Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

5月末に急増した改ざん、「IISサーバ」が標的か - 「Gumblar」と類似点

5月下旬より日本国内において、ウェブサイトの改ざん被害が相次いで発覚しているが、「Windows」の「IIS」が攻撃の標的になっている可能性が高いことがわかった。

攻撃を分析したトレンドマイクロによれば、今回の攻撃は「Black Hole Exploit Kit(BHEK)」により、難読化した「JavaScript」を挿入する攻撃。不正サイトの特定ファイルを「iframe」により気が付かれないように読み込み、著名ソフトの脆弱性を攻撃してマルウェアを感染させる。

「Adobe Reader」「Adobe Acrobat」「Adobe Flash Player」「Java」など利用している各ソフトのバージョンをチェックした上で、未修正となっている脆弱性をピンポイントで攻撃するため、セキュリティアップデートを実施していないと、閲覧によりマルウェアへ感染する可能性が高い。

同社のクラウド基盤において、マルウェア配布サイトへのアクセス件数を調査したところ、4月ごろよりアクセスが発生しているが、5月29日に急増。5月30日にピークを迎えたという。同社は、6月3日の時点で40サイトの改ざんを認識しており、同社のクラウド基盤だけで数万件のアクセスを確認している。

「Black Hole Exploit Kit(BHEK)」による大規模な改ざんは、3月にも発生しているが、3月の攻撃がウェブサーバ「Apache」へ不正モジュールをインストールする手口だったのに対し、今回の攻撃では、ウェブコンテンツへ直接不正スクリプトを挿入しており、特徴が大きく異なる。

さらに、同社が改ざん被害にあったサイトのウェブサーバを調べたところ、確認できたケースでは、すべて「IISサーバ」で運用されており、「Gumblar」と類似点があると指摘している。

一連の攻撃でダウンロードされるプログラムは、実行できない無意味なファイルで、攻撃の意図は明らかになっていない。今後、有効な不正プログラムに置き換えられ、本格的な攻撃へ移行する可能性があり、注意が必要だという。

(Security NEXT - 2013/06/06 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「OneDrive」「Skype」などMS製複数アプリに脆弱性 - 修正は次期バージョン以降
「Cisco DNA Center」に複数の深刻な脆弱性 - アップデートがリリース
Adobe、「Acrobat/Reader」におけるPoC公開の脆弱性について訂正
RHELのDHCPクライアントに深刻な脆弱性 - root権限取得のおそれ
同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力
「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も
「VMware NSX SD-WAN」にコマンドインジェクションの脆弱性が判明
【続報】「Adobe Acrobat/Reader」の定例外パッチが公開 - 早期適用呼びかけ
開発フレームワーク「Electron」にコード実行の脆弱性
「Photoshop CC」に深刻な脆弱性 - アップデートがリリース