今日、何千万ものマルウェアがインターネット上を駆け巡り、何万人ものハッカーが、騙されやすいインターネット・ユーザーを騙すためにあらゆる手口を使っています。彼らは、何年も何十年も前から使われているのと同じ攻撃を使い、インターネット・ユーザーの怠惰、誤算、「純粋に愚かな」行動を新たに利用することはありません。
その一方で、マルウェア対策研究者は毎年、マルウェアや悪意のある攻撃における魅力的なテクニックに遭遇しています。このようなテクニックは、悪意のある攻撃の境界を広げ続け、より多くの賢い人々がそのテクニックに引っかかるきっかけとなっています。最近、PCWorldは、今日の世界で最も一般的に使用されている7つの攻撃戦術を取り上げました:
1.偽の無線アクセスポイント
偽のWAP(無線アクセスポイント)は、今日の世界で最も簡単な攻撃戦略となっています。 簡単なソフトウェアと無線カードがあれば、誰でも自分のコンピュータを使用可能なWAPに偽装し、このWAPを本物の正規のローカルWAPに接続することができます。
スターバックスのハッカーたちはWAPを「スターバックス・ワイヤレス・ネットワーク」と名付け、アトランタ空港のハッカーたちは「アトランタ・エアポート・フリー・ワイヤレス」と名付けました!数分のうちに、あらゆる階層の人々が接続できるようになったことを想像してみてください。
ハッカーは、これらの保護されていないデータストリームを簡単に読むことができ、もしあなたが理解すれば、パスワードさえ平文で送信されているデータの内容に驚くことでしょう。
より悪質な攻撃者は、WAP上でアカウントを作成するようユーザーに要求することがあります。このような攻撃者は、この一般的な認証情報を使用して、Facebook、Twitter、Amazon、iTunesなどの一般的なウェブサイトに、被害者に気付かれないようにログインします。
教訓:公共のWAPを信用してはいけません。通信を保護するVPNリンクを使用し、公共または民間のサイトで同じ認証情報を使用しないようにしてください。
2.クッキー盗難
ブラウザのクッキーは、ユーザーの「状態」を保存することで、ユーザーのウェブサイト閲覧体験を向上させ、ウェブサイトはこれらの小さなテキストをユーザーのホストに送信してユーザーの行動を追跡し、ユーザーの関連操作を大幅に容易にします。クッキーの欠点は何ですか?
攻撃者がユーザー・クッキーを盗むと、これらのファイルを通してユーザーになりすまし、その中の認証情報を使ってこれらのサイトにログインすることができます。
例えば、Firefox のアドオンである Firesheep は、ユーザが他人のクッキーを盗むことを可能にします。 偽の WAP と組み合わせて使用すると、クッキーの盗用は驚くほど簡単になります。Firesheep は発見されたクッキーの名前と場所を表示し、マウスをクリックするだけで攻撃者はセッションを盗むことができます(詳細については、Codebutler のブログ「How easy it is to use Firesheep」をご覧ください)。
クッキー攻撃のたびに、ウェブサイトやアプリケーションの開発者は、ユーザーをどのように保護すればよいかを知らされます。この質問に対する答えは、最新の暗号化技術を使用することであることもあれば、人々があまり使用しない機能をオフにすることであることもあります。重要なのは、すべてのウェブ開発者はクッキーの盗難を最小限に抑えるために安全な開発技術を使用しなければならないということです。サイトが数年間暗号化を更新していない場合、リスクが生じます。
教訓:暗号化されたクッキーを使用しても盗まれる可能性があります。 HTTPSサイトは、LSバージョン1.2を含む最新の暗号化技術を使用する必要があります。
3.ファイル名偽装
マルウェアが登場して以来、攻撃者はファイル名を偽装してユーザーを誘い、悪意のあるコードを実行させてきました。初期の頃は、ファイル名は信頼できる方法で命名され、複数のファイル拡張子が使用されていました。現在に至るまで、Microsoft Windowsをはじめとするいくつかのオペレーティングシステムはいまだにいくつかの「一般的な」ファイル拡張子を隠しており、これがAnnaKournikovaNudePics.Gif.ExeがAnnaKournikovaNudePics.Gif.Exeと同じ表示をしている一因となっています。
数年前、一般的な悪意のあるウイルスプログラムは、Microsoft Windows/DOSのあまり知られていない機能に依存していました。Start.exeというファイル名を入力するだけでも、Windowsはそのファイルを探し、見つかった場合は実行します。 コンパニオンウイルスは、ディスク上のすべての.exeファイルを探し、EXEとまったく同じ拡張子を持つファイルを作成しますが、拡張子は.comです。この問題はマイクロソフト社によってかなり前に修正されましたが、このアプローチが構築される基礎となりました。
現在、この手口はより巧妙に進化しており、Unicode文字を使ってユーザーに表示されるファイル名を偽装しています。例えば、Right to Left Overrideとして知られるユニコード文字は、多くのシステムでAnnaKournikovaNudeavi.exeをAnnaKournikovaNudexe.aviとして表示するように騙すことができます。
教訓:可能であれば、どのような文書であれ、実施する前にその真の完全な名称が明確であることを確認しましょう。
4.絶対パスと相対パス
Windowsの初期バージョンやその他の初期のオペレーティング・システムでは、ファイル名を入力してEnterキーを押した場合、またはシステムがファイルを探そうとした場合、通常は現在のフォルダまたは相対的な場所から開始します。これは効率的で無害に見えるかもしれませんが、攻撃者に悪用される可能性があります。
例えば、Windowsに内蔵されている無害な電卓を使いたい場合、コマンドラインを開いてcalc.exeと入力し、Enterキーを押すのが一番手っ取り早い方法です。
しかし、攻撃者はcalc.exeという名前のフォルダを作成し、それをカレントフォルダまたはホームフォルダの下に隠すかもしれません。
通常、このマルウェアは侵入テスターとして使用され、ホストに侵入した後に特権を昇格させるために使用されます。攻撃者は、パッチが適用されていない既知の脆弱なソフトウェアを選択し、一時フォルダに配置します。ほとんどの場合、完全にパッチが適用されたアプリケーションを脆弱な実行ファイルや DLL と置き換えるだけでよいのです。攻撃者は、一時フォルダ内のプログラムの実行ファイル名を入力すると、Windows は、完全にパッチが適用されたバージョンの代わりに、一時フォルダ内の脆弱なトロイの木馬の実行ファイルを読み込みます。このルートは、単純なファイルを使用してシステム全体を危険にさらすことができるため、攻撃者に非常に人気があります。
Linux、Unix、BSDシステムは10年前にこの問題を修正し、Windowsは2006年にWindows Vista/2008でこの弱点を改善しましたが、後方互換性のため、以前のバージョンでもこの問題はまだ存在します。一方、マイクロソフトは数年前から、アプリケーション構築時に絶対フォルダ/パスを使用するよう、開発者に注意を促し、指導してきました。しかし現在に至るまで、何万もの脆弱なプログラムが存在しており、攻撃者はこのことを誰よりもよく知っています。
教訓:実行絶対ディレクトリとファイルパスを使用するオペレーティング・システムは、まずデフォルトのシステム領域の下にあるファイルを探します。
5.ホストファイルのリダイレクト
Hostsファイルはもともと、ホストがDNSサーバーと通信することなく名前からIPアドレスの検索を解決し、再帰的なドメイン名解決を実行する方法としてDNSによって使用されていました。Hostsファイルはもともと、ホストがDNSサーバーと通信することなく名前からIPアドレスへの検索を解決し、再帰的なドメイン名解決を実行する方法としてDNSによって使用されていました。これはほとんどの場合において素晴らしい機能ですが、ほとんどのユーザーはHostsファイルに関わることはないでしょう。
攻撃者は、ユーザが一般的に使用されているドメインにアクセスすると、悪意のあるサイトにリダイレクトされるように、Hostsに独自の悪意のあるディレクトリを書き込むことを好みます。悪意のあるリダイレクトは、一般的に元のサイトのほぼ完全なコピーを含んでいるため、リダイレクトについて何も知られていなくても、この方法は今日でも広く使われています。
教訓:リダイレクトされているかどうかわからない場合は、Hostsファイルをチェックしてください。
6.水飲み場の攻撃
ウォーターホール攻撃は、攻撃者が通常、特定の地理的または仮想的な場所にいる被害者を標的とし、その被害者に悪意のある標的を「ポイズン(毒)」するという、そのユニークな攻撃手法からその名前が付けられました。
例えば、ほとんどの大企業では、近くにカフェやバー、レストランがあり、従業員が頻繁に利用します。攻撃者は偽のWAPを設置し、会社の認証情報に可能な限りアクセスできるようにしたり、同様の目的で頻繁にアクセスするサイトを改ざんしたりします。このような標的の多くは公共の場所であり、社会的な入口であるため、被害者は極めて脆弱です。
ウォーターホール攻撃は、Apple、Facebook、Microsoftなどの企業が、開発者が頻繁に閲覧するサイトの影響を受けていることで、今年、多くの露出を得ています。これらのサイトは、開発者のコンピュータにマルウェアをインストールするようリダイレクトする悪意のあるJavaScriptの影響を受けており、これらの侵害されたコンピュータは、被害企業への攻撃の踏み台となっていました。
教訓:人気のある「水飲み場」のいくつかは、攻撃者の頻繁な標的になっていることを従業員に認識させること。
7.おとり商法
攻撃者が使う手口の一つとして知られているのが「おとり商法」で、被害者はあるソフトウェアをダウンロードまたは実行していると告げられますが、これは一時的なものに過ぎず、その後悪意のあるオプションにリダイレクトされるなど、その手口は枚挙にいとまがありません。
マルウェアを拡散させるために人気のあるウェブサイトの広告を購入することは、いたるところで見受けられます。広告の確認を行う時点では、このウェブサイトに表示されるコンテンツやリンクは完全に正常である可能性があります。しかし、人気のあるウェブサイトが承認し、お金を回収した後、攻撃者は何らかの悪意のあるコンテンツを置き換えに使用します。訪問者のIPが広告プロバイダのものであれば、コンテンツやリンクは通常のコンテンツにリダイレクトされます。
最近よく見られる「おとり攻撃」の一つは、攻撃者がウェブページの下部にある管理コンソールやアクセスコントローラなど、誰でも使える無料コンテンツをダウンロード提供することです。多くの場合、これらのアプレットや無料の要素には、「ダウンロードしたコンテンツは、元のリンクが保持されている限り、再利用することができます。これはユーザーに疑われることなく、広く使われており、元のリンクは常に保持されています。多くの場合、元のリンクには大したコンテンツは含まれておらず、グラフィックタグやその他の小さなものが含まれています。ダウンロードされたコンテンツが何万ものウェブサイトで使用された後、攻撃者は元のリンクのコンテンツを悪意のあるJavaリダイレクトなどの有害なオプションに置き換えます。
教訓:管理されていないコンテンツは、同意なしに何にでも置き換えられるので要注意。
