MS、国内サイト改ざん攻撃に用いられたIE脆弱性を月例パッチで修正

日本マイクロソフトは、3月の月例セキュリティ更新プログラムとして「MS14-012」を公開し、ゼロデイ攻撃の対象ととなった脆弱性を修正した。

「MS14-012」は、「Internet Explorer」に存在する累積的な脆弱性を修正するプログラム。修正件数は18件に及び、いずれもメモリ破壊の脆弱性だった。「CVE-2014-0322」「CVE-2014-0324」についてはゼロデイ攻撃が確認されている。

なかでも今回のアップデートでは、ゼロデイ攻撃に悪用が確認されている「CVE-2014-0322」を修正した。同脆弱性は、細工が施されたウェブサイトを閲覧することでメモリ破壊が発生、リモートでコードを実行されるおそれがある。

攻撃当初は、米国における特定分野の関係者を狙った水飲み場攻撃で悪用されたが、2月22日ごろより、通販サイトや旅行会社、教育関連サイトなど正規サイトの改ざんを通じて、無差別にインターネット利用者を狙うドライブバイダウンロード攻撃に用いられている。

攻撃を通じて感染するマルウェアは、「みずほ銀行」「ゆうちょ銀行」など国内金融機関の利用者を狙ったもので、オンラインバンキングへログインすると、本来存在しない画面を表示して、暗証番号などを詐取する。シマンテックによれば、2月末の時点で、マルウェアの感染が確認された端末の9割は日本国内のものだったという。

2月17日に公開されたセキュリティアドバイザリでは、定例外で対応する可能性も含め、アナウンスが行われたが、最終的には月例更新で対応するかたちとなった。

こうした対応について日本マイクロソフトのセキュリティレスポンスチームは、定例外による更新が与える負担の大きさや、当初は攻撃対象が限定されていたことを理由に挙げている。

また更新プログラムの提供はなかったものの、緩和策として2月20日に「Fix it」を公開したことや、「Microsoft Active Protections Program（MAPP）」を通じて情報を共有するなど、被害を防止する対策を進めてきたことを強調した。

さらに今回修正した脆弱性は、いずれもメモリ破壊の脆弱性であり、脆弱性緩和ツール「Enhanced Mitigation Experience Toolkit（EMET）」を導入している環境であれば、悪用を某誌できる脆弱性だったという。

（Security NEXT - 2014/03/12 ） ツイート

PR

関連記事

パロアルトのウェブサイトが改ざん - 閲覧でマルウェア感染のおそれ
MS、脆弱性への懸念と実態に乖離があると説明 - 「ゼロデイ攻撃は限定的、安心してほしい」
限定的なIEゼロデイ攻撃、標的は日本バスケ協会会長の金融担当相か
MS、深刻度「緊急」2件含む月例パッチ5件を公開 - 23件の脆弱性を解消
オートラン機能で感染広げるワームが引き続き活発 - マカフィーまとめ
月例パッチで修正されたもう1件のIEゼロデイ脆弱性 - 水飲み場攻撃に悪用
IEゼロデイ攻撃の対象は9割が日本 - みずほ銀やゆうちょ銀の利用者狙う
MS、3月の月例パッチは5件を予定 - IEゼロデイ脆弱性を修正予定
登山者SNSサイト「ヤマレコ」が改ざん - IE狙うゼロデイ攻撃
国内複数サイトが改ざん、狙いはIEのゼロデイ脆弱性