トレンドマイクロ株式会社
ソリューションマーケティング部
2014年9⽉26⽇
10/3/2014 Copyright © 2013 Trend Micro Incorporated. All rights reserved.
1
bashに存在する「Shellshock」脆弱性
「Shellshock」脆弱性(CVE-2014-6271)とは?
•
Linux などで使⽤されるオープンソースプログラム「bash
」に存在する脆弱性
•
bashは Linux、BSD、Mac OS X などの OS で使われる「
シェル」と呼ばれるコマンドシェルの1つ
•
脆弱性が悪⽤されると、bash を使⽤している Webサ
ーバが改ざんされたり、遠隔操作されたり、不正プログラ
ムに感染してしまう危険性がある
10/3/2014 Copyright © 2013 Trend Micro Incorporated. All rights reserved.
2
改ざん・遠隔操作・不正プログラムに感染
Linuxサーバ
bash
影響のある環境は?
•
bashが実装されているOS環境に影響
–
各種 Linuxディストリビューションや Mac OS Xでは
bash が標準搭載され、デフォルトシェルとして設定さ
れています
(影響範囲⼤)
–
CGI、ssh、rsh、rloginなどで bash が使われている
場合、システムなどの関数によって呼びこまれている場
合には特に注意が必要です
•
また、サーバやPCだけではなく、Linuxベースのアプライアン
スや組み込み機器、Internet of Everything(IoE)
関連デバイスなどでも影響を受ける可能性があります
どのような攻撃の可能性があるのか?
•
攻撃者は、この脆弱性をもつサーバや PC に対し
脆弱性を悪⽤する通信を⾏うことにより、コマンド
を実⾏することができます
•
⼀般的な攻撃シナリオとしては、Webサーバなど、
インターネットから直接アクセスできる公開サーバに
対する遠隔攻撃の可能性が⾼い
10/3/2014 Copyright © 2013 Trend Micro Incorporated. All rights reserved.
4
•
脆弱性を悪⽤しOSコマンドを実⾏
•
Web改ざん、遠隔操作、不正プログ
悪⽤するウイルスも出現
•
既にこの脆弱性を悪⽤する
ウイルスが出てきています
•
トレンドマイクロのウイルス対策製品は
既に対応
済み
です、最新パターンファイルを適⽤してください
10/3/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
5
不正プログラムパターンファイル
パターンバージョン:11.171.xx以降
Webサーバへのサイバー攻撃と被害事例
(2013年)
Copyright 2013 Trend Micro Inc.
攻撃者
被害者②
被害者①
公開Webサーバ
(Apache)
攻撃内容
脆弱性を突く攻撃
設定ファイルの改ざん
不正プログラム/不正モジュールの
設置
Webコンテンツプログラムの改ざん
公開Webサーバ(Apache)
ECサイト
クレジットカード情報⾮保持
クレジットカード
決済業者
クレジットカード情報(正規処理)
②ECサイトの利⽤者
が決済時に⼊⼒する
クレジットカード情報
を転送し奪取
2
クレジットカード情報(漏洩)
②サイトの閲覧者のPC
側の脆弱性を突く不正
なHTTPレスポンスを発
⾏し別の不正プログラム
に感染させる
2
⼀般のサイト閲覧者/ECサイト利⽤者
攻撃⽤のサーバ
攻撃を受けた公開Webサーバにアクセスしたことにより、サイト利⽤者の
クレジットカード情報が漏洩し不正使⽤の被害が発⽣したり、サイト閲覧者が
不正プログラムに感染しPC内情報が漏洩する被害が発⽣する事態に…
攻撃を受けた公開Webサーバにアクセスしたことにより、サイト利⽤者の
クレジットカード情報が漏洩し不正使⽤の被害が発⽣したり、サイト閲覧者が
不正プログラムに感染しPC内情報が漏洩する被害が発⽣する事態に…
6
①標的となるWebサーバの
脆弱性を突いて不正プログラ
ム/不正モジュールを設置す
る
またはプログラムを改ざんする
1
対策フローは?
①状況の確認
• お使いの環境でbashを有効にしているか確認する
②リスクの確認
• 外部のネットワークから攻撃が⾏われる可能性があるか/
無いかを確認する
③対応⽅法の検
討
• セキュリティパッチ適⽤またはバージョンアップを⾏う
• セキュリティソリューションの導⼊検討を⾏う
bashの脆弱性有無の確認⽅法
•
「Shellshock」脆弱性の仕組み:
–
bashの関数機能は環境変数内でも使⽤可能だが、関数に任意のコマン
ドを続けて環境変数に⼊⼒すると、指定したコマンドが勝⼿に実⾏されてし
まう
•
例:脆弱性を影響を確認できるサンプルコード:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
“echo vulnerable“ の部分が勝⼿に実⾏されてしまうコマンド部分
–
脆弱性がある場合以下の表⽰
•
vulnerable
•
this is a test
–
脆弱性がない場合以下の表⽰
•
bash: warning: x: ignoring function definition attempt
•
bash: error importing function definition for `x'
•
this is a test
9
サーバの脆弱性対策
対策⽅法
•
セキュリティパッチ適⽤またはバージョンアップ
–
既に GNU Project からは本脆弱性の⼀部を修正する以下のパッチが公
開されています。
•
https://www.jpcert.or.jp/at/2014/at140037.html
•
また、各種 Linuxディストリビューターからも修正パッチが公開されていますが、こ
れらのパッチではまだ完全な修正が⾏えていない可能性があることが確認され
ています。
•
セキュリティソリューションの導⼊検討
–
Trend Micro Deep Securityの仮想パッチ(侵⼊防御機能)によ
る脆弱性の保護
•
以下の侵⼊防御 (DPI) ルールにて対応済み
–
ルールアップデート : DSRU14-028
–
ルールID :1006256
–
ルール名: GNU Bash Remote Code Execution Vulnerability
–
リリース⽇:2014年9⽉26⽇ 02時30分頃
Trend Micro Deep Securityとは
10/3/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
11
IDS/IPS
Webアプリケーション保護
ファイア
ウォール
セキュリティ
ログ監視
ウイルス対策
OSやアプリケーションの
SQLインジェクション等の
攻撃から
DoS攻撃など
ファイルやレジストリ等の
OSやミドルウェアのセ
キュリティイベントを
リアルタイムに
変更監視
物理サーバ
仮想サーバ
クラウド上のサーバ
デスクトップの仮想化
Trend Micro Deep Security
仮想パッチ(侵⼊防御機能)による脆弱性の保護
10/3/2014 Copyright © 2013 Trend Micro Incorporated. All rights reserved.
12
カーネルモードドライバ(Layer2/データリンク層にバインドされる)を利⽤してパ
ケットの中⾝を確認し、プロトコル違反・シグネチャベースによるマッチングを⾏い
ます。パターンにマッチングしたパケットを"脆弱性を狙った攻撃パケット"と判断
し、検知・ブロックします。 結果、仮に脆弱性が存在しているシステムでも、そこ
を狙った攻撃から保護がされます。
仮想パッチ
攻撃
ツール
CVE-2014-6271
CVE-2014-7169
エージェントが
⾃動
でbashの脆弱性を⾒つけて、
⾃動
で保護
Deep Securityマネージャ
Linux Server
脆弱性を
⾃動で検出
“仮想パッチ”
で
⾃動で保護
サーバ管理者を脆弱性の管理から解放
仮想パッチで最⼩限の負荷で、最適保護
Deep Securityの定期的なチューニング
不要
サーバ管理者を脆弱性の管理から解放
仮想パッチで最⼩限の負荷で、最適保護
Deep Securityの定期的なチューニング
不要
解決可能なペインポイント
⾃動で解除
Deep Securityだけができる
“推奨設定”でbashの仮想パッチを⾃動適⽤
13
14
ネットワーク監視で対策
Deep Discovery Inspector
による対応
15
インターネット
公開サーバ群
攻撃者
脆弱性
脆弱性攻撃コードおよび
攻撃通信の
有無を確認
0011001001
10100
10000101
1001101
001100100110100 100001011001101 001100100110100 100001011001101Shellshock
脆弱性
攻撃パケット
パケット
コピー
コアスイッチ
パケットに含まれる脆弱性攻撃コードと攻撃通信を検出するエンジンを搭載
•
コアスイッチを通過するパケット
をコピーして分析
₋
脆弱性攻撃パケットの検出を⾏う
ネットワークコンテンツ検査エンジン
₋
攻撃通信を検出するネットワークコ
ンテンツ相関分析エンジン
•
Shellshock 対応済み
₋
ネットワークコンテンツ検査パターン
ファイル : 1.12175.00
₋
ネットワークコンテンツ相関パターン
ファイル : 1.12147.00
₋
ルールID:1618
Deep Discovery Inspectorとは
10/3/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
16
・ミラーポート接続型ネットワークモニタ
リング・アプライアンス(センサー)
設置特性
・内部に潜在する脅威の不正通信の可視化
・セキュリティ対策の指針づくり
・標的型メール攻撃対策
・内部攻撃・内部拡散対策
設置⽬的
1. 脅威検出:不審なファイルに対する
効率的な多段解析(静的解析、動的解析)
複数の検知技術
を使って脅威をモニタリング
Sandboxによる不審なファイルの詳細分析
2. 脅威の可視化:リアルタイムに
管理コンソール
から脅威を可視化
3.
脅威分析レポート
:感染/Target PCのIPをKeyに通信の相関分析可能
4. 運⽤サポート:検体の捕獲からパターンファイルでの対応まで⼀気通貫での提供
DDの特徴
お客様環境における通信から脅威を広範囲に検知・可視化するためのネットワーク製品
Deep Discovery Inspector
10/3/2014 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
17
パケット内からファイル構造のみを取得
ファイルの構築
スイッチスニファポートから
パケットをモニタリング
パケットの⼊⼒
静的解析
TCP/IPのプロトコル処理を⾏い、パケット内から
ヘッダ等の情報を取得
ヘッダ等の情報の取得
挙動分析
既知の不正ファイルを検出
パターンマッチング
ファイル内に含まれる未知の脆弱性コードを検出
③ドキュメントファイルの脆弱性
脆弱性コードの確認
Webレピュテーション。DNSレコードの新しさや、
悪⽤されていたドメインであるかなど、複数の基
準から判定されたURLごとの危険なURLかどうか
を確認
URL判定
ネットワークレベルでOSの脆弱性を狙った攻撃
(ネットワークウイルス)を検出
ネットワーク経由の脆弱性コード
動的解析
Sandbox技術を⽤いた、仮想環境における動作
検証。ファイルを仮想環境上で実⾏し、ファイ
ルの挙動をもとに危険度を判断
④動的解析の実施
Sandboxを⽤いた動的解析
セッションデータ、プロトコル、ファイル
名、ファイルサイズ等の情報から不審通信
を検出
①ネットワーク上の不審なふるまい
②要注意アプリケーション
Deep
Discovery
Inspector
!
80を超える多様なプロトコルに対応
Web, mail などに限定しない、多様な分析アプローチ
!
800を超える挙動分析ルール
ファイル
セッション情報
トレンドマイクロソリューションの対応状況
•
「
Trend Micro
Deep Security
」にて、侵⼊防御 (DPI)ルールについて
以下のとおり公開
–
ルールアップデート : DSRU14-028
–
ルールID :1006256
–
名前: GNU Bash Remote Code Execution Vulnerability
–
リリーススケジュール:2014年9⽉26⽇ 02時30分頃
•
「
Deep Discovery Inspector
」⽤ルールを緊急リリースについて以
下のとおり公開しました。
–
ネットワークコンテンツ検査パターンファイル : 1.12175.00
–
ネットワークコンテンツ相関パターンファイル : 1.12147.00
–
ルールID:1618
–
理由: Shellshock HTTP REQUEST
–
リリーススケジュール:2014年9⽉26⽇ 09時00分頃
•
トレンドマイクロの各ウイルス対策製品
–
ウイルスパターンファイル 11.171.xx以降にて「ELF_BASHLITE.A」として検出します。
まとめ
19 Copyright © 2014 Trend Micro Incorporated. All rights reserved.
詳しくはこちら
脆弱性対策は、トレンドマイクロに
ご相談ください。
TRENDMICRO、TREND MICRO、ウイルスバスター、ウイルスバスター On‐Line Scan、PC-cillin、InterScan、INTERSCAN VIRUSWALL、ISVW、InterScanWebManager、ISWM、InterScan Web Security Suite、IWSS、 TRENDMICRO SERVERPROTECT、PortalProtect、Trend Micro Control Manager、Trend Micro MobileSecurity、VSAPI、トレンドマイクロ・プレミアム・サポート・プログラム、License for Enterprise Information Security、 LEISec、Trend Park、Trend Labs、InterScan Gateway Security Appliance、Trend Micro Network VirusWall、Network VirusWall Enforcer、Trend Flex Security、LEAKPROOF、Trendプロテクト、Expert on Guard、 InterScan Messaging Security Appliance、InterScan Web Security Appliance、InterScan Messaging Hosted Security、DataDNA、Trend Micro Threat Management Solution、Trend Micro Threat Management Services、 Trend Micro Threat Management Agent、Trend Micro Threat Mitigator、Trend Micro Threat Discovery Appliance、Trend Micro USB Security、InterScan Web Security Virtual Appliance、InterScan Messaging Security Virtual Appliance、Trend Micro Reliable Security License、TRSL、Trend Micro Smart Protection Network、Smart Protection Network、SPN、SMARTSCAN、Trend Micro Kids Safety、Trend Micro Web Security、Trend Micro IM Security、Trend Micro Email Encryption、Trend Micro Email Encryption Client、Trend Micro Email Encryption Gateway、Trend Micro Collaboration Security、Trend Micro Portable Security、Portable Security、 Trend Micro Standard Web Security、トレンドマイクロ アグレッシブスキャナー、Trend Micro Hosted Email Security、Hosted Email Security、Trend Micro Deep Security、ウイルスバスタークラウド、ウイルスバスターCLOUD、 Smart Surfing、スマートスキャン、Trend Micro Instant Security、Trend Micro Enterprise Security for Gateways、Enterprise Security for Gateways、Trend Micro Email Security Platform、Trend Smart Protection、 Vulnerability Management Services、Trend Micro Vulnerability Management Services、Trend Micro PCI Scanning Service、Trend Micro Titanium、Trend Micro Titanium AntiVirus Plus、Smart Protection Server、Deep Security、Worry Free Remote Manager、ウイルスバスター ビジネスセキュリティサービス、HOUSECALL、SafeSync、トレンドマイクロ オンラインストレージ SafeSync、Trend Micro InterScan WebManager SCC、Trend Micro NAS Security、Trend Micro Data Loss Prevention、TREND MICRO ENDPOINT ENCRYPTION、Securing Your Journey to the Cloud、Trend Micro オンラインスキャン、Trend Micro Deep Security Anti Virus for VDI、 Trend Micro Deep Security Virtual Patch、Trend Micro Threat Discovery Software Appliance、SECURE CLOUD、Trend Micro VDIオプション、おまかせ不正請求クリーンナップサービス、Trend Micro Deep Security あんし んパック、こどもーど、Deep Discovery、TCSE、おまかせインストール・バージョンアップ、トレンドマイクロ バッテリーエイド、Trend Micro Safe Lock、トレンドマイクロ セーフバックアップ、Deep Discovery Advisor、Deep Discovery Inspector、Trend Micro Mobile App Reputation、あんしんブラウザ、 Jewelry Box、カスタム ディフェンス、InterScan Messaging Security Suite Plus、おもいでバックアップサービス、 おまかせ!スマホお探しサポート、プライバ シースキャナー、保険&デジタルライフサポート、およびLiveWedding は、トレンドマイクロ株式会社の登録商標です。