Video Screencast Help
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response

データ侵害後に攻撃者に狙われた MapleSoft ユーザー

Created: 23 Jul 2012 08:31:37 GMT • Translations available: English
Satnam Narang's picture
0 0 Votes
Login to vote

寄稿: Jeet Morparia

過去数週間、さまざまな手段で Web サイトのデータベースが侵害され、顧客データを盗み出されたという報告が相次いでいます。話題の多くはパスワードリストがオンラインに流出した経緯に集中していますが、顧客情報にアクセスできるようになった攻撃者がその情報を悪質な攻撃に悪用することも、常に懸念されています。

Maple などの数式処理ソフトウェアや解析ソフトウェアのメーカーである MapleSoft 社からも数日前に、データベース侵害を調査中であるという報告がありました。データベースが侵害された結果、電子メールアドレスや姓名、勤務先や所属先などの個人情報が攻撃者の手に落ちましたが、MapleSoft 社によれば、この攻撃で財務関連の情報は漏洩していないということです。

パスワードハッシュを Web 上に漏えいさせる以前のデータベース侵害とは異なり、今回の攻撃者はもっと大きな賭けに出ました。MapleSoft 社の顧客には、「MapleSoft Security Update Team(MapleSoft セキュリティアップデートチーム)」からと称して、Maple ソフトウェアに脆弱性があり、そのパッチが公開されているという内容のメールが届き始めています。
 


 

悪質な電子メールのリンクは、たいてい紛らわしい形で記載されています。たとえば、リンク先が maplesoft.com であるように見えても、攻撃者は表示テキストを細工しているだけで、実際のリンク先は別のホスト上にあります。通常、こうしたリンクはランダムに生成された海外のドメイン名か、危殆化してペイロードへのリダイレクトを仲介するサイトです。今回は状況が異なり、攻撃者は実際に「maple-soft.com」というドメインを 7 月 17 日に登録し、標的に送信する電子メールにもそのドメインを使っていました。この日付は、顧客にスパムメッセージが送信されていることを MapleSoft 社が警告された日と一致します。

それだけでなく、ユーザーが受信した電子メールの宛先はファーストネームで書かれていたということです。これは、攻撃者が MapleSoft 社の顧客から一定の信頼を得られる手軽な方法と言えます。

reddit のサイトに、MapleSoft 社を詐称して送信されてきた電子メールメッセージのサンプルが投稿されています。
 


 

リンクをクリックすると、ユーザーは maple-soft.com のページに誘導されます。このページから Blackhole 悪用ツールキットのページにリダイレクトされ、そこで無警戒なユーザーに対する悪用の種類が決定されます。このサンプルの場合は、Microsoft Windows のヘルプとサポートセンターに存在する、信頼できる文書のホワイトリストがバイパスされる脆弱性(CVE-2010-1885)が利用されています。
 


 

ユーザーのシステムでこの脆弱性が悪用されると、2 つのファイルが標的のシステムに投下されます。この 2 つのファイルをシマンテックはそれぞれ Trojan.Zbot(シマンテックの振る舞い検知エンジンでは Sonar.Zbot!gen1)、Packed.Generic.367Trojan.ZeroAccess のヒューリスティック検出)として検出します。

Symantec Endpoint Protection やノートン製品をお使いのお客様は、脆弱性の悪用からも、Blackhole のような悪用ツールキットによるドライブバイダウンロードからも保護されています。このバージョンの Blackhole を遮断する個別の IPS シグネチャは、以下のとおりです。

  • Web Attack: Blackhole Toolkit Website 2
  • Web Attack: Malicious Toolkit Website 9
  • Web Attack: Blackhole Exploit Kit Website 8
  • Web Attack: Malicious File Download Request 10

MapleSoft 社はすでに、今回データ侵害が起きたことを顧客に通知し、この脅威の概要について情報を提供しています。現時点で、データ侵害の対象となった顧客数や、悪質なスパムメッセージを受け取ったユーザー数は明らかになっていません。

この数週間にデータベース侵害の報告が多数寄せられていますが、このように細工された攻撃に至った例は初めてです。これも、このタイプの攻撃が単なる乱発型のフィッシングから高度な標的型のメッセージに進化してきたことの証拠でしょう。攻撃者にとって、このような個人データを入手することは、切り札を手にしたも同然です。

パッチやソフトウェア更新に関する通知を電子メールで受け取っても、リンクはクリックしないように注意する必要があります。かわりに、ベンダーの実際の Web サイトにアクセスして、通知が本物かどうかを確認するようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。