Exploit Kit(エクスプロイトキット)とは
Exploit
Kit(エクスプロイトキット)とは、パソコンを始めとする端末のセキュリティ上の脆弱性を検証するプログラムであるExploit Code(エクスプロイトコード)が複数まとめられたパッケージのことでです。
攻撃者はExploit
Kitを悪用し、攻撃ツールに使用します。Exploit
Kitを使用することで、既に脆弱性が発見されているにも関わらず、未だ修正パッチを適用していない端末を洗い出すことができるためです。
Exploit
Kitを使って攻撃をしかけるために、攻撃者は不特定多数のユーザーが訪れるWebサイトを密かに改ざんします。そして、改ざんしたWebサイトにExploit
Kitを忍び込ませます。何も知らないユーザーがExploit
Kitが仕込まれたWebページを訪問すると、Exploit
Kitが活動を開始する仕組みです。
Exploit
Kitは定期的に更新されており、本ブログではその内容の一部と留意すべき点についてご案内させて頂きます。
Exploit Kitはどのように動作するのか
前述した通り、Exploit
Kitは、人々が良く訪れるWebサイトを悪意のある人間が改ざんすることで仕込まれます。
Webサイトへやってきた何も知らないユーザーが、Exploit
Kitが仕込まれたWebサイトにアクセスすると、Exploit
Kitが即座に活動を開始します。
Exploit
Kitはまず、ユーザーに見えない所で端末のスキャンを実行します。このスキャンは、ユーザーの使用している端末に、特定のソフトウェアの修正パッチが適用されていないかどうかを確認するためのものです。
パッチが適用されておらず脆弱な状態であることが分かると、Exploit Kitはユーザーの権限や、操作を必要とせずに脆弱性を攻撃するマルウェアを端末にインストールさせます。インストールされるマルウェアの種類は時期によって様々です。
ここでは、一例としてスパイウェアがインストール場合の動作をご説明します。
自身の端末にスパイウェアがインストールされたことに気づかないユーザーは、そのまま組織の中で端末を使い続けます。スパイウェアはその間に、組織内のNWから他の端末へも感染していき、最後には重要な情報が保管されているサーバーへ到達することもあります。
そして手に入れた機密情報を、攻撃者が作成した受け取りサーバーへ送り続けてしまうのです。
Exploit Kitの変遷
Exploit
Kitは、2010年から2017年にかけて大流行しました。現在の発見数は全盛期よりも減少していますが、依然として脅威であることは変わりません。現在も既知の脆弱性に対する新しいExploit(脆弱性を攻撃するマルウェア)が更新されているExploit
Kitがいくつもあり、ここ2、3年は主にランサムウェアのローダー(配信ツール)として使用されています。
例を挙げると、「Fallout」Exploit Kitは、ランサムウェア「Maze Locker」の配信に使用されており、2013年に初めて確認された「Magnitude EK」も、主にアジア太平洋地域でランサムウェアの配信に使用されています。
Exploit
Kitは、悪意のある第三者に改ざんを受けた公式のWebサイトだけでなく、攻撃者が運営するWebサイトにも搭載されています。特に、後者へは悪意のある広告(マルバタイジング)を通じてユーザーを誘導します。そのため、ユーザーはただウェブブラウジングをしていただけで簡単にExploit
Kitが潜むWebページに到達してしまうのです。
「Magnitude EK」は、現在最も広く利用されているExploit
Kitの1つで、最近までInternet Explorerのみを対象に利用されていました。しかし、現在はWindows
PC上のChromiumベースのWebブラウザを対象に利用されています。
最近のExploit Kitの傾向
Avastの報告によると、最近「Magnitude
EK」に新たな2つのExploitが追加されました。1つはGoogle
Chromeの脆弱性(CVE-2021-21224)をターゲットにしたもので、もう1つはCVE-2021-31956として追跡されているWindowsカーネルのメモリ破損の脆弱性をターゲットにしたものです。Google
Chromeのバグは、リモートコード実行の脆弱性であり、Windowsのバグは、Chromeのサンドボックスを回避することで、攻撃者がシステム権限を獲得できるようになります。
アプリケーションやシステムの脆弱性に対する認識と対策が重要
これらの脆弱性については、GoogleおよびMicrosoftから既に修正パッチがリリースされています。しかし、Exploit
Kitが未だに利用されている理由は、多くの人々がソフトウェアの更新を後回しにしたり、無視したりしているためです。「Magnitude
EK」は、現在のところ脆弱性を悪用してマルウェアを配信しているとは考えられませんが、この状態が長く続くとは考えられません。
Exploit
Kitに対する最善の防御策は、ソフトウェアのアップデートやパッチを速やかに適用することです。しかし、組織の状況次第では必ずしもそれが可能ではなく、時には見過ごされて脆弱性が残っている端末もあります。Exploit
Kitやその他のWebベースのマルウェアの配布から守るための追加の対策として、Webフィルターがあります。
Webフィルターは、不要な電子メールを組織内に入れることなく排除するスパムメールフィルターに似ています。スパムメールフィルターがマルウェアを含む電子メールの到達を防ぐように、Webフィルターは悪意のある第三者が改変したWebサイトをブロックすることでマルウェアの配信を防いだり、エンドユーザーがフィッシング詐欺サイトに誘導される事を防いだりします。Webフィルターは、インターネットを介した脅威対策の重要な要素なのです。
アイルランドに本社を構えるTitanHQは、Webベースの脅威から企業を守り、オフィスワーカーやリモートワーカーがアクセスできるコンテンツをコントロールするために、WebTitanを開発しました。WebTitanは、DNSベースのウェブフィルタで、ページの読み込み速度に影響を与えず、素早く簡単に導入することができます。WebTitanは、コンテンツフィルタリング、インターネット経由でのマルウェア配信のブロック、フィッシング攻撃をブロックする追加のセキュリティ対策として、12,000社以上の企業やマネージドサービスプロバイダに採用されています。
マルウェア、悪意のあるサイト、フィッシング詐欺サイト、C&Cサーバへのコールバック、ランサムウェア、ボットネット、スパイウェア、ウイルスなどからの保護を強化したい場合は、TitanHQ製品を日本語サポートする弊社までお問い合わせください。
完全無料のトライアルを利用して、お客様の環境でソリューションをお試し頂く事も可能です。
WebTitanの情報はこちらから
WebTitan Cloudオンライン説明会を開催中!お申し込みはこちらから!
WebTitanCloudは14日間、無料でお試しいただけます。
※自動でサブスクリプションに移行することはありません。
WebTtitan Cloudのお試しマニュアルはこちらよりご覧いただけます。
ここまでお読みいただき、ありがとうございました。
参考資料 「Magnitude Exploit Kit Updated to Target Vulnerabilities in Chromium-Based Web Browsers」TitanHQ