Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

6 月のマイクロソフト月例パッチで公開された脆弱性の悪用

Created: 17 Jun 2011 13:56:14 GMT • Translations available: English
Joji Hamada's picture
0 0 Votes
Login to vote

シマンテックセキュリティレスポンスは、Microsoft Internet Explorer の Time 要素に存在する、初期化されていないメモリによるリモートコード実行の脆弱性が現在悪用されており、被害が出ていることを確認しました。この脆弱性は、Internet Explorer バージョン 6、7、8 に影響しますが、シマンテックで捕捉された悪用はバージョン 8 のみに影響するようです。Microsoft 社は、6 月14 日に公開した月例パッチ(Microsoft Patch Tuesday)ですでにこのパッチもリリースしているので、シマンテック製品をお使いの皆さまも必ずこのパッチをインストールするようにしてください。今までのところ、この脆弱性を利用した攻撃は限定的であり、現時点では標的型攻撃の形でしか悪用は実行されていません。

このような攻撃の存在が確認されたのは、近所のレストランを紹介するコンテンツを掲載している Web サイトに侵入し、それを利用した例です。この Web サイトのトップページを複製してハッキングし、悪用ページにリンクする隠し iframe タグを挿入したか、あるいは最初から作成したと見られていますが、実行に成功すると、含まれているシェルコードによって、暗号化された悪質なファイルが同じサイトからダウンロードされます。興味深いことに、ページには統計解析を提供している cnzz.com というサイトへのリンクがあります。おそらく、攻撃の進行状況を攻撃者に知らせる目的で設置されているようです。ダウンロードされたマルウェアは、HTTP プロトコルを使って 323332.3322.org に接続し、次のコマンドを待ちます。3322.org は、ある種の動的 DNS サービスを提供していますが、各種の悪質な目的に利用されていることが知られているので、このドメインに対するアクセスを遮断してしまうのも悪くない方法です。サブドメインへのアクセスが必要な場合には、サブドメインをホワイトリストに追加してください。攻撃者は、個人情報を盗み出す目的でこの Web サイトへのリンクを載せた電子メールを標的に送信する恐れがあります。標的型攻撃の常套手段です。

攻撃を防ぐためには、この脆弱性に対する最新のパッチを適用してください。セキュリティソフトウェアも含めて、コンピュータ上の他のソフトウェアもすべて最新状態に保つ必要があります。また、ファイルが添付されている電子メールや、リンクが記載されている電子メールを受信したときは、送信元が既知であっても未知であっても警戒するようにしてください。

シマンテックでは、この悪用を Trojan.Shixploit として検出しており、ペイロードは 2010 年 1 月以来 Backdoor.Trojan として検出されています。

この脅威の解析に協力してくれた末長政樹氏と板橋一正氏に感謝します。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。