先週のブログで、最近の水飲み場型攻撃で Internet Explorer 10 の新しいゼロデイ脆弱性が悪用されていることをお伝えしました。攻撃者が悪用したのは、これまで見つかっていなかったゼロデイ脆弱性、「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」(CVE-2014-0322)です。先週の時点では、攻撃者は特定のユーザーだけを狙って、侵入先のサイトを通じてゼロデイ脆弱性に対する悪用コードを送信していました。その後も CVE-2014-0322 を狙った攻撃を注意深く監視を続けた結果、シマンテックは、この脆弱性を利用した攻撃が APT(Advanced Persistent Threat)に限らなくなっている傾向を確認しています。このゼロデイ攻撃の標的が一般のインターネットユーザーにも拡大しつつあるということです。シマンテックはこの攻撃をドライブバイダウンロード型と見なしていますが、これも驚くほどのことではありません。脆弱性の悪用コードは広く公開されているため、誰でもコードを手に入れて独自の目的に再利用できてしまうからです。
シマンテックの遠隔測定によると、ゼロデイ攻撃の試みは大きく増加しており、2 月 22 日以降、多くの国や地域のユーザーを標的として劇的に増加しています。また、遠隔測定では、標的型攻撃とドライブバイダウンロードの両方が混在していることがわかります。
図 1. CVE-2014-0322 を悪用する攻撃の分布図
特に、日本のサイトにアクセスするユーザーが標的となっています。これは、複数のサイトが侵害され、ドライブバイダウンロードのホストとして利用されていることが主な原因です。今回の攻撃では、以下のサイトが侵入を受けています。
攻撃に使われているコンポーネントから判断すると、ほとんどの攻撃は同一の攻撃者が仕掛けたものと考えられます。
図 2. CVE-2014-0322 悪用コードの標的になったコンピュータの地域分布
これらの Web サイトは、Internet Explorer のゼロデイ脆弱性に対する悪用コードをホストするように改ざんされたか、悪用コードをホストしている別の侵入先サイトにリダイレクトする iframe が挿入されて更新されていました。攻撃に成功すると、悪用コードによって、オンラインバンキングを狙うトロイの木馬が投下され、これがみずほ銀行とゆうちょ銀行のログイン情報を盗み出そうとします。シマンテックは、この脅威を Infostealer.Bankeiya として検出します。
図 3. トロイの木馬が表示する、みずほ銀行の偽の画面(ログイン後)
図 4. トロイの木馬が表示する、ゆうちょ銀行の偽の画面(ログイン後)
今回の攻撃への対応策
この脆弱性を修正するセキュリティ更新プログラムはまだ提供されていませんが、Microsoft 社は、この脆弱性を悪用する攻撃からコンピュータを保護するために、以下の対応策を推奨しています。
また、関連するパッチが公開され次第、速やかに適用することもお勧めします。シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。
ウイルス対策
侵入防止システム
この脆弱性を悪用する攻撃は今後も増加傾向が続くと予測されるため、ただちに対策を実施するようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。