メモリ上で“1/100秒の空白”を狙う新種のマルウェア、Verizon Businessが説明

調査対応チーム ディレクターのブライアン・サーティン氏

「情報漏えいにおいて、パートナー経由のリスクが高まっている」。そう指摘するのは、Verizon Business 調査対応チーム ディレクターのブライアン・サーティン氏だ。同社では定期的にデータ漏えい調査報告書を作成しているが、サーティン氏は実際に現場で調査を行うフォレンジックのエキスパートである。

　今回は同氏の立場から、ここ最近のセキュリティ侵害状況について話を聞いた。

　同社は4月に、2008年の1年間に実際に起きた90件のデータ漏えい事件と、2億8500万件に上る被害データを分析した同報告書の2009年版を公開した。刑事事件となったものから、侵害が実証された事例だけを扱っているのが特徴で、それゆえ真実に近いと同氏は話す。

　これによると、脅威の経路としてもっとも多かったのが「外部からの侵害」、次いで「内部からの漏えい」で、「パートナー経由での漏えい」は最下位だった。しかし、この6年間ほどの事例を見ると、漏えい件数と情報数から算出されるリスク指標のもっとも高いのが、パートナー経由の漏えいなのだという。「今回最下位だったのは、この危険性が減少したことを示唆するものではなく、一時的なものだ。パートナー同士で情報がやり取りされる昨今の状況を考えると、パートナー経由での漏えいが最大の懸念であることは間違いない」（同氏）。

　パートナー経由といっても以前なら、第三者のシステムが侵害され、被害者のシステムを攻撃する土台として利用されるケースがほとんどとみられていたが、最新の調査では、直接パートナーの社員が漏えいに関与するケースも増えているという。「特に多いのが、POSシステムをサポートするベンダーによる漏えいだ。飲食料品業界ではこのケースが漏えいの大半を占める」（同氏）。

　またパートナー経由の漏えいの傾向として、漏えいの端緒となった特定の人物をトレースできない場合があるという。「これはサポートセンターに100人の人間がいるとしたら、その100人が同じID・パスワードを使ってユーザーサポートを行っているようなケースがあるためだ。このような状況では、そのID・パスワードを悪用するのも簡単だろう。必ずしもパートナーの社員が犯人と言い切れない場合もあるが、パートナーのセキュリティや接続の仕方が悪く、セキュリティプラクティスがしっかりと確保されていないことからの漏えいが多いのだ」（同氏）。

　手口としてはSQLインジェクションが主流。2008年は攻撃件数こそ2位だったが、被害の及んだ件数としては1位（総計2億8500万件のレコードのうち79％）だった。その手口はますます進化し、攻撃者にとって、システムの深部へに潜り込みマルウェアを仕掛けるのに、都合の良い攻撃手段となっている。

　そこで植え付けられるマルウェアをみても、以前より防御の薄い標的を集中的に狙う傾向にあり、手口の巧妙化が見て取れる。その一例が暗号化技術を逆手に取ったマルウェア。「データが暗号化されてサーバーに保管されている場合でも、これまでのセキュリティの歴史において、ネットワーク上で暗号化する義務はなかった。今回の調査では、サーバーに届く直前で平文の情報をキャプチャするマルウェアが多く見つかった」（同氏）。

RAMスクレーパーが動作している様子。実体のほか、情報を抽出するdumpプログラムなども動作する

自動作成したファイルに情報をdumpしていく。事が済むと自動で削除する仕組みも備える

　さらに、ここ数カ月では「RAMスクレーパー」という新種も発見された。このマルウェアの恐ろしいところは、データがサーバー上とネットワーク上で暗号化されていたとしても、メモリを介すことで平文を盗み見ることができてしまう点だ。

　同氏によれば、「暗号化されたデータでもサーバーに格納される際、メモリ上で一度平文化される瞬間がある。RAMスクレーパーはその1/100秒ほどの瞬間を狙って、情報をキャプチャしてしまうのだ」という。

　また、RAMスクレーパーは、HDDの未割り当て領域から機密情報を盗み取ることも可能だ。「Windowsでは、メインメモリ領域が不足した場合、未割り当て領域にページファイルを作成し、それをスワップとして利用する。処理が終わるとまた元通り未割り当て領域に戻るのだが、このとき物理データは、その領域に残ったままとなる。RAMスクレーパーはこの情報を抽出することができる」。

　例えば、何ヶ月か前に重要なデータを暗号化したとしよう。しかし、それ以前の平文の情報がもしも未割り当て領域に残されていたとしたら、RAMスクレーパーはまるで時をさかのぼるようにして平文を抽出し、ある意味、暗号化を無力化してしまうのだ。

　こうしたマルウェアが万が一混入されたら、PCIDSSの保護でも守りきれないと同氏は語る。実際に情報漏えいを起こした中には、PCIDSSに準拠していると主張する企業も存在した。しかし、かといってPCIDSSが根本的に無効であるわけではない。同氏は、そもそもPCIDSSに準拠したといっても実際は要件を満たしていないケースが多いのだと指摘する。

　「当社が行ったPCIDSSレビューの結果、12個ある要件のうち、ほとんどが100％準拠しているとはいえない状況。特に要件3（保存されたデータを保護する）と要件10（ネットワークリソースとカードデータへのすべてのアクセスを追跡・監視する）では、10％ほどしか満たしていないケースもあった」。

　「問題はマルウェアが混入されてしまう点だ。もしもPCIDSSに100％準拠していれば、そもそもマルウェアが混入されるケースは考えられない。実際に100％準拠しているところから漏えいした例は、わたしの知る限りは存在しない」。

　では、なぜ準拠をうたう企業にそれほどの不備が存在するのか。同氏によれば「脅威の進歩は速い。一度準拠をしてもわずかな時間で陳腐化してしまうケースもあるだろう。審査機関にも問題があるかもしれない。しかし一番の理由は、漏えいしたデータの67％がどこにあるか知らなかったという事実にある。つまり、完全に守るべき情報を把握せずに、PCIDSSの構築を行い、見過ごされていたそれらのデータが漏えいしてしまうケースが多いのだ」という。

　同報告書および同氏の話は、何かしらのセキュリティ基準をクリアする際に、まずデータアセスメントが重要だということを示している。「それだけ実際に準拠する際の節約にもなるのだから」（同氏）。