国内複数サイトが改ざん、狙いはIEのゼロデイ脆弱性

トレンドマイクロは、「Internet Explorer」に存在する未修正の脆弱性「CVE-2014-0322」を悪用したゼロデイ攻撃が、日本国内のサイトで確認されたとして注意を呼びかけている。

同社によれば、日本国内の本来悪意が存在しないいわゆる「正規サイト」が複数改ざんされ、IEに見つかった脆弱性「CVE-2014-0322」を悪用する攻撃が行われているという。

改ざんされたページへアクセスすると、マルウェアへ感染するおそれがある。脆弱性を修正する更新プログラムは、2月24日の時点で提供されていない。

同社では、22日に不正ファイルを確認し、その後の調査により脆弱性「CVE-2014-0322」を悪用するゼロデイ攻撃であることを確認した。被害の規模など詳細について調査を進めるている。

同社が24日の時点で確認している攻撃は、いずれも「htmlファイル」をはじめ、Flashの「swfファイル」、Javaのアーカイブファイルである「jarファイル」を組み合わせたもので、これらファイルが改ざんサイト内に設置されていた。脆弱性が存在する環境で改ざんサイトへアクセスすると、他サイトからマルウェアがダウンロードされ、実行されるおそれがある。

同社では、今後も同様の攻撃が継続して発生することが懸念されるとして、「Fix it」といった緩和策の実施や、脆弱性の影響を受けない「IE 11」へのアップデートを検討することなど、対策を呼びかけている。

（Security NEXT - 2014/02/24 ） ツイート

PR

関連記事

先週注目された記事（2025年6月1日〜2025年6月7日）
「MS Edge」にアップデート - ゼロデイ脆弱性を解消
「Chrome」にゼロデイ脆弱性 - アップデート公開、事前緩和策も
先週注目された記事（2025年5月18日〜2025年5月24日）
Samsung製デジタルサイネージの脆弱性狙う攻撃に注意
米政府、脆弱性6件の悪用に注意喚起 - メールや社内チャットなども標的に
トルコ関与疑われる攻撃グループ、チャット製品にゼロデイ攻撃
先週注目された記事（2025年5月11日〜2025年5月17日）
「Microsoft Edge」にアップデート - ゼロデイ脆弱性を解消
「FortiOS」の認証回避脆弱性、攻撃継続中 - 国内でも被害