5月末に急増した改ざん、「IISサーバ」が標的か - 「Gumblar」と類似点

5月下旬より日本国内において、ウェブサイトの改ざん被害が相次いで発覚しているが、「Windows」の「IIS」が攻撃の標的になっている可能性が高いことがわかった。

攻撃を分析したトレンドマイクロによれば、今回の攻撃は「Black Hole Exploit Kit（BHEK）」により、難読化した「JavaScript」を挿入する攻撃。不正サイトの特定ファイルを「iframe」により気が付かれないように読み込み、著名ソフトの脆弱性を攻撃してマルウェアを感染させる。

「Adobe Reader」「Adobe Acrobat」「Adobe Flash Player」「Java」など利用している各ソフトのバージョンをチェックした上で、未修正となっている脆弱性をピンポイントで攻撃するため、セキュリティアップデートを実施していないと、閲覧によりマルウェアへ感染する可能性が高い。

同社のクラウド基盤において、マルウェア配布サイトへのアクセス件数を調査したところ、4月ごろよりアクセスが発生しているが、5月29日に急増。5月30日にピークを迎えたという。同社は、6月3日の時点で40サイトの改ざんを認識しており、同社のクラウド基盤だけで数万件のアクセスを確認している。

「Black Hole Exploit Kit（BHEK）」による大規模な改ざんは、3月にも発生しているが、3月の攻撃がウェブサーバ「Apache」へ不正モジュールをインストールする手口だったのに対し、今回の攻撃では、ウェブコンテンツへ直接不正スクリプトを挿入しており、特徴が大きく異なる。

さらに、同社が改ざん被害にあったサイトのウェブサーバを調べたところ、確認できたケースでは、すべて「IISサーバ」で運用されており、「Gumblar」と類似点があると指摘している。

一連の攻撃でダウンロードされるプログラムは、実行できない無意味なファイルで、攻撃の意図は明らかになっていない。今後、有効な不正プログラムに置き換えられ、本格的な攻撃へ移行する可能性があり、注意が必要だという。

（Security NEXT - 2013/06/06 ） ツイート

PR

関連記事

「SandboxJS」にあらたなサンドボックス回避脆弱性 - 再度修正を実施
LAN側からtelnet有効化できるマニュアル未記載機能 - NETGEAR製EOLルータ
「Apache Hadoop HDFS」に脆弱性 - アップデートが公開
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
相次ぐ脆弱性の悪用、ゼロデイ攻撃も - 悪用リスト登録が週明け以降7件
「NVIDIA runx」に脆弱性 - サポート終了により修正予定なし
「SolarWinds WHD」に複数の深刻な脆弱性 - アップデートで修正
「Ivanti EPMM」にゼロデイ脆弱性、悪用確認 - パッチ適用や侵害調査を
Windows環境の「Symfony」でシェル経由処理に問題 - 破壊的操作のおそれ
JavaScriptサンドボックスのnpmライブラリ「SandboxJS」に深刻な脆弱性