修正プログラムの管理状況が試されるのは、システムやネットワークへの侵入口として、脆弱性などセキュリティ上の不具合が利用された時です。悪名高い暗号化型ランサムウェア「SAMSAM(サムサム)」の事例は、修正プログラム管理の重要さを伝えています。SAMSAM(「RANSOM_CRYPSAM」として検出)は、以前に本ブログでも紹介した暗号化型ランサムウェア「SAMAS」をベースに作成されたと思われる暗号化型ランサムウェアの新種です。不正なURL やスパムメール経由で拡散する他の暗号化型ランサムウェアファミリと異なり、修正プログラムが適用されていないサーバの脆弱性を突いて拡散します。2016年3月、SAMSAM は、米国ケンタッキー州の病院を攻撃した際、ネットワーク上のファイルを含むすべてのファイルを暗号化しました。その後 SAMSAM は、4月、医療業界から教育機関に標的を移しているようです。最近の事例では、SAMSAM が、Java で実行されるオープンソースのアプリケーションサーバである「JBoss」の脆弱性を利用した攻撃を仕掛け、多数のサーバおよびそのシステムが被害に遭っています。学校図書管理システム「Destiny」を利用するサーバも影響を受けました。Destiny は世界各地の幼稚園から高等学校までの教育機関で利用されているソフトウェアです。既に Destiny の製造元である「Follett」は、利用者のための修正プログラムを公開して対応しています。
脆弱性を抱えるJBossサーバを攻撃するためには、JexBoss と呼ばれる攻撃ツールが利用され「WebShell」が設置されます。このスクリプトにより管理者権限でシステムの遠隔操作がを可能になります。一度感染すればサーバにはバックドア機能および WebShell が設置され SAMSAM が活動開始します。修正プログラム未適用のサーバ経由で拡散した SAMSAM は、暗号化したファイルを、拡張子「encryptedRSA」を用いて変更します。
■ 修正プログラム適用管理の課題
ネットワークに侵入するため脆弱性を利用する脅威は SAMSAM が初めてではありませんが、SAMSAM の出現は企業や組織にとってもう1つ危険が増えることになります。機密情報が暗号化され損失するかもしれず、情報を取り戻すために莫大な金額の支払いを要求される恐れがあります。とはいえ支払い要求に応じないよう強くお勧めします。身代金を支払ったとしても攻撃者がファイルを復号してくれるとは限りません。
SAMSAM が感染経路およびネットワーク探索に巧妙な手口を持つ脅威であるとしても、更新プログラムを適用してサーバとシステムを最新の状態に保持すれば、その攻撃に備えることが可能です。しかし一方で、IT管理者は毎日の業務をサポートし重要なシステムの稼働時間を維持しながら、ネットワーク周辺の安全を確保しなければならないという課題に直面しています。ソフトウェアの製造元からゼロデイ脆弱性対策のための修正プログラムが公開されると、IT管理者は自社のシステムに適用する前にまず修正プログラムの検証をしなければなりません。そして IT管理者は、修正プログラム適用にあたり、業務運用に必須であるサーバとシステムを再起動させる必要があります。しかしそれによって発生する業務の中断は企業全体の生産性に影響するため、修正プログラムの適用を後回しにせざるを得ないのです。
トレンドマイクロの調査によると、修正プログラムの検証から適用までに必要とされる期間は平均30日で、企業のシステムはこの間脆弱性を抱えたままとなります。この期間を狙って脆弱性を利用した攻撃を受け、企業の情報セキュリティが危険にさらされるかもしれません。
■ 仮想パッチが必要な理由
企業は修正プログラム適用管理の解決策として、仮想パッチを導入することができます。IT管理者は、この対策技術によって、社内のシステムを中断させることも追加費用をかけることもなく、ソフトウェア製造元からの修正プログラムが適用されるまでの間、脆弱性を持つサーバおよびシステムを保護することができます。緊急にリリースされる脆弱性の修正プログラムの適用状況を効果的に管理し、修正プログラムが適用されるまでの期間に攻撃されるかもしれない危険に備えることができます。加えて、旧システムやソフトウェアも脆弱性を利用される危険性から保護することができます。
仮想パッチは、SAMSAM のような脆弱性を狙う脅威から、企業の機密情報を保護することができます。企業が関連する修正プログラムを直ちに適用することができない場合でも、攻撃範囲を拡大し続ける悪名高い脅威の1つとなっている暗号化型ランサムウェアから、脆弱性を持つサーバを保護します。
■ トレンドマイクロの対策
「Trend Micro Deep Security™」は、脆弱性を狙った攻撃を検知、ブロックする事ができる仮想パッチを搭載した総合対策です。仮想パッチは、今日広く見られる脆弱性を利用する脅威に対処するため、他のウイルス対策やファイアウォールと並んで必要となる基本的な対策です。
サーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro Virtual Patch for Endpoint(旧Trend Micro 脆弱性対策オプション)」をご利用のお客様は、以下の DPIルールによって JBoss脆弱性を利用する脅威から保護されています。
- DPIルール:1007532 – JBoss Application Server Unauthenticated Remote Command Execution Vulnerability
- DPIルール:1004189 – RedHat JBoss Enterprise Application Platform JMX Console Authentication Bypass
また、トレンドマイクロの個人向けクライアント用総合セキュリティ対策製品「ウイルスバスター クラウド 10」および法人向けクライアント用総合セキュリティ対策製品「ウイルスバスター コーポレートエディション」、「ウイルスバスター ビジネスセキュリティサービス」では、不正なファイルを検出することによって個人ユーザおよび企業をこの脅威から保護します。
ネットワークセキュリティ対策製品「TippingPoint」では以下のフィルターにより今回の脆弱性を利用した攻撃をブロックします。
MainlineDV
- 9825: HTTP: JBoss jmx-console Authentication Bypass
- 10502: HTTP: JBoss jmx-console Deployer Command Execution
- 11822: HTTP: JBoss jmx-console Deployer Remote Code Execution Vulnerability
- 13438: HTTP: HP Application Lifecycle Management JBoss Invoker Servlets Marshalled Object (ZDI-13-229)
- 13515: HTTP: Attempt to invoke JMXInvokerServlet or EJBInvokerServlet (ZDI-13-229)
ThreatDV
- 23872: HTTP: Ransom:MSIL/Samas.A Download Attempt
- 23873: SMB: Ransom:MSIL/Samas.A File Transfer Attempt
- 24140: TCP: Ransom:MSIL/Samas.B Download Attempt
弊社では、企業ユーザにJBossサーバを最新のバージョンに更新することをお勧めします。利用される脆弱性のいくつかは古いもので、例えばCVE-2010-0738およびCVE-2007-1036は、過去にすでに修正プログラムが公開されています。加えて、内部サーバへのアクセスをファイアウォールで制限することをお勧めします。
※協力執筆者:Mark Manahan、Jamz Yaneza および Ruby Santos
参考記事:
翻訳:室賀 美和(Core Technology Marketing, TrendLabs)