受動的攻撃について

1. 受動的攻撃について Eiji James Yoshida [ptrs-ejy@bp.iij4u.or.jp] penetration technique research site Written: June 29, 2003

2. 受動的攻撃について 本セッションの内容 • 受動的攻撃とは何か • 受動的攻撃が齎す脅威 • 受動的攻撃の事例 • 受動的攻撃が齎す更なる脅威 • 受動的攻撃を防ぐには (c) 2003 Eiji James Yoshida.

3. 受動的攻撃とは何か

4. 受動的攻撃とは何か • 受動的攻撃とは、ユーザからの要求に対して悪意のある情報を送り込む攻撃である。 • 能動的攻撃（従来の攻撃）攻撃側が起点となる攻撃 • 受動的攻撃攻撃対象が起点となる攻撃 (c) 2003 Eiji James Yoshida.

5. 能動的攻撃（従来の攻撃） 被害発生！ ①悪意のある情報を送信 ←起点 攻撃側 攻撃対象 (c) 2003 Eiji James Yoshida.

6. 受動的攻撃 被害発生！ ①何らかの要求を送信 ②悪意のある情報を返信 起点→ 攻撃側 攻撃対象 (c) 2003 Eiji James Yoshida.

7. 能動的攻撃と受動的攻撃 ①悪意のある情報を送信 攻撃側 能動的攻撃 攻撃対象 ①何らかの要求を送信 ②悪意のある情報を返信 攻撃側 受動的攻撃 攻撃対象 (c) 2003 Eiji James Yoshida.

8. 受動的攻撃が齎す脅威

9. 受動的攻撃が齎す脅威 • Webページを表示しただけで被害発生 • HTMLメールを表示しただけで被害発生 ブラウザやメーラの脆弱性を利用 「MS01-020 不適切なMIMEヘッダーが原因で Internet Explorerが電子メールの添付ファイル を実行する」 (c) 2003 Eiji James Yoshida.

10. 受動的攻撃の事例

11. 受動的攻撃の事例 • プライスロト事件（2001年8月）利用する脆弱性：MS00-075被害内容：クライアントを操作不能にする。感染経路：Webページ • Nimdaワーム（2001年9月）利用する脆弱性：MS00-078,MS01-020,MS01-026被害内容：サーバやクライアントに感染し蔓延する。感染経路：Webﾍﾟｰｼﾞ、HTMLﾒｰﾙ、ﾌｧｲﾙ共有など (c) 2003 Eiji James Yoshida.

12. 受動的攻撃の事例 • Klezウィルス（2001年10月）利用する脆弱性：MS01-020被害内容：ファイルの破壊や情報漏洩を行う。感染経路：HTMLメール • Backdoor.Netdex（2002年10月）利用する脆弱性：MS00-075被害内容：バックドアを設置する。感染経路：Webページ (c) 2003 Eiji James Yoshida.

13. 受動的攻撃の事例 • Lirvaワーム（2003年1月）利用する脆弱性：MS01-020被害内容：情報漏洩やバックドアを設置する。感染経路：HTMLメール、ファイル共有 (c) 2003 Eiji James Yoshida.

14. 受動的攻撃の事例 • 事例からMS00-075やMS01-020、特にMS01-020が受動的攻撃に利用されていることが多い。 MS01-020が利用されやすい理由 ①攻撃対象を起点とした攻撃に利用可能 ②任意のファイルを送信して実行させることが可能 ③脆弱性をメール経由で利用可能 (c) 2003 Eiji James Yoshida.

15. 受動的攻撃が齎す更なる脅威

16. 受動的攻撃が齎す更なる脅威 • 受動的攻撃は多くのワームやウィルスの増殖活動に利用されている。受動的攻撃のもたらす脅威はワームやウィルスの蔓延 受動的攻撃が齎す脅威は これだけではない！！！ (c) 2003 Eiji James Yoshida.

17. 受動的攻撃が齎す更なる脅威 • 受動的攻撃は攻撃対象が起点となる攻撃であることから、ファイアウォール等に登載されているパケットフィルタリングを回避できる可能性がある。ファイアウォールで保護された環境に侵入される危険性がある！！！ (c) 2003 Eiji James Yoshida.

18. 受動的攻撃が齎す更なる脅威 インター ネット 社内 ネット ファイアウォールが 情報を遮断！！！ 情報を送信 社内サーバ 悪意のある Webサーバ ファイアウォール 社内ユーザ (c) 2003 Eiji James Yoshida.

19. 受動的攻撃が齎す更なる脅威 インター ネット 社内 ネット ファイアウォールが 情報を遮断！！！ ページ返信 社内サーバ ページ送信要求 Webサーバ ファイアウォール Webがみれないぞ！ 社内ユーザ (c) 2003 Eiji James Yoshida.

20. 受動的攻撃が齎す更なる脅威 インター ネット 社内 ネット ページ返信 社内サーバ ページ送信要求 Webサーバ ファイアウォール Webが表示された 社内ユーザ (c) 2003 Eiji James Yoshida.

21. 受動的攻撃が齎す更なる脅威 インター ネット 社内 ネット 悪意のあるページ返信（バックドア付き） 社内サーバ ページ送信要求 悪意のある Webサーバ （侵入者） ファイアウォール バックドア設置 社内ユーザ (c) 2003 Eiji James Yoshida.

22. 受動的攻撃が齎す更なる脅威 インター ネット 社内 ネット 情報漏洩・改竄等 社内サーバを攻撃するコマンドを返信 社内サーバ コマンド要求 悪意のある Webサーバ （侵入者） ファイアウォール 社内サーバ攻撃！ バックドア起動 社内ユーザ (c) 2003 Eiji James Yoshida.

23. 受動的攻撃が齎す更なる脅威 • 受動的攻撃と侵入技術を組み合わされると、セキュリティ製品（ファイアウォール等）を回避される可能性がある。 • 社内にある一般ユーザのパソコンを踏み台にして、社内の重要なサーバに侵入される可能性がある。 (c) 2003 Eiji James Yoshida.

24. 受動的攻撃を防ぐには

25. 受動的攻撃を防ぐには • 脆弱性の多いInternet Explorerを使わずに別のブラウザを使う。 • Administratorなどの管理者ユーザでWebページを閲覧しない。 • ブラウザのセキュリティ設定を使い各種機能を厳しく制限する。 • 侵入検知システムを導入する。 • ウィルス検知ソフトをインストールする。 • プロキシ経由でしか外部との通信を許可しない。 • 修正パッチを適用する。 そして最も重要なことは… (c) 2003 Eiji James Yoshida.

26. 受動的攻撃を防ぐには • 受動的攻撃の攻撃対象はWebサーバなどの外部に公開されているサーバではなく、社内にある一般ユーザが使うクライアントである。サーバ管理者やネットワーク管理者だけではなく、一般ユーザも受動的攻撃に注意する必要がある。 (c) 2003 Eiji James Yoshida.

27. 参考資料 • 受動的攻撃についてhttp://www.geocities.co.jp/SiliconValley/1667/passiveattack.pdf • 受動的攻撃検証サイトhttp://zaddik.hp.infoseek.co.jp/index.html • 日経ネットワークセキュリティ2003ISBN4-8222-0941-5 • 受動的攻撃に対する防御方法http://www.port139.co.jp/ntsec_passiveattack.htm (c) 2003 Eiji James Yoshida.