認されており、Metasploitにも攻撃モジュールが組み込まれたことで危険性が高まっています。現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。

cve-2013-3893_onXP
[Windows XPでIE8の脆弱性を悪用し電卓を起動したところ]

攻撃が簡単な理由は、Windows 7ではASLRといってメモリアドレスをランダムに配置する機能が備わっているのに対して、Windows XPではそのような機能が無いため攻撃に利用可能な場所がそこらじゅうにあるからです。

noaslrOnXP
[Windows XPではASLRが有効ではない]

Windows 7ではASLRのおかげで攻撃に利用可能な場所はほとんどありません。

noaslrOn7withoutOffice
[Windows 7インストール直後のIEにはASLRが無効になっているDLLは無い]

しかし、「ほとんどありません」ということは、「少しはある」ということを意味します。例えば、Officeがインストールされている状態でms-help://にアクセスすると、次のように攻撃に利用可能なDLLがロードされます。

noaslrOn7withOffice
[Windows 7でIEにms-help://を読み込ませた際に、ASLRが無効になっているDLLリスト]

CVE-2013-3893で悪用された手口で、Windows 7を攻撃するのにOfficeがインストールされている必要があったのはこのDLLを強制的にロードさせて攻撃に利用するためです。この手口は2012年から報告され、実際に悪用されたこともあったのですが、残念ながらまだ修正されていません。ただ、これだけ毎回悪用されると修正されるのも時間の問題かと思います。

このようにWindows 7では脆弱性発見から攻撃成功にいたるまでは
[脆弱性発見] -> [攻撃に利用可能な場所を調査] -> [攻撃成功]
というステップを踏む必要があるのに対して、Windows XPでは
[脆弱性発見] -> [攻撃成功]
というステップだけですので、攻撃を成功させるのが容易なわけです。

2014年4月にはサポートも切れることですし、XPとのお別れの時期もいよいよ目前に迫ってきましたね。

もしもDEFCON CTF優勝者が防衛省サイバー防衛隊に入ったら

福田和代さんが執筆した「サイバー・コマンドー」というタイトルの小説が発売になりました。

サイバー・コマンドー

DEFCON CTF優勝経験者が防衛省サイバー防衛隊に入り、日本を巻き込んだサイバー戦争に立ち向かうというストーリーです。
CTFに関しては、なぜ自分がCTFをやるのかといった心意気からどうでもいいコネタにいたるまでを私が入れ知恵し、防衛省に関しては、元陸自システム防護隊初代隊長の伊東さんがアドバイスしていますので、妙にリアルな内容になっており、業界の人ならニヤリとするネタが満載です。
もちろんネタだけじゃなくて、今後起こりうるサイバー戦争のシュミレーションとしても価値のある一冊です。

プロモーションビデオもあるようです。

DEFCON CTFネットワークを可視化せよ

今年のDEFCON CTFでもsutegoma2は予選を突破し、決勝に進みました。(CTFについては、こちらを参照)
私も五度目の決勝出場を果たす予定でしたが、直前で体調を崩してしまいドクターストップのため渡米すら叶いませんでした。
しかしチームメンバーが健闘してくれて、今までの中では最高となる6位という成績を収めることができました。

そんな中、今年はCTFネットワークを可視化するという試みを行いました。
日本のサイバーセキュリティで可視化と言えば、テレビでもおなじみのNICT(情報通信研究機構)が開発したnicterです。
そこで今回のDEFCON CTF決勝ではNICTの協力を得て、CTFでの攻防の様子を可視化することにしました。
やるからには見ておもしろいだけではなく、実戦で役に立つことを目標に開発が行われました。

実際に今年のCTFを可視化した動画をご覧ください。(音声あり)



CTFでは各サーバからキーと呼ばれるファイルを取得するか、上書きすることで得点が加算されていきます。そのため防御面ではキーが盗まれたことをいち早く察知し対応することが求められますので、キーが盗まれた場合には「警」マークを表示しています。

可視化することで、
  • どのサービスが攻撃の標的にされているのかを一目で把握できる
  • どこから攻撃が来ているのかを一目で把握できる
  • 侵入後の攻撃者の活動を観察することができる
  • 意図しないサービスが攻撃されていることを検知できる
  • 重要な情報の流出を検知できる
などのメリットがあることがわかります。

これらのメリットがあるということは、可視化が役に立つのはCTFだけではなく、企業のセキュリティにも応用できるということだと思います。

以上、参加してないのに今年のDEFCONレポートでした。

日本の安全保障を狙った攻撃の手口

先日から日本の安全保障に関する業務に携わっている方々に対してマルウェア付きのメールが届いているようですので、その手口を紹介します。

最初に、メールの添付ファイルとして「取材依頼書」というファイル名のzipファイルが届きます。
lnkmalware1

zipファイルを展開すると、テキストファイルへのショートカットが入っています。
lnkmalware2

プロパティを確認すると、確かにtxtファイルへのショートカットになっているように見えます
lnkmalware3

ところが、リンク先の欄を左にスクロールしていくと、別の文字列が出てきます。
lnkmalware4

本当のリンク先は%ComSpec% ...となっています。%ComSpec%というのはコマンドプロンプト(cmd.exe)を意味しますので、このリンク先の欄で攻撃者が指定した命令を実行させられてしまう、つまりは攻撃者にPCを乗っ取られてしまうことになります。
今回の事例では、もしショートカットをクリックしてしまうと、感染したPCのフォルダやファイルの情報を盗み出し、最終的にはPC内のファイルの内容を盗み出す仕組みになっておりました。

以上がショートカットを利用したマルウェアの手口ですが、皆さんに注意していただきのは、
人から送られてきたショートカットはクリックしてはいけない
ということに尽きます。
ショートカットは実行ファイル(exeファイル)と同じくらい危険だと思ってください。

このような手口は何かの脆弱性を攻撃しているわけではなく、ショートカットの”仕様”を利用したものですので、ウイルス認定することが難しく、多くのウイルス対策ソフトウェアでは検知できませんし、ふるまい検知型のウイルス対策ソフトでも検知することができませんでした。


さて、すでに多くの方はお気づきになっていると思いますが、日本語版のOSではショートカットのファイル名が文字化けしています。
そこで別の言語のOS上でもzipファイルを展開してみたので、結果を紹介して、文字化けの理由の回答とさせていただきます。

lnkmalware-jalnkmalware-zh



クローズアップ現代のいう"巧妙"とは?

先月(2013年6月6日)にNHKで放送されたクローズアップ現代では「国家の“サイバー戦争”〜情報流出の真相〜」というタイトルで国家間のサイバー戦争が取り上げられました。
放送内容はNHKのサイトで読めるようになっています。

番組の中で、私が調査したウイルスが仕事に関係する文書を巧妙に装っていたとして紹介されました。
malwarename

「こんなのひっかかるやつのレベルが低い!」と思われるかもしれませんが、これは解析環境上での表示であって、実際に被害者が目にする表示ではありません。

例えば、Windows 7をデフォルト設定で使っている人のPCでは次のように表示されます。
この中でどれがウイルスなのかわかりますか?
malwares

ファイルの種類がアプリケーションやスクリーンセーバーとなっているものは明らかにウイルスです。malwares_detail

実行ファイル(exeファイル)を使用した攻撃は今でも頻繁に行われています。
(一年ほど前にも同様の手口をエフセキュアブログで紹介しています。)

このような昔ながらの手口がいまだに使われているということは、まだまだ引っかかる人がいるということを意味しているのでしょうね。

制御システムのセキュリティ対策、いつやるか?

2013年1月、アメリカのマイアミでS4(SCADA Security Scientific Symposium)というカンファレンスが行われました。世界中から制御システムセキュリティの技術者が集まり、技術的な話題を中心に議論する世界でも数少ないカンファレンスです。

now




今回のテーマは「NOW」でした。






IfNotUs



IF NOT US, WHO?
(誰がやるか?君でしょ!)

IF NOT NOW, WHEN?
(いつやるか?今でしょ!)



日本でも流行っている「いつやるか?」「今でしょ!」というやつのアメリカ版ですね。
「NOW」というテーマの下、次のような議論が行われました。

議論した内容:
  • 制御システムには暗号化も認証も無いけど、デバイスの性能的に実装するのが難しい。じゃあ、いつ実装するか?
  • 制御システムはライフサイクルが長く、依然として30年前のシステムが使われているが、様々な理由ですぐには置き換えできない。じゃあ、いつ置き換えるか?
  • あれだけStuxnetが話題になっても、多くの制御システムではUSBメモリの使用をやめることができない。じゃあ、いつやめるか?
  • 制御システムが脆弱なことは知っているけど、現実には大人の事情とかがあって対応できない。じゃあ、いつ対応するか?
  • まずいなとは思っているんだけど、経営層が理解してくれないので何もできない。じゃあ、いつ理解させるか?
  • 制御システムが脆弱で何らかの変更や修正が必要だと10年以上前から言われているけど、結局何も変わっていない。じゃあ、いつやるか?

韓国へのワイパー攻撃の歴史

2013年3月20日 14時、韓国の放送局や銀行に対してサイバー攻撃と思われる事態が発生し、約32000台のマシンが攻撃の被害に遭ったと言われています。今回の攻撃に使用されたマルウェアに感染するとハードディスクの内容が消去され、OSが起動不能になる仕組みになっていました。実は韓国では似たような事件が2009年と2011年にも起こっています。ただ、過去2回の事例はDDoS攻撃を行った後に、証拠隠滅を目的としてハードディスクを消去したのではないかと言われているのに対し、今回はDDoS攻撃のようなことは確認されておりませんので犯人の意図は不明です。

参考までに、ハードディスク消去の手口という観点から過去2回の事例との違いを紹介します。事例はWindows XPのものです。
攻撃を受けた後のハードディスクの状態を色分けして表示していまして、だいたい以下のように分類しています。

赤色:文字列等、表示可能なデータ
青色:制御文字
黒色:その他のデータ
白色:0(NULL文字)
黄色:攻撃によって上書きされたデータ

2009年の事例
ディスクの先頭から1MBが意味のない文字列で上書きされます。先頭には「Memory of the Independent Day」というメッセージ、そのあとは「U」が連続して書き込まれます。
特定の拡張子のファイルが消去されますが、ドキュメント系のファイルが主な消去対象ですので、画像や実行ファイル等は生き残ります。
ディスクの先頭(MBR+α)が上書きされますのでOSの起動はできませんが、データ部分は生きていますので一部のデータを復旧することは可能です。

wiper2009image

2011年の事例
ディスクが0で上書きされます。片っ端から上書きしていくので、途中でOS自身が実行不能となりブルースクリーンになります。ここまでされるとデータの復旧は困難です。

wiper2011image

wiperbod2011

2013年の事例
ディスクの先頭が「PRINCPES」という文字列で上書きされ、VBRとデータ領域が一定間隔で「PRINCIPES」という文字列で上書きされます。暗い黄色の部分がMBRとVBRです。OSの起動はできませんが、運良く上書きされなかったデータは生きていますので復旧することは可能です。

wiper2013image

過去2回の犯人と今回の犯人が同一であろうとなかろうと、ディスクを消去するという点において手口が酷似していることは間違いないことから、少なくとも2013年の犯人は過去2回の事例を認識した上で攻撃をしているはずです。完全に修復不能にしようと思えばできたのにも関わらずそうしなかった。その理由を今後も継続調査していきます。

ここがヘンだよ、日本のCTF

韓国で開催されているCODEGATE CTFでは、韓国内のセキュリティ技術者と海外技術者との交流を促進するため、今年はDEFCON CTF優勝チームをCTF決勝戦に招待しました。技術者の心をよく理解した、素晴らしい試みだと思います。

現に、CODEGATEでの過去の優勝チームはロシア、アメリカ、スウェーデンと国際色豊かです。毎年、少なくない金額の賞金を海外チームに持っていかれてますが、韓国の技術者にとっては大きな刺激になっています。

codegate2013
予選通過した国は、アメリカ、スイス、ロシア、スウェーデン、日本、チュニジア、スペイン、それにもちろん韓国を加えた8カ国、11チーム。

一方その頃日本では、CTFを知らない人たちによって、作為的に海外からの参加者を閉め出したCTF(らしきもの)が多額の税金を投入して開催されましたとさ。

強制開示された制御システムの脆弱性

今年の2月、JPCERT/CCが主催する「制御システムセキュリティカンファレンス 2012」において、制御システムが抱える脆弱性について具体的な事例を交えて、技術的な側面から発表しました。

調査の過程で発見された脆弱性は、ICS-CERTへ報告しました。
ICS-CERTは米国の国土安全保障省の管轄で米国の制御システムセキュリティを担当する機関です。

その際報告した脆弱性のうちの一件が、ようやく2012年9月にアドバイザリという形で公開されました。

以下はカンファレンスの際に紹介したディレクトリトラバーサルの実例です。
dirtraversal

しかし、注意していただきたいのが、このアドバイザリは脆弱性が修正されたことをアナウンスするものではなく、脆弱性が存在するにも関わらず放置され続けていることを注意喚起するという内容です。
慎重派が多いICS-CERTにおいて、未修整の脆弱性に関するアドバイザリが出されることは珍しいことです。なぜ慎重派が多いかというと、制御システムは一般の情報システムと比べ、攻撃が発生した場合の影響が大きいためです。
それにも関わらず、今回ICS-CERTが強制開示という対応を取らざるを得なかったのか、私が脆弱性を報告してから公表されるまでの顛末をご紹介したいと思います。
  1. 脆弱性の種類がディレクトリトラバーサルという、攻撃手法が単純なタイプの脆弱性だったので、文書にてICS-CERTへ報告
  2. 開発元が脆弱性を理解できないと言っているという連絡をICS-CERTから受ける
  3. 私は攻撃方法についての動画を作成し、ICS-CERTへ送付
  4. 開発元の環境では再現しない、検証したバージョンが古いのではないかという連絡を受ける
  5. 英語版のWindowsを用意し、念のため再度最新版のアプリケーションをインストールして、脆弱性が再現することを確認
  6. アプリケーションのインストールからセットアップ、バージョンの確認、起動、そして最後に攻撃を行う動画を作成し、ICS-CERTへ送付
  7. それでも開発元は再現させることもできず、脆弱性について理解できないという返答
この一部始終を見ていたICS-CERTはアドバイザリの公開を決断しました。私が報告してから情報公開までに8ヶ月近くの時間を要しました。
実はICS-CERTとのやりとりの中で、ICS-CERT側の担当者がDEFCON CTFの決勝に参加することが判明し、ラスベガスのCTF決勝会場で直接話をすることができました。(DEFCON CTF決勝については、こちら。2011年の記事ですが。)

公開の理由について、「あんなに親切で単純明快な報告なのに、それでも理解できないというのは、開発者がすっとぼけようとしているとしか考えられない。今までで一番わかりやすい報告だったよ。情報を公開する以外に解決策は無いと判断した。」という話を伺いました。(余談ですが彼らのCTFチームはとても紳士的で、私のチームが停電で困っているときに助けてくれました。)

今回は報告から8ヶ月経っての公開となりましたが、ICS-CERTの脆弱性情報公開ポリシーでは強制開示までの目安は45日と定められています。
これは45日を過ぎると強制的に公開されるという意味ではなく、なんの反応もないまま45日を過ぎると公開する場合があるという意味です。45日以内に修正完了しなければならないという意味ではありません。ふつうに対応していれば45日ルールが適用されることはありませんので、ご安心を。
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード