Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

国内の特定業種狙うIEゼロデイ攻撃が1カ月以上継続中 - 修正されぬ改ざんサイト

改ざんされた正規ウェブサイトを閲覧しただけでマルウェアに感染する危険性の高いゼロデイ攻撃が、すでに1カ月以上にわたり継続していることがわかった。国内特定セクターの関係者をターゲットにしていると見られ、感染源となっている国内サイトも稼働中だという。

問題の攻撃は、「Internet Explorer」に存在する脆弱性「CVE-2013-3893」を悪用するもので、8月25日の時点で脆弱性を修正するセキュリティ更新プログラムは提供されていない。被害を防ぐには、日本マイクロソフトが用意する「Fix it」や「EMET」といった緩和策を活用するか、影響を受けない他ブラウザを利用する必要がある。

今回の攻撃を分析したファイア・アイによれば、脆弱性を悪用するマルウェアは、約1カ月以上前となる8月19日に確認されており、同社では8月23日に攻撃を検知した。同社はマルウェア内から見つかった文字列より「DeputyDog」と命名し、警戒を強めている。

同社が確認したマルウェアは、改ざんされたウェブサイトを通じて、「img20130823.jpg」というファイル名で一見画像ファイルを装って配布されていた。8月19日のほぼ同時刻に作成されたと見られる複数の亜種を確認している。

20130925_fe_001.jpg
三輪氏

またコマンド&コントロールサーバに利用されたIPやドメインの相関性から、2013年2月にセキュリティベンダーの米Bit9に対して行われたサイバー攻撃との関連性も明らかになった。国内を標的とした攻撃と、海外セキュリティベンダーを対象とした過去の攻撃キャンペーンが結びつく珍しい事例だとファイア・アイの最高技術責任者である三輪信雄氏は説明する。

同氏は、現時点における改ざん被害の規模や攻撃対象の業種、攻撃者像に関し、「クリティカルな問題」であるとして言及を避けたが、感染源となっているのは、政府や特定業種の関係者が利用する可能性がある「日本語ベースのウェブサイト」であり、こうした改ざんサイトを通じて国内に感染が拡大していることを明らかにした。

海外では一切検知されておらず、日本国内へ攻撃をしかける目的で、攻撃者が未知の脆弱性を探し出した可能性も高い。改ざんされたサイトは、修正されずに引き続き公開されているだけでなく、さらに別のサイトが改ざんされることへの懸念もあり、予断を許さない状況となっている。

(Security NEXT - 2013/09/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

米政府、悪用済み脆弱性リストに15件を追加
MS、月例パッチを公開 - 「Emotet」「Trickbot」などが悪用したゼロデイ脆弱性を解消
スイーツ通販サイトに不正アクセス、ゼロデイ脆弱性の発見から被害に気づく
MS、11月の月例パッチを公開 - 悪用済み2件を含む脆弱性55件を修正
「macOS」にアップデート - ゼロデイ脆弱性にも対応
Apple、「iOS」のアップデートを公開 - 旧版ではゼロデイ脆弱性に対応
「iOS 15.0.2」「iPadOS 15.0.2」がリリース - 悪用報告ある脆弱性に対処
わずか3日、「Apache HTTPD」が再修正 - 前回修正は不十分、RCEのおそれも
「Apache HTTP Server」のゼロデイ脆弱性、国内でも攻撃を観測
Google、「Chrome 94.0.4606.71」をリリース - ゼロデイ脆弱性などに対応