脆弱性スキャンツール「ZGrab」を悪用した攻撃と対策について
1. 概要
弊社セキュリティオペレーションセンター(SOC)であるe-Gateセンターにて直近1年間に検知数がおよそ2倍となっている攻撃があります。脆弱性スキャンツール「ZGrab」に関する攻撃です。ZGrabは脆弱性をスキャンすることで、企業のセキュリティなどを調査し強化することを目的としています。しかし、攻撃者によってスキャンが行われ一度脆弱性が見つかると、その種類に応じた攻撃が行われます。
今回はZGrabを悪用した攻撃の手法と対策について紹介いたします。
2. ZGrabとは
ZGrabは、大規模なインターネットの調査をするために設計されたアプリケーション層ネットワークスキャナー(※1)です。パブリックインターネットを構成するホストとサービスの大規模な実証分析を行うために、オープンソースツールやライブラリを集約したコレクション「ZMap Project」の内の一つです。ZGrabは、インターネット全体のネットワーク調査用に設計された「ZMap」と組み合わせて使用されることが多く、OSINTツール(※2)のSHODANやCensysの情報更新にも利用されています。また、企業においては運用中のサービスに対して脆弱性を点検するツールとして使用されます。
オープンソースツールであるため誰でも利用できるという点が特徴ですが、反面、攻撃者によって悪用される危険性もあります。モジュール式で処理能力が高速の為、攻撃者がツールを利用しやすく、大量の攻撃も可能です。攻撃者は悪用を目的としてスキャンを実行し脆弱性を検出すると、その対象のポートに脆弱性の種類に応じた攻撃を行います。
下記は、ZGrab を悪用し攻撃に至るまでの流れになります。(Webアプリケーションサーバの例となります。)
①攻撃者がZGrab を用いて、被害者のwebアプリケーションサーバにスキャニングを行います。
②攻撃者はスキャニングによってポートの解放状態を確認します。解放ポートからさらに、システムやデバイスなどの脆弱性をスキャンし、
Webアプリケーションに脆弱性があることを見つけ出します。
③攻撃者は脆弱性が判明した複数のWebアプリケーションサーバの中から、特定のサーバに対してWebアプリケーションの脆弱性を突いた
攻撃をはじめます。
【図1】攻撃の仕組み
例としてWebアプリケーションの脆弱性がある場合を挙げましたが、攻撃の段階からはSQLインジェクション、クロスサイトスクリプティング、ディレクトリトラバーサルなどあらゆる攻撃が考えられます。その他の通信ポートでの脆弱性が発見された場合のサーバへの侵入などが考えられます。
※1:ネットワークスキャナーとは、ネットワークを利用する全てのデバイスに対して脆弱性がないかスキャンをするツールのことです。
※2:OSINTとは、Open Source Intelligence(オープンソースインテリジェンス)の略であり、セキュリティ分野では一般的に公開されている情報からアクセス可能なデータを収集し分析することでサイバー攻撃の特定を行うことです。OSINTツールは、データ収集時に用います。
3. e-Gateセンターにおける攻撃検知
e-GateセンターではZGrabを悪用した攻撃を継続的に検知しています。下図は2021年9月以降のZGrab関連イベントの検知数の推移です。徐々にZGrabを悪用した攻撃が増加しており、2022年5月以降は12,000件を超える攻撃が毎月行われています。
【図2】e-GateセンターにおけるZGrab関連イベント数の推移(2021年9月度を100%として算出)
4. 対策
ZGrab関連の攻撃への対策として以下の方法があります。
・ポートの管理
未使用のポートを閉塞しておくことにより、不審な通信をシャットアウトできます。
・User-Agentフィールドに対する検査の実施
Webアプリケーションサーバを運用している場合はHTTP通信ヘッダの”User-Agentフィールド”に対する検査を実施することにより、脆弱性
を取り除きます。
1. 特殊文字などは置換して処理します。
2. 正常な値のみ許容します。
・最新バージョンのアップデート適用
アプリケーションやソフトウェア、OSの開発元より公開されている脆弱性を修正したバージョンへのアップデートが推奨されます。
・セキュリティ機器による攻撃通信の監視
Firewall やIPS(侵入防御システム)等のセキュリティ機器により、不審な通信を検知・遮断することも一定の効果が見込めます。
ZGrab はあくまで脆弱性の有無を確認するツールでしかありません。しかし、e-Gateセンターにおける検知数の増加傾向からしてもこのようなツールを悪用した攻撃が増加する一方です。常日頃、脆弱性を取り除きつつ、攻撃を受けているのか監視により可視化するなどの基本的な対策を取ることが安全なネットワーク環境の維持運用、改善に繋がります。
5. 参考情報
・ZGrab
zmap / zgrab2
https://github.com/zmap/zgrab2 
脆弱性スキャンツールの悪用について
https://www.mcsecurity.co.jp/?page_id=3977
ZGrab.Scanner
https://www.fortiguard.com/encyclopedia/ips/48805
・ZMapプロジェクト
The ZMap Project
https://zmap.io/
・攻撃を目的としたスキャンに備えて 2019年7月
https://www.jpcert.or.jp/newsflash/2019072201.html
6. e-Gateの監視サービスについて
e-Gateのセキュリティ機器運用監視サービスでは、24時間365日、リアルタイムでセキュリティログの有人監視を行っております。サイバー攻撃への対策としてセキュリティ機器を導入する場合、それらの機器の運用監視を行い、通信が攻撃かどうかの分析、判断をして、セキュリティインシデント発生時に適切に対処できるようにすることが重要です。e-Gateのセキュリティ監視サービスをご活用いただきますと、迅速なセキュリティインシデント対応が可能となります。
また、e-Gateの脆弱性診断サービスでは、お客様のシステムにて潜在する脆弱性を診断し、検出されたリスクへの対策をご提案させていただいております。
監視サービスや脆弱性診断サービスをご活用いただきますと、セキュリティインシデントの発生を予防、また発生時にも迅速な対処が可能なため、対策コストや被害を抑えることができます。
■総合セキュリティサービス 「e-Gate」
SSK(サービス&セキュリティ株式会社)が40年以上に渡って築き上げてきた「IT運用のノウハウ」と最新のメソッドで構築した「次世代SOC“e-Gateセンター”」。この2つを融合させることによりお客様の情報セキュリティ全体をトータルにサポートするのがSSKの“e-Gate”サービスです。e-Gateセンターを核として人材・運用監視・対策支援という3つのサービスを軸に全方位のセキュリティサービスを展開しています。
【参考URL】
https://www.ssk-kan.co.jp/wp/e-gate/
※本資料には弊社が管理しない第三者サイトへのリンクが含まれています。各サイトの掲げる使用条件に従ってご利用ください。
リンク先のコンテンツは予告なく、変更、削除される場合があります。
※掲載した会社名、システム名、製品名は一般に各社の登録商標 または商標です。
≪お問合せ先≫
サービス&セキュリティ株式会社
〒150-0011
東京都渋谷区東3丁目14番15号 MOビル2F
TEL 03-3499-2077
FAX 03-5464-9977
sales@ssk-kan.co.jp