IPA テクニカルウォッチ クライアントソフトウェアの脆脆弱性対対策 に関するレポート ~ クライアントソフトウェアの脆弱性対策策の必要性の理解と促進進 ~

「クラ

～ ク

IPA

ライアン

クライアントソ

A テク

ントソフ

に関す

ソフトウェアの

ニカル

フトウェ

するレポ

の脆弱性対策

ルウォッ

ェアの脆

ポート

策の必要性の

ッチ

脆弱性対

の理解と促進

対策」

進 ～

1

IPA テクニカルウォッチ

「クライアントソフトウェアの脆弱性対策」に関するレポート

～ クライアントソフトウェアの脆弱性対策の必要性の理解と促進 ～ 目次 対象読者と前提条件 ... 2 本レポートの目的 ... 2 1. はじめに ... 3 1.1. クライアントソフトウェアを悪用した攻撃の広がり ... 3 1.2. クライアントソフトウェアが狙われる背景 ... 3 1.3. クライアントソフトウェアの脆弱性対策の実情 ... 4 2. 脆弱性を悪用した攻撃の事例 ... 5

2.1. 事例 1）Adobe Flash Player の脆弱性（CVE-2012-1535）の悪用 ... 5

2.2. 事例 2）Oracle JRE の脆弱性(CVE-2013-0422)の悪用 ... 6

2.3. 事例 3）Internet Explorer の脆弱性(CVE-2012-4969)の悪用 ... 7

3. 脆弱性対策と課題 ... 8 3.1. 脆弱性対策 ... 8 3.2. 脆弱性対策の課題 ... 10 4. 攻撃緩和策と実機検証 ... 11 4.1. 攻撃緩和策概要 ... 11 4.2. EMET 概要 ... 12 4.3. EMET 実機検証 ... 13 5. まとめ ... 17

2

IPA テクニカルウォッチ

「クライアントソフトウェアの脆弱性対策」に関するレポート ～ クライアントソフトウェアの脆弱性対策の必要性の理解と促進 ～ 2013 年 03 月 22 日 IPA（独立行政法人情報処理推進機構） 技術本部 セキュリティセンター

対象読者と前提条件

本レポートは、主に PC を用いて、インターネットを使用している企業のユーザーおよびシ ステム管理者を対象読者としている。

本レポートの目的

独立行政法人情報処理推進機構（以下「IPA」という。）は、脆弱性届出制度「早期警戒パ ートナーシップ」の運営や、注意喚起サービス、脆弱性対策ツールの整備など脆弱性 対策を促進する活動を行っている。 本レポートでは、企業のユーザーおよびシステム管理者がクライアント環境を取り 巻く脅威や脆弱性対策の重要性を十分に理解でき、近年のクライアントソフトウェア の脆弱性を狙った攻撃事例を交えて、有効な対策方法を紹介している。また、最近ゼ ロデイ攻撃への一時的な対策として注目されているMicrosoft 社の EMET1_{を用いて、} 攻撃緩和策の有効性を検証している。脆弱性対策の促進に繋り、サイバー攻撃による 被害が減少されることを期待している。

3

1. はじめに

1.1. クライアントソフトウェアを悪用した攻撃の広がり

Oracle Java Runtime Environment(以降 JRE と記載)、Adobe Flash Player、といっ たクライアントソフトウェアの脆弱性を悪用してウイルス感染させる手口が主流になって久し い。ウイルスに感染させられることにより、ユーザーは、下記のような被害を受ける可能性が ある。 ・個人情報/パスワードの窃取 ・重要なファイルの消去 ・PC の遠隔操作 個人情報/パスワード情報が窃取されると金銭的な被害にあう可能性があり、重要なファイ ルが消去されることで、業務やビジネスに影響を及ぼす可能性がある。また、ユーザー自身 の被害に留まらず、自身が攻撃に加担するケースも考えられる。ウイルス経由でユーザーの PC が乗っ取られると、PC が攻撃者に遠隔操作され、DDoS 攻撃やスパムメール送信などの 踏み台に悪用されてしまう。 このような被害に遭わないために、クライアントソフトウェアの脆弱性対策を行った状態で PC を使用することが重要である。

1.2. クライアントソフトウェアが狙われる背景

クライアントソフトウェアが狙われる背景として下記の点が挙げられる。 ・クライアント環境に個人情報などの有益な情報が保存されている ・攻撃に悪用されるソフトウェアは広く使われており、使用を制限することが難しい ・ウェブサイトの閲覧等の一般的な操作であるため、攻撃が成功しやすい ・クライアントのユーザーは、サーバーの管理者に比べ、比較的IT リテラシが低い 上記の状況から攻撃者にとって、クライアントソフトウェアへの攻撃は成功しやすい攻撃であ り、有益な情報が窃取しやすい為、クライアントソフトウェアが狙われている。

4

1.3. クライアントソフトウェアの脆弱性対策の実情

下記の表は、クライアント環境で広く利用されている動画ソフトやブラウザ、文書ソフト等の クライアントソフトウェアの脆弱性の公開状況を表したものである（図1.1）。下記の表では、標 的型メール攻撃が行われ始めた 2005 年頃からクライアントソフトウェアの脆弱性の公表件 数が年々増えていることがわかる。 図1.1:クライアント環境で広く利用されているソフトウェアの脆弱性の登録状況2 脆弱性の公表が増えている一方で、ユーザー側の脆弱性対策は進んでいない。IPA で公 開している「2012 年度情報セキュリティの脅威に対する意識調査報告書」3_{内のユーザーのク} ライアントソフトウェアのバージョンアップ状況を確認すると「Adobe Reader のバージョンアッ プ」は「45.1%という結果が出ている」。半数以上のユーザーが脆弱性を放置して、適切な対 策が取れておらず、ユーザー側の脆弱性に対する意識が低いことがわかる。 2_{出典：脆弱性対策情報データベース JVN iPedia の登録状況[2012 年第 4 四半期(10 月～12 月)]} https://www.ipa.go.jp/about/press/20130121_2.html 3出典：2012 年度情報セキュリティの脅威に対する意識調査報告書 https://www.ipa.go.jp/about/press/20121211.html

2. 脆

に 説

2.1.

【 れ を 【 ー 4 _参考

脆弱性を悪

前章でクラ にどのような 説明する。 ・Adobe ・Oracle ・Micros

事例

1）A

【脆弱性の概 2012 年 8 れたSWF コ を起こし、任意 【攻撃事例】 実際に、本 ーで行われた 考: http://blog.

悪用した攻

ライアントソフ な方法で攻撃が e Systems 社 e 社の JRE の soft 社の In

Adobe Fla

概要】 月に公開され コンテンツを含 意のコードを 本脆弱性を悪 た。 図2 trendmicro.co

撃の事例

フトウェアの脆 が行われてい 社のAdobe F の悪用事例 ternet Expl

ash Player

れたAdobe 含むページを 実行したり、 悪用した標的型 2.1：Adobe F o.jp/archives/ 5 脆弱性が狙わ いるか説明す Flash Playe lorer の悪用

r の脆弱性

Flash Play をユーザーが閲 DoS 攻撃を仕 型メール攻撃 Flash Playe /5785 われていること する。下記の r の悪用事例 用事例

（

CVE-20

er の脆弱性 閲覧する（開 仕掛けたりす 撃が行われて r の脆弱性の とを説明した 3 製品につ 例

12-1535）

（CVE-2012 く）ことで、整 することが可能 おり、図 2.1 の悪用事例4 。本章では具 いて事例を挙

の悪用

2-1535）は、細 整数オーバーフ 能であった。 1 のような攻撃 具体的 挙げて 細工さ フロー 撃フロ

2.2.

【 ト ー み 【 ー 5 _参考

事例

2）O

【脆弱性の概 2013 年１月 トの埋め込ま ーザーが開く み）を回避し、 【攻撃の事例 実際に、本 ーで行われた 考: http://blog.

Oracle JR

概要】 月に公開され まれたウェブペ くことで、JRE 、任意のコー 例】 本脆弱性を悪 た。 f-secure.jp/ta

RE の脆弱性

れたJRE の脆 ページやJNL E のサンドボ ードを実行可能 悪用した標的型 図2.2： ag/cve-2013-04 6

性

(CVE-201

脆弱性(CVE LP(Java Ne ボックス（プログ 能であった。 型メール攻撃 JRE の脆弱 422

13-0422)の

-2013-0422 etwork Lau グラムを保護 撃が行われて 弱性の悪用事

の悪用

)は、細工され nching Prot するためのセ おり、図 2.2 例5 れたJava ア tocol)ファイル セキュリティの 2 のような攻撃 アプレッ ルをユ の仕組 撃フロ

2.3.

【 た 【 ベ 公 の 6 _参考

事例

3）I

【脆弱性の概 2012 年 9 た HTML （use-after-f 【攻撃の事例 実際に、本 ベンダーはそ 公開までに期 のツールであ 考: http://blog.

Internet Ex

概要】 9 月に公開され ド キ ュ メ ン free の脆弱性 例】 本脆弱性を悪 その脆弱性へ 期間があった あるEMET(E 図 gdatasoftwar

xplorer の

れたInterne ト を ユ ー ザ 性)を悪用し、 悪用した攻撃が への対応のた たため、その期 Enhanced M 2.3：Interne re.com/blog/ar 7

の脆弱性

(CV

et Explorer ー が 閲 覧 す 任意のコード が行われてお ためにパッチの 期間は不審な Mitigation E et Explorer rticle/ie-0-day

VE-2012-4

r の脆弱性(C す る こ と で 、 ドを実行可能 おり、図 2.3 の の公開を行っ な攻撃を受け Experience T の脆弱性の y-cve-2012-49

969)の悪用

CVE-2012-4 、 メ モ リ ー 管 能であった。 のような攻撃 ったが、攻撃 けた際に軽減 Toolkit)の使 悪用事例6 69-javascript

用

4969)は、細工 管 理 関 連 の 撃フローで行わ 撃開始からパッ 減するような仕 使用を推奨した t-only.html 工され の 不 備 われた。 ッチの 仕組み た。

3. 脆

3.1.

脆弱性対策

脆弱性対

脆弱性 い、セキュ ■脆弱性へ ソフトウ 険な状態 に行う必要 【１．収集 利用してい 集する。ま 収集する ・IPA 重 (http ・ソフト ・JVN 【２．確認 １．収集で を検討する ・MyJV 【３．対策 脆弱性対 【４．運用 １−３を定

策と課題

策

性は、攻撃のき ュアな状態を への定期的な ウェアは、時間 となっていく。 要がある。た 】 いるソフトウェ また、複数の 為に、そちら 重要なセキュ ://www.ipa. ウェアのベン iPedia(http 】 で調べた情報 る。バージョン VN バージョ 】 対策を実施する 】 常的に繰り返 きっかけを与 保つ事が望ま な対応 間の経過とと 。そのため脆 とえば、図3 図3.1： ェアの脆弱性 ベンダーの脆 を利用するの リティ情報 go.jp/securi ンダサイト p://jvndb.jvn 報をもとにクラ ンの確認にチ ョンチェッカ(h る。製品のバ 返し対応する 8 与える要因と成 ましい。 ともに新たな脆 脆弱性対策を 3.1 のフローの ：既存の脆弱 性、バージョン 脆弱生対策を のも良い。 ity/announc n.jp/) ライアントソフ チェック用のソ http://jvndb.j バージョンアッ 。 成るため、ユー 脆弱性や攻撃 含めたソフト のような運用 性の対策フロ ンアップに関す を纏めたサイ ce/alert.htm フトウェアの利 ソフトウェアを jvn.jp/apis/m ップやパッチの ーザーは逐一 撃手法の出現 トウェアのメン を行う必要が ロー する情報をベ イトも存在する ml) 利用状況を確 を使うことも有 myjvn/) の適用等の対 一脆弱性対策 現により、徐々 ンテナンスを定 がある。 ベンダサイトか るので、広く情 確認し、対策の 有効だ。 対策を実施す 策を行 々に危 定期的 から収 情報を の有無 する。

9 ■ソフトウェア自動更新機能の活用 ソフトウェアによっては、自動更新機能が付属しているものもある為、その他のソフトウ ェアとの互換性に問題がないのであれば、本機能を使う事も有効である。一例として、 JRE の設定方法について紹介する。その他の製品の設定方法については各ベンダーの サイトを参照するか、IPA のサイト7_{を参考に設定してほしい。} ・JRE の場合 JRE の最新版の有無を自動的にチェックする機能がある。その機能を有効にすること で、定期的に更新の有無を確認し、更新が確認できた場合、その通知メッセージを表示す る(図 3.2)。下記の手順で利用可能となる。 図3.2:通知メッセージ 1) Windows のコントロールパネルにある Java コントロールパネルを起動する。 2) 更新タブへ移動し、「更新を自動的にチェック」をチェックする。 図3.3:Java コントロールパネル 3) OK ボタンを押下し、設定完了。 7 _{ソフトウェアの自動更新の設定方法:https://www.ipa.go.jp/security/anshin/faq/faq-9-3.html}

10

3.2. 脆弱性対策の課題

脆弱性対策の最も有効な方法はソフトウェアの脆弱性が解消されたバージョンに更新する ことである。しかし、下記の理由から容易にバージョンアップが行えないケースが存在する。 （１）バージョンアップすることで既存のアプリケーションが動作しなくなる(互換性問題) （２）脆弱性の対策方法（パッチ）が公開されていない(ゼロデイ脆弱性) このようにパッチの適用等の脆弱性対策ができないケースや対策が存在しないケースが あるため、下記の対策が有効である。 （１）脆弱性を含むソフトウェアを利用しない （２）脆弱性を悪用されたときの影響を軽減するような仕組み（攻撃緩和策）を活用 後者の攻撃緩和策は、近年実用化されはじめており、実現するツール等も公開されている。 次章からはその攻撃緩和策について説明する。

4. 攻

M

4.1.

み 知 に ー 入 の 性

攻撃緩和策

本章では攻 Microsoft 社

攻撃緩和

攻撃緩和策 みである。本 知しプログラ に有効である ・本来正し ・攻撃種別 ソフトウェア ールを利用す 入することが の通りである # 1 2 3 4 攻撃緩和策 性を悪用した

策と実機検

攻撃緩和策に 社のEMET を

策概要

策は、攻撃が 本来のソフトウ ムの実行を阻 るが、下記の い動きであっ 別によっては、 アによっては する場合は、 が大切だ。パッ る。 項目 対策方法 攻撃コードが 対策範囲 ゼロデイ攻撃 図4. 策を実現する た攻撃に対して

証

について説明 を例に挙げて が行われてい ウェアの挙動 阻止すること 2 点の注意が っても、攻撃と 検知できない は機能に制限 しっかりとそ ッチの適用と攻 表4.1:パ が成功可否 撃対策 1：パッチの適 るソフトウェア ての有効性に 11 明する。また、 て実機検証を いるような振る では起きない ができる。ゼ が必要だ。 と誤検知して い可能性があ 限が出てしまう の他のソフト 攻撃緩和策は パッチ適用と攻 パッチ適用 脆弱性を解 極めて低い 脆弱性を含 不可 適用と攻撃緩 アの中で、今回 について、実 、攻撃緩和策 を実施する。 る舞いがあっ い動作をした ゼロデイ等の適 しまう可能性 ある う可能性もあ トウェアに影響 は挙動や対策 攻撃緩和策の 解消 い 含む製品のみ 緩和策の攻撃 回はMicroso 機検証を行っ 策の有効性を たときに検知 時に、攻撃が 適切な対策が 性がある るため、この 響がないかを 策内容の違い の違い 攻撃緩和 攻撃から防 成功する可 PC 全体 一部可能 撃防御イメージ oft 社の EME った。 を確認するため 知・抑止できる が行われる前 が適用できな のような仕組み を確認したうえ いは表 4.1、図 策 防御する対策 可能性あり ジ ET を用いて、 めに、 る仕組 前に検 いとき みのツ えで導 図 4.1 策 、脆弱

12

4.2. EMET 概要

EMET は、Enhanced Mitigation Experience Toolkit の略称。ソフトウェアの脆弱性が 悪用されるのを防止するユーティリティで、セキュリティ軽減テクノロジを利用している。セキュ リティ軽減テクノロジは脆弱性を悪用した攻撃について保護し、悪用の実行を可能な限り困 難にするように機能する。設定画面でどの軽減テクノロジを有効にするのか、どのアプリケー ションをチェック対象にするのか等を設定することができる（図4.2）。 図4.2:EMET 設定画面 EMET は脆弱性を悪用した攻撃を緩和するために多くの機能を実装している。主な機能 を下記に記載する（表4.2）。EMET は主にメモリー関連を利用した攻撃や Windows API を 利用した攻撃に対して効果が高い。 表4.2:EMET の機能例 分類 機能名 概要 メモリー関連 の緩和 DEP 実行不可能なメモリー領域外から行われるコードを制御 HeapSpray 任意のコードを実行させるヒープスプレー攻撃で利用され やすいアドレスを制御 NullPage NULL 付近のメモリー割り当てを制御。 API 関連 の緩和 LoadLib ネットワーク上にあるDLL ファイルの読み込みを制御 Caller 攻撃コードに使われやすいWindows API を制御 その他 SEHOP 構造化例外ハンドラー (SEH)の上書き操作を制御

4.3.

項 O I ア F J な 脆 E パ 8 _Me 9 _重要

EMET 実

EMET の ■検証環境 検証は下記 項目 OS IP アドレス アプリケーシ ■検証シナ 検 証 は 下 Framework （図4.4）。 検証に利用 JRE の脆弱性 なセキュリティ 脆弱性対策未 EMET による パッチによる etasploit: ht 要なセキュリテ

機検証

有効性を確認 境 記の環境で実 ション ナリオ 下 記 の シ ナ リ k8_{を使い脆弱} 用する脆弱性 性であるとC ィ情報9_のうち 検証内容 未実施時の動 る脆弱性対策 脆弱性対策 ttp://www.m ティ情報: htt 認するために 実施する（表 表 攻撃対 Windo 192.16 Intern EMET リ オ で 実 施 す 弱性を悪用す 性は、Interne CVE-2013-04 ち緊急度が高 容 動作検証 策時の動作検 時の動作検証 図 metasploit.co tps://www.ip 13 に、脆弱性を悪 4.4）。 表4.4:検証環境 対象PC ows XP SP3 68.147.20 net Explore T 3.5.0 す る （ 表 4.3 する攻撃を発 et Explorer 422 とする。な 高い脆弱性の 表 4.3:検証シ C (In 検証 証 図4.3:検証方 om/ pa.go.jp/sec 悪用した攻撃 境スペック 3 r 8 3 ） 。 攻 撃 用 生させ、攻撃 の脆弱性であ なお、本脆弱 中から選択し シナリオ CVE-2012-49 ternet Expl 14 ペ 15 ペ 16 ペ 方法 curity/annou 撃を回避できる 攻撃用サイ Windows 7 192.168.14 Metasploit サ イ ト を 準 備 撃の成功の可 あるCVE-20 弱性はIPA が している。 969 lorer) C ページ（１）のシ ページ（２）のシ ページ（３）のシ unce/alert.h るかを検証し イト 7 SP1 47.10 t 4.5.2 備 し 、Meta 可否をチェック 012-4969 お が発信している CVE-2013-0 (JRE) シナリオ シナリオ シナリオ html した。 sploit クする よび、 る重要 0422

14 ■実機検証 シナリオに従い実機検証を行う。 （１） 脆弱性対策未実施時の動作検証 【検証手順】 ①攻撃サイトを立ち上げる。 ②攻撃対象PC より Internet Explorer 8 から攻撃サイトにアクセスする。 ③セッション取得に成功した場合は、取得したセッションに対してアクセスする。 【検証結果】 ・CVE-2012-4649（Internet Explorer の脆弱性）の検証結果（図 4.4） セッションの取得に成功し、攻撃対象PC を乗っ取ることができることを確認した。 ・CVE-2013-0422（JRE の脆弱性）の検証結果 セッションの取得に成功し、攻撃対象PC を乗っ取ることができることを確認した。 図4.4: CVE-2012-4969 時の攻撃サイト上のログ（PC の乗っ取り成功） 攻撃対象PC のアドレスにログイン できている 攻撃対象PC のアドレスにログイン できている 攻撃対象PC のセッション取得

15 （２） EMET による脆弱性対策時の動作検証

【検証手順】

①EMET を導入し、Internet Explore および JRE をチェック対象に設定する。 ②攻撃サイトを立ち上げる。

③攻撃対象PC より Internet Explorer 8 から攻撃サイト用の URL にアクセスする。 ④セッション取得に成功した場合は、取得したセッションに対してアクセスする。 【検証結果】

・CVE-2012-4649（Internet Explorer の脆弱性）の検証結果

アクセスするとEMET が検知し(図 4.5)、Internet Explorer の接続が停止状態と なった。また、攻撃サイト側のログも途中で接続が止まり、攻撃対象 PC が乗っ取ら れることはなかった(図 4.6)。 図4.5:EMET による検知 図 4.6: CVE-2012-4969 時の攻撃サイト上のログ （PC の乗っ取り失敗） ・CVE-2013-0422（JRE の脆弱性）の検証結果 EMET では検知できず、PC の乗っ取りに成功してしまった（図 4.7）。 図4.7: CVE-2013-0422 時の攻撃サイト上のログ（PC の乗っ取り成功） 攻撃の停止 乗っ取り成功

16 （３） パッチによる脆弱性対策時の動作検証

【検証手順】

①Internet Explorer および JRE に正式なパッチを当てる。 ②攻撃サイトを立ち上げる。

③攻撃対象PC より Internet Explorer 8 から攻撃サイト用の URL にアクセスする。 ④セッション取得に成功した場合は、取得したセッションに対してアクセスする。 【検証結果】 ・CVE-2012-4649（Internet Explorer の脆弱性）の検証結果 攻撃対象 PC を乗っ取られることなく、攻撃サイト側のログも途中で接続が止まっ た (図 4.8)。 ・CVE-2013-0422（JRE の脆弱性）の検証結果 攻撃対象 PC を乗っ取られることなく、攻撃サイト側のログも途中で接続が止まっ た。 図4.8: CVE-2012-4969 時の攻撃サイト上のログ（PC の乗っ取り失敗） 【実機検証結果まとめ】

CVE-2012-4969（Internet Explorer の脆弱性） および CVE-2013-0422（JRE の脆 弱性）検証結果は下記の通りとなった（表4.4）。 表4.4:検証結果まとめ 項目 CVE-2012-4969 (Internet Explorer) CVE-2013-0422 (JRE) （１）脆弱性対策未実施時の動作検証 乗っ取り成功 乗っ取り成功 （２）EMET による脆弱性対策時の動作検証 乗っ取り失敗 （EMET 検知） 乗っ取り成功 （EMET 未検知） （３）パッチによる脆弱性対策時の動作検証 乗っ取り失敗 乗っ取り失敗 攻撃の停止

17 【実機検証結果考察】 CVE-2012-4649（Internet Explorer の脆弱性）の場合、本来脆弱性を悪用されると PC を乗っ取られる可能性がある攻撃を、EMET を利用することで、攻撃をブロックできることが 分かった。また、パッチを適用することで脆弱性対策ができ、EMET を適用しなくても攻撃を ブロックできることを確認した。 しかしながら、CVE-2013-0422（JRE の脆弱性）の場合、EMET では攻撃を検知できず、 PC の乗っ取りに成功した。検知できなかった理由は、本脆弱性は JRE のサンドボックスを回 避する脆弱性であるため、EMET の機能上検知の対象外となっているためと考えられる。 今回の検証結果から、パッチを適用していない状況においてEMET の有効性を確認する ことができた。しかし、EMET はすべての脆弱性について対策出来るわけではなく、対応でき ない脆弱性もあることが分かった。EMET の利用を検討する場合は、EMET は脆弱性を悪 用された時の影響を緩和する対策であることを理解し、ある程度のリスクがある点を考慮し て検討してほしい。また、パッチが発行された場合には、可能であればすみやかに適用すべ きである。

5. まとめ

クライアントの脆弱性対策の必要性と対策方法について説明してきた。 世の中でクライアントソフトウェアの脆弱性を狙った攻撃が行われており、実際に被害も出 てきている。ユーザーに置いては、このような実情を理解した上で、セキュリティ対策を施した PC を使うことが重要である。 また、脆弱性への対応は、パッチを当てるだけではなく、様々な回避策が存在する。ユー ザーにおいては、攻撃による被害回避を念頭に置き、対策検討を行うことをお勧めする。本 レポートで紹介した通り、セキュリティ対策には一長一短が存在する為、自身の環境に即した 対策を取ることが重要である。それらを理解したうえで適切な脆弱性対策をとってもらいた い。 今回紹介した脆弱性対策が実際のクライアントソフトウェアの脆弱性対策の考え方の一つ として活用され、セキュアなクライアント環境作成のための一助になることを期待している。 以上