The man-on-the-side attack

聞きなれない名前の攻撃が確認されています。
マンオンザサイド攻撃です。

自動更新機能を持ったソフトウェアというのはよく見かけます。
たとえばこんな風に動きます。

• 利用者のPCにはなんらかのソフトウェアがインストールされている
• そのソフトウェアには自動更新機能が搭載されている
• 自動更新機能は定期的に特定のURLにアクセスする
  例えば普段はそのURLではなにも公開されていません。
  新しいバージョンがリリースされるとそのURLで参照できる状態で公開されます。
• 新しいものがあると自動インストールされる
  新しいバージョンがあるとソフトウェアは新しいバージョンのインストーラーの実行ファイルをダウンロードします。
  そして手元のPCで実行します。

何も特別な感じはしません。
一方でマンオンザサイド攻撃ではこんな動きになります。

• 被害者のPCにはなんらかのソフトウェアがインストールされている
• そのソフトウェアには自動更新機能が搭載されている
• 自動更新機能は定期的に特定のURLにアクセスする
  例えば普段はそのURLではなにも公開されていません。
  新しいバージョンがリリースされるとそのURLで参照できる状態で公開されます。
  そのURLはhttpです。
• 新しいものがあると自動インストールされる
  新しいバージョンがあるとソフトウェアは新しいバージョンのインストーラーの実行ファイルをダウンロードします。
  攻撃者は正規のウェブサーバが応答を返すよりも先に別のバイナリを送信する動きをします。
  別のバイナリはマルウェア付きの実行ファイルです。
  そしてソフトウェアは手元のPCでマルウェア付きのインストーラーを実行します。

少し異なるだけですが、非常に怖いです。
この方法には競争的要素が含まれるため、毎回確実に感染できるとは限りません。
しかし自動更新機能はそのソフトウェアがインストールされているPCでは定期的に動作しますので、チャンスはいくらでもあります。
また感染の活動の中に一切の人の関与を必要としませんので、注意をして感染を防ぐようなことはできません。

こんなことがどうやって成り立つのでしょうか。
全貌はまだ明らかになっていません。
しかし状況から考えると、攻撃者は何らかの方法で、被害者の通信を丸ごと傍受して内容を見ることができていることを示しています。
それだけでなくDNSのリクエストを監視し、どこにも存在しないドメインに対する応答を返す機能も実現していると考えられます。

経路上のどこを侵害することでこの機能を実現しているのでしょう。
個人や企業が単体で努力して安全を保つということはもう限界に達しそうになっているのかもしれません。

参考記事（外部リンク）：WinDealer dealing on the side
securelist.com/windealer-dealing-on-the-side/105946/