IR 情報

お問い合わせ

BLOG

脆弱性管理 BLOG

2022 年 02 月 17 日

ソフトウェアの脆弱性について知ろう(後編)

ソフトウェアの脆弱性について知ろう 前編では、脆弱性とはなにか、脆弱性は発見後どのように取り扱われるのか、実在する脆弱性の例について解説しました。後編では、脆弱性を利用した攻撃のメカニズムや脆弱性の修正の配信、脆弱性を利用した攻撃・事件について解説します。

4. 脆弱性を利用した攻撃のメカニズム

SegmentSmack(CVE-2018-5390)を利用した DoS 攻撃の概要を説明します。

4.1. SegmentSmack とは

バージョン 4.9 以降の Linux カーネルに存在する、TCP パケットの処理にまつわる脆弱性です ※21。TCP を使って通信をする際に、パケットを 1 つ 1 つ受信するたびに tcp_collapse_ofo_queue() と tcp_prune_ofo_queue() を呼び出す細工が行えてしまいます。

4.2. DoS 攻撃とは

対象のサーバに過大な負荷を与える攻撃です ※22。例えば、大量のデータをサーバに送ることで、一定時間内に受信するデータ量が増大して負荷に耐えられなくなるため、ダウンしてしまいます。

4.3. SegmentSmack による DoS 攻撃

攻撃者は、送信パケットに細工を加えることで、パケットごとに tcp_collapse_ofo_queue() と tcp_prune_ofo_queue() を呼び出すようにします。細工されたパケットを攻撃対象のサーバに大量に送ることで、受信したサーバ側では tcp_collapse_ofo_queue() と tcp_prune_ofo_queue() が何度も呼び出され、CPU 負荷率が上がった結果ダウンしてしまいます ※23

5. 脆弱性の修正はどのように配信されるのか

 ソフトウェア開発元の企業やコミュニティは、脆弱性が発見されたらパッチと呼ばれる修正プログラムを作成して提供します。脆弱性の対処方法や修正プログラムは、企業もしくはコミュニティの公式サイトで配信されます。ほとんどはセキュリティ情報ページで公開されています。
例えば、

などが挙げられます。

6. 実際に起こった脆弱性を利用した攻撃・事件

2020 年 4 月 7 日、カナダにある Black Berry 社が発表した調査報告によると、中国政府から指示を受ける 5 つのサイバー攻撃グループが 10 年以上の間検知されることなく、Linux サーバ、Windows システム、Android デバイスに攻撃を行っていたことが分かりました。これらの攻撃は「常に電源が入っており、情報の安全性が低い」Linux サーバを足がかりにしていました。アメリカ政府や技術大手企業、電子商取引企業の多くは Linux を利用しているため、影響を受けた組織の数はとても多いと考えられています ※24 ※25
この攻撃では、「WINNTILNX」※26 と呼ばれる Linux マルウェアのツールセットが使われていました。「WINNTILNX」は以下の働きをします。

  • OS の脆弱性をついて rootkit※27 でバックドアを仕掛ける
  • Loadable Kernel Module rootkit※28 を用いて特権モードになり、カーネルそのものに変更を加えて、システムの挙動を変える
  • XOR DDoS というマルウェアでボットネット ※29 を作り、Linux に攻撃を行う

このような組織的で広範囲にわたる攻撃が長年続けられたことで、アメリカの多くの知的財産が盗まれました。


脆弱性を可視化し対応を自動化する脆弱性管理ソリューション MIRACLE Vul Hammer とシステム統合監視ツール MIRACLE ZBX を連携して、このような脆弱性を利用した攻撃を防ぐことができます。

MIRACLE Vul Hammer 評価版

MIRACLE Vul Hammer の評価版をトライアルでご利用いただけます。導入検証や技術評価に是非ご活用ください。

参考文献
※21
"CVE-2018-5390" CVE
※22
"DoS・DDoS 攻撃とは?目的や種類、事例、対策方法を解説 " CyberSecurity.com
※23
"SegmentSmack and FragmentSmack: IP fragments and TCP segments with random offsets may cause a remote denial of service [CVE-2018-5390, CVE-2018-5391]" RedHat Customer Portal
※24
" 中国政府の 5 組織、Linux を 10 年間サイバー攻撃 技術窃盗=ブラックベリー報告 " 大紀元 EPOCH TIMES
※25
"Decade of the RATs: Novel APT Attacks Targeting Linux, Windows and Android" BlackBerry ThreatVector Blog
※26
"Decade of the RATs Custom Chinese Linux Rootkits for Everyone"
※27
" 侵入者が仕掛ける rootkit の特徴を知る " @IT
※28
" 侵入者の不利な情報を隠す LKM rootkit の仕組み " @IT
※29
" ボットネット研究資料 " JPCERT/CC

本記事に関連するリンク

デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime
組込み Linux にプラスして 長期間の製品ライフサイクルをサポート EM+PLS