エクスプロイトキット(別名:エクスプロイトパック)は、サイバー犯罪者が PC やデバイスの脆弱性を利用する際に用いるハッキングツールです。これにより不正プログラムの拡散やその他の不正活動が可能になります。サイバー犯罪者は、主に「Adobe Flash Player」や、「Java」、「Microsoft Silverlight」など、よく使用されるソフトウェアの脆弱性を狙います。

通常、エクスプロイトキットは、マネージメントコンソールを備え、さまざまなアプリケーションの脆弱性が利用可能であり、複数のアドオン機能も提供されています。これらにより、サイバー犯罪者は容易に攻撃を実行できます。
図1:エクスプロイトキットの感染経路

第1段階:拡散経路
攻撃者は、ユーザにリンクをクリックさせ、エクスプロイトキットがホストされたWebサイトへリダイレクトする。この際、スパムメールやソーシャル・エンジニアリング等が感染経路として駆使される。

第2段階:リダイレクト
リダイレクト後、エクスプロイトキットは、ユーザの PC やデバイスにインストールされたソフトウェアの脆弱性を確認する。

第3段階:脆弱性利用
確認された脆弱性が利用され、PCやデバイス上でエクスプロイトコードが実行される。

第4段階:感染
不正プログラムがPCやデバイス上に作成され、実行される。

■エクスプロイトキットとランサムウェアの連携
エクスプロイトキットは、脆弱性を抱えたあらゆる種類のPCやデバイスに脅威をもたらすことで知られています。そして2015年以降、最も活発なエクスプロイトで知られた「Angler Exploit Kit(Anger EK)」が中心となり、多数のランサムウェア拡散に利用され始めました。
図2:特定のエクスプロイトキットによる脆弱性利用(2016年上半期


表1:エクスプロイトキットによって拡散されるランサムウェアファミリ(2016年上半期

■2016年上半期に最も活動した「Angler Exploit Kit」
「Angler EK」は、2015年のエクスプロイトキット関連攻撃全体の約60%を占め、2016年3月も、大手ニュースサイト、芸能ポータルサイト、政治論評サイトなどが、このエクスプロイトキットによる「不正広告」の大規模な攻撃キャンペーンに利用されました。

「Angler EK」は、新たな脆弱性利用を取り込んでアップデートし続け、伊企業「Hacking Team」の情報漏えい事例や、標的型サイバー攻撃キャンペーン「Pawn Storm作戦」にも利用されました。そして2016年6月、サイバー犯罪者50人がこのエクスプロイトキットを利用した不正プログラム拡散で2,500万米ドル(2016年11月18日現在、約27億6千万円)を窃取しようとした容疑で逮捕され、その後、活動休止に至りました。しかしそれまで2015年から2016年上半期を通して「Angler EK」は、最も活発なエクスプロイトキットとして頻ぱんに更新されていました。
図3:エクスプロイトキットをホストするURLへのアクセス数(2016年上半期

■エクスプロイトキットに最もよく利用される脆弱性
エクスプロイトキットは、最もよく使用されているアプリケーションを狙い、修正パッチの適用を多くのユーザが怠っている脆弱性を利用します。トレンドマイクロでは、2010年から2016年上半期にかけてエクスプロイトキットに最もよく利用された上位5つの脆弱性を特定しました。

  • CVE-2013-2551JVNDB-2013-001821
    影響を受けるソフトウェア:Microsoft Internet Explorer 10、Microsoft Internet Explorer 6、Microsoft Internet Explorer 7、Microsoft Internet Explorer 8、Microsoft Internet Explorer 9、Microsoft Windows 8
    詳細: Microsoft Internet Explorer 6 から 10 における任意のコードを実行される脆弱性。Microsoft Internet Explorer 6 から 10 は、解放済みメモリの使用(Use-after-free) により、任意のコードを実行される脆弱性が存在します。
    関連情報(英語):Windows 10 Sharpens Browser Security with Microsoft Edg
  • CVE-2015-0311JVNDB-2015-001221
    影響を受けるソフトウェア:Google Chrome 40.0.2214.93 未満(Windows/Machintosh/Linux)、Adobe Flash Player 11.2.202.440 未満(Linux)、Adobe Flash Player デスクトップランタイム 16.0.0.296 未満(Windows/Macintosh)、Adobe Flash Player 継続サポートリリース 13.0.0.264 未満(Windows/Macintosh)、Adobe Flash Player 16.0.0.296 未満(Internet Explorer 10/11)、Adobe Flash Player 16.0.0.296 未満(Windows/Machintosh/Linux 版の Chrome)、Microsoft Internet Explorer 10(Windows 8/Windows Server 2012/Windows RT)、Microsoft Internet Explorer 11(Windows 8.1/Windows Server 2012 R2/Windows RT 8.1)
    詳細: Adobe Flash Player における任意のコードを実行される脆弱性。Adobe Flash Player には、任意のコードを実行される脆弱性が存在します。
    関連情報:エクスプロイトキット最新動向分析:Webサイト改ざんと不正広告を経由し、Flash脆弱性を攻撃
  • CVE-2015-0359JVNDB-2015-002240
    影響を受けるソフトウェア::Google Chrome、Adobe Flash Player デスクトップランタイム 17.0.0.169 未満(Windows/Macintosh)、Adobe Flash Player 継続サポートリリース 13.0.0.281 未満(Windows/Macintosh)、Adobe Flash Player 11.2.202.457 未満(Linux)、Adobe Flash Player 17.0.0.169 未満 (Windows/Machintosh/Linux 版の Chrome)、Adobe Flash Player 17.0.0.169 未満(Internet Explorer 10/11)、Microsoft Internet Explorer 10(Windows 8/Windows Server 2012/Windows RT)、Microsoft Internet Explorer 11(Windows 8.1/Windows Server 2012 R2/Windows RT 8.1)
    詳細: Adobe Flash Player におけるメモリ二重解放の脆弱性。Adobe Flash Player には、メモリを二重に解放する不備があるため、任意のコードを実行される脆弱性が存在します。
    関連情報:エクスプロイトキット最新動向分析:Webサイト改ざんと不正広告を経由し、Flash脆弱性を攻撃
  • CVE-2014-0515JVNDB-2014-002276
    影響を受けるソフトウェア:Google Chrome(Windows/Linux/Macintosh:Adobe Flash Player 13.0.0.206 未満)、Adobe Flash Player 13.0.0.206 未満の 11.8.x から 13.0.x(Windows および Macintosh)、Adobe Flash Player 13.0.0.206 未満の 11.8.x から 13.0.x(Windows 8.0 版の Internet Explorer 10)、Adobe Flash Player 13.0.0.206 未満の 11.8.x から 13.0.x(Windows 8.1 版の Internet Explorer 11)、Adobe Flash Player 13.0.0.206 未満の 11.8.x から 13.0.x(Windows 版、Machintosh 版および Linux 版の Chrome)、Adobe Flash Player 11.7.700.279 未満(Windows および Macintosh)、Adobe Flash Player 11.2.202.356 未満(Linux)、Microsoft Internet Explorer 10(Windows 8/Windows Server 2012/Windows RT:Adobe Flash Player 13.0.0.206 未満)、Microsoft Internet Explorer 11(Windows 8.1/Windows Server 2012 R2/Windows RT 8.1:Adobe Flash Player 13.0.0.206 未満)
    詳細: Adobe Flash Player におけるバッファオーバーフローの脆弱性。Adobe Flash Player には、バッファオーバーフローの脆弱性が存在します。第三者により、任意のコードを実行される可能性があります。
    関連情報:Adobe Flash Playerに存在するゼロデイ脆弱性「CVE-2014-0515」の解析
  • CVE-2014-0569JVNDB-2014-004853
    影響を受けるソフトウェア:Google Chrome(Windows/Linux/Macintosh:Adobe Flash Player 13.0.0.206 未満)、Adobe Flash Player 13.0.0.206 未満の 11.8.x から 13.0.x(Windows および Macintosh)、Adobe Flash Player 13.0.0.206 未満の 11.8.x から 13.0.x(Windows 8.0 版の Internet Explorer 10)、Adobe Flash Player 13.0.0.206 未満の 11.8.x から 13.0.x(Windows 8.1 版の Internet Explorer 11)、Adobe Flash Player 13.0.0.206 未満の 11.8.x から 13.0.x(Windows 版、Machintosh 版および Linux 版の Chrome)、Adobe Flash Player 11.7.700.279 未満(Windows および Macintosh)、Adobe Flash Player 11.2.202.356 未満(Linux)、Microsoft Internet Explorer 10(Windows 8/Windows Server 2012/Windows RT:Adobe Flash Player 13.0.0.206 未満)、Microsoft Internet Explorer 11(Windows 8.1/Windows Server 2012 R2/Windows RT 8.1:Adobe Flash Player 13.0.0.206 未満)
    詳細: Adobe Flash Player および Adobe AIR における整数オーバーフローの脆弱性。Adobe Flash Player および Adobe AIR には、整数オーバーフローの脆弱性が存在します。
    関連情報(英語):Latest Microsoft Patch Prevents Browser History Snooping

2010年以降、Adobe Flash が最も脆弱性利用されやすいソフトウェアとなっています。これは、多くの開発者が Adobe Flash を用いて PC やモバイル端末向けコンテンツ作成していることをサイバー犯罪者が熟知しているからです。実際、Adobe Flash は、ネットワーク接続された10億以上のPCやデバイスにインストールされています。

事例
2006年 ロシアのアンダーグラウンドで「WebAttacker」が20米ドル、「Mpack」が1,000米ドルで販売
2007年 「NeoSploit」「Phoenix」「Tornado」「Armitage」が登場
2008年 「Fiesta」「AdPack」「FirePack」が登場
2010年3月 不正広告から誘導される「Liberty」が登場
2010年8月 Blackhole」のオリジナルが登場
2012年9月 「Blackhole 2.0」の感染確認
2013年1月 「Cool」「Blackhole」がランサムウェア「REVETON」やその他のランサムウェアを拡散
2013年2月 「Whitehole」が200米ドルから1,800米ドルで販売
2013年3月 「Neutrino」がアンダーグラウンドで1日40米ドル、月450米ドルで貸し出し
2013年4月 「Blackhole」がWordPressを狙ったブルートフォース攻撃に利用される
2013年10月 「Blackhole」の作成者Paunch容疑者がロシアで逮捕される
2013年10月 「Bleeding Life」がオンライン銀行詐欺ツールによる攻撃キャンペーン「Apollo」に利用される
2014年1月 「Yahoo!」の不正広告から「Magnitude」がホストされたサイトへ誘導される
2014年6月 改ざんされた日本語サイトから「Angler」およびオンライン銀行詐欺ツール「VAWTRAK」へ誘導
2014年9月 「Nuclear」がMicrosoft Silverlightの脆弱性を利用
2014年10月 YouTube上の偽広告から「Sundown」へ誘導される
2015年4月 「Fiesta」により暗号化型ランサムウェアが拡散される
2015年7月 伊企「Hacking Team」から漏えいした脆弱性情報が「Angler」や「Nuclear」に利用される
2015年7月 「Angler」がPOSシステムの感染に利用される
2015年9月 「Angler」による大規模な不正広告キャンペーンにより3000の大手日本サイトが影響を受ける
2015年9月 「Angler」および「Nuclear」によりDH鍵交換が悪用される
2016年3月 「Anger」により米国の大手ニュースサイト等が不正広告に汚染される
2016年4月 「Blackhole」作成者Paunch容疑者にロシアで7年の刑期が下る
2016年6月 関連事例の逮捕に伴い、「Angler」が活動停止となる
表2:2006年から2016年上半期までの主要なエクスプロイトキット関連事例

■エクスプロイトキットの変遷
エクスプロイトキットは、例えるならばスイス・アーミーナイフのようなもので、多彩な機能を備えており、これまでの実績から脅威動向において確固たる地位を築いています。「偽セキュリティソフト」から「不正広告」、さらに「ランサムウェア」に至るまで、さまざまの脅威でその有効性は証明され、さらなる不正活動での活用を目指して今後も更新をし続けていくでしょう。
図4:既存と新規のエクスプロイトキットの比較(2006年から2016年上半期)

表3:2006年から2016年上半期にかけて活動中および新規のエクスプロイトキット

■トレンドマイクロの対策
エンドポイントの脆弱性対策製品「Trend Micro Virtual Patch for Endpoint(旧 Trend Micro 脆弱性対策オプション)」は、修正パッチ適用前、サポート期間終了、または修正パッチが適用できないソフトウェアを保護します。侵入防止システム(IPS)は、パフォーマンスや生産性に影響を与えることなくランサムウェア拡散など脆弱性を利用した攻撃から守ります。そして、企業は最適なタイミングで、修正パッチを当てることができます。エンドポイントの脆弱性対策製品「Trend Micro Virtual Patch for Endpoint(旧 Trend Micro 脆弱性対策オプション)」は、エンドポイント製品「ウイルスバスター コーポレートエディション」の一部です。

サーバ&クラウドセキュリティ対策製品「Trend Micro Deep Security」は、セキュアなハイブリッドクラウド環境を実現し、市場をリードするセキュリティ機能で仮想化・クラウド・物理環境にまたがってセキュリティ課題をトータルに解決します。

ネットワークセキュリティ対策製品「TippingPoint」は、リアルタイムネットワーク保護、可視化、および集中管理・分析機能を備えた、ネットワークセキュリティソリューションです。簡単に使用でき、設定やインストールも容易です。

これらのソリューションは相互に機能して、多層的なセキュリティ対策を提供して、端末や場所を問わず脆弱性を利用した攻撃からユーザを保護します。

以下は、脆弱性の利用した攻撃を被害を軽減するための注意事項です。