5月末に急増した改ざん、「IISサーバ」が標的か - 「Gumblar」と類似点

5月下旬より日本国内において、ウェブサイトの改ざん被害が相次いで発覚しているが、「Windows」の「IIS」が攻撃の標的になっている可能性が高いことがわかった。

攻撃を分析したトレンドマイクロによれば、今回の攻撃は「Black Hole Exploit Kit（BHEK）」により、難読化した「JavaScript」を挿入する攻撃。不正サイトの特定ファイルを「iframe」により気が付かれないように読み込み、著名ソフトの脆弱性を攻撃してマルウェアを感染させる。

「Adobe Reader」「Adobe Acrobat」「Adobe Flash Player」「Java」など利用している各ソフトのバージョンをチェックした上で、未修正となっている脆弱性をピンポイントで攻撃するため、セキュリティアップデートを実施していないと、閲覧によりマルウェアへ感染する可能性が高い。

同社のクラウド基盤において、マルウェア配布サイトへのアクセス件数を調査したところ、4月ごろよりアクセスが発生しているが、5月29日に急増。5月30日にピークを迎えたという。同社は、6月3日の時点で40サイトの改ざんを認識しており、同社のクラウド基盤だけで数万件のアクセスを確認している。

「Black Hole Exploit Kit（BHEK）」による大規模な改ざんは、3月にも発生しているが、3月の攻撃がウェブサーバ「Apache」へ不正モジュールをインストールする手口だったのに対し、今回の攻撃では、ウェブコンテンツへ直接不正スクリプトを挿入しており、特徴が大きく異なる。

さらに、同社が改ざん被害にあったサイトのウェブサーバを調べたところ、確認できたケースでは、すべて「IISサーバ」で運用されており、「Gumblar」と類似点があると指摘している。

一連の攻撃でダウンロードされるプログラムは、実行できない無意味なファイルで、攻撃の意図は明らかになっていない。今後、有効な不正プログラムに置き換えられ、本格的な攻撃へ移行する可能性があり、注意が必要だという。

（Security NEXT - 2013/06/06 ） ツイート

PR

関連記事

VR空間プラットフォーム「Hubs Cloud」に認証情報流出のおそれ
MTAの「Exim」に21件の脆弱性、PoCも公開 - パッチ適用を
「Firefox」にセキュリティ更新 - Android版のみ影響する深刻な脆弱性も
「Samba」にサービス拒否や共有ファイルを削除される脆弱性
VPN製品「Pulse Connect Secure」にアップデート - ゼロデイ脆弱性など修正
「BIND 9」に3件の脆弱性 - RCEやDoS攻撃のおそれ
QNAPのバックアップソリューション「HBS 3」に深刻な脆弱性
Google、「Chrome 90.0.4430.93」をリリース - 9件のセキュリティ修正を実施
都の医療従事者向け「ワクチン接種予約システム」に複数不具合
Apple、「iOS 14.5」をリリース - 脆弱性50件を修正