Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

国内の特定業種狙うIEゼロデイ攻撃が1カ月以上継続中 - 修正されぬ改ざんサイト

改ざんされた正規ウェブサイトを閲覧しただけでマルウェアに感染する危険性の高いゼロデイ攻撃が、すでに1カ月以上にわたり継続していることがわかった。国内特定セクターの関係者をターゲットにしていると見られ、感染源となっている国内サイトも稼働中だという。

問題の攻撃は、「Internet Explorer」に存在する脆弱性「CVE-2013-3893」を悪用するもので、8月25日の時点で脆弱性を修正するセキュリティ更新プログラムは提供されていない。被害を防ぐには、日本マイクロソフトが用意する「Fix it」や「EMET」といった緩和策を活用するか、影響を受けない他ブラウザを利用する必要がある。

今回の攻撃を分析したファイア・アイによれば、脆弱性を悪用するマルウェアは、約1カ月以上前となる8月19日に確認されており、同社では8月23日に攻撃を検知した。同社はマルウェア内から見つかった文字列より「DeputyDog」と命名し、警戒を強めている。

同社が確認したマルウェアは、改ざんされたウェブサイトを通じて、「img20130823.jpg」というファイル名で一見画像ファイルを装って配布されていた。8月19日のほぼ同時刻に作成されたと見られる複数の亜種を確認している。

20130925_fe_001.jpg
三輪氏

またコマンド&コントロールサーバに利用されたIPやドメインの相関性から、2013年2月にセキュリティベンダーの米Bit9に対して行われたサイバー攻撃との関連性も明らかになった。国内を標的とした攻撃と、海外セキュリティベンダーを対象とした過去の攻撃キャンペーンが結びつく珍しい事例だとファイア・アイの最高技術責任者である三輪信雄氏は説明する。

同氏は、現時点における改ざん被害の規模や攻撃対象の業種、攻撃者像に関し、「クリティカルな問題」であるとして言及を避けたが、感染源となっているのは、政府や特定業種の関係者が利用する可能性がある「日本語ベースのウェブサイト」であり、こうした改ざんサイトを通じて国内に感染が拡大していることを明らかにした。

海外では一切検知されておらず、日本国内へ攻撃をしかける目的で、攻撃者が未知の脆弱性を探し出した可能性も高い。改ざんされたサイトは、修正されずに引き続き公開されているだけでなく、さらに別のサイトが改ざんされることへの懸念もあり、予断を許さない状況となっている。

(Security NEXT - 2013/09/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Chrome」ゼロデイ脆弱性、水飲み場攻撃「WizardOpium作戦」に悪用
「Chrome」に2件の脆弱性、アップデート公開 - ゼロデイ攻撃も確認
「vBulletin」狙った改ざん攻撃 - 他攻撃者のコード実行は制限
「変なホテル」の客室ロボに脆弱性 - SNS投稿で明らかに
「Adobe Acrobat」「Adobe Reader」の定例外更新 - まもなく公開予定
「vBulletin」に複数脆弱性、パッチが公開 - 前回より2週間弱で
「Webmin」のソースコード改ざんで脆弱性、攻撃コード公開 - アクセス増加の観測も
「IE」ゼロデイ脆弱性へ対処する定例外更新を再リリース - 不具合判明受け
「vBulletin」に修正パッチ - 国内でも攻撃を多数観測、早急に対応を
「IE」にゼロデイ攻撃が発生 - 定例外の修正パッチが公開