エクスプロイト キットとは
エクスプロイト キットは、Web閲覧中の被害者のマシン上の脆弱性を自動的かつ密かに悪用する方法として開発されました。高度に自動化されていることから、エクスプロイト キットは犯罪グループによる大量のマルウェアやリモート アクセス ツール(RAT)の拡散に最もよく使われる方法の1つとなっており、攻撃者の参入障壁を下げています。エクスプロイト キットは悪意のある攻撃者が利益を生み出すうえでも有効です。エクスプロイト キットの作成者は、サービスとしてのエクスプロイト キットという形で犯罪者向けの闇市場でこのようなキャンペーンを貸し出しており、人気のあるキットの料金は1か月につき数千ドルにもなる場合があります。
攻撃者は、デバイスの制御を獲得することを最終目標として、自動化および簡素化されたエクスプロイト キットを利用します。感染が成功するには、エクスプロイト キット内で一連のイベントが実行される必要があります。ランディング ページからエクスプロイトの実行、そしてペイロードの配信まで、攻撃者がホストの制御を獲得するには、各ステージを無事に完了しなければなりません。
ランディング ページ
エクスプロイト キットは侵害されたWebサイトから開始します。侵害されたページは、Webトラフィックを密かに別のランディング ページに迂回させます。ランディング ページには、被害者のデバイス内の脆弱なブラウザベースのアプリケーションを検出するコードが含まれています。デバイスにすべてのパッチが適用され、最新の状態であれば、エクスプロイト キットのトラフィックは停止します。脆弱性が存在する場合には、侵害されたWebサイトによりネットワークトラフィックが密かにエクスプロイトに迂回されます。
エクスプロイト
エクスプロイトは脆弱なアプリケーションを使用して、ホスト上で密かにマルウェアを実行します。標的となるアプリケーションには、エクスプロイトがファイルであるAdobe® Flash® Player、Java® Runtime Environment、Microsoft® Silverlight®、およびエクスプロイトがWebトラフィック内でコードとして送信されるWebブラウザなどがあります。
ペイロード
エクスプロイトが成功すると、エクスプロイト キットはペイロードを送信してホストを感染させます。このペイロードは、別のマルウェアを取得するファイル ダウンローダーでや、意図したマルウェア自体である可能性があります。より高度なエクスプロイト キットでは、ペイロードはネットワーク上では暗号化されたバイナリとして送信され、被害者のホストに到着すると復号されて実行されます。最も一般的なペイロードはランサムウェアですが、そのほかにボットネット マルウェア、情報盗み出しツール、バンキング用トロイの木馬など多くの種類が存在します。
この最近の事例が、AfraidgateキャンペーンでのNeutrinoエクスプロイト キットを使用したLockyランサムウェアの配信です。侵害されたサイトのページには、訪問者をAfraidgateドメインにリダイレクトするスクリプトが挿入されています。侵害されたURLに接続すると、サーバからさらにiframeを伴うJavaScriptが返され、Neutrinoエクスプロイト キットのランディング ページに誘導されます。JavaScriptによる脆弱性のエクスプロイトが成功すると、Lockyランサムウェアのペイロードが配信され、ホスト システムはユーザーを締め出し、攻撃者に制御を渡します。
エクスプロイト キットがさまざまなスキルセットおよび目的を持つ攻撃者に対する頼りになるツールとなりつつあるため、システムがこのような攻撃を阻止できるようになることが不可欠です。これは、攻撃対象領域を縮小し、既知のマルウェアやエクスプロイトをブロックし、新たな脅威をすばやく特定して阻止することにより実現できます。パロアルトネットワークスの次世代プラットフォームでは、既知の脅威を未然にブロックしながら、静的解析や動的解析手法を使用して未知の脅威を特定します。未知のファイル、電子メール、およびリンクはスケーラブルなサンドボックス環境で分析され、有害か無害かが判断されます。ファイルが有害であると判断されると、自動的に防御策が作成されて、完全な防御のためにプラットフォーム内のすべてのテクノロジに配布され、エクスプロイト キットがそのライフサイクル全体を通してそれ以上先に進むことを防ぎます。
エクスプロイト キットおよびエクスプロイト キット キャンペーンからの組織の保護の詳細については、ホワイト ペーパー「Exploit Kits: Getting In by Any Means Necessary」(エクスプロイト キット: どんな手段を使ってでも入り込む)をお読みください。