Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

国内の特定業種狙うIEゼロデイ攻撃が1カ月以上継続中 - 修正されぬ改ざんサイト

改ざんされた正規ウェブサイトを閲覧しただけでマルウェアに感染する危険性の高いゼロデイ攻撃が、すでに1カ月以上にわたり継続していることがわかった。国内特定セクターの関係者をターゲットにしていると見られ、感染源となっている国内サイトも稼働中だという。

問題の攻撃は、「Internet Explorer」に存在する脆弱性「CVE-2013-3893」を悪用するもので、8月25日の時点で脆弱性を修正するセキュリティ更新プログラムは提供されていない。被害を防ぐには、日本マイクロソフトが用意する「Fix it」や「EMET」といった緩和策を活用するか、影響を受けない他ブラウザを利用する必要がある。

今回の攻撃を分析したファイア・アイによれば、脆弱性を悪用するマルウェアは、約1カ月以上前となる8月19日に確認されており、同社では8月23日に攻撃を検知した。同社はマルウェア内から見つかった文字列より「DeputyDog」と命名し、警戒を強めている。

同社が確認したマルウェアは、改ざんされたウェブサイトを通じて、「img20130823.jpg」というファイル名で一見画像ファイルを装って配布されていた。8月19日のほぼ同時刻に作成されたと見られる複数の亜種を確認している。

20130925_fe_001.jpg
三輪氏

またコマンド&コントロールサーバに利用されたIPやドメインの相関性から、2013年2月にセキュリティベンダーの米Bit9に対して行われたサイバー攻撃との関連性も明らかになった。国内を標的とした攻撃と、海外セキュリティベンダーを対象とした過去の攻撃キャンペーンが結びつく珍しい事例だとファイア・アイの最高技術責任者である三輪信雄氏は説明する。

同氏は、現時点における改ざん被害の規模や攻撃対象の業種、攻撃者像に関し、「クリティカルな問題」であるとして言及を避けたが、感染源となっているのは、政府や特定業種の関係者が利用する可能性がある「日本語ベースのウェブサイト」であり、こうした改ざんサイトを通じて国内に感染が拡大していることを明らかにした。

海外では一切検知されておらず、日本国内へ攻撃をしかける目的で、攻撃者が未知の脆弱性を探し出した可能性も高い。改ざんされたサイトは、修正されずに引き続き公開されているだけでなく、さらに別のサイトが改ざんされることへの懸念もあり、予断を許さない状況となっている。

(Security NEXT - 2013/09/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Adobe、「Acrobat/Reader」におけるPoC公開の脆弱性について訂正
同一PDFファイルに「Acrobat/Reader」と「Windows」のゼロデイ脆弱性 - 併用で高い攻撃力
「Adobe Acrobat/Reader」脆弱性、すでに悪用ファイルが流通 - PoC公開も
Google、「Windows 10」のゼロデイ脆弱性を公開 - セキュリティ機能をバイパス
IEに未修正の脆弱性、APT攻撃に悪用との指摘
スマート電球など身近な複数IoT機器に脆弱性 - ファームウェアの確認を
「Drupal」に深刻な脆弱性、アップデートが準備中 - 攻撃コードに警戒を
Flashゼロデイ脆弱性に北朝鮮関与 - 11月中旬より悪用
MS、ブラウザ同梱版「Flash Player」向けに定例外更新
Adobe、Flashゼロデイ脆弱性に対処した定例外更新をリリース - できる限り早急に更新を