シマンテックは 5 月中旬、Adobe Flash Player に存在するバッファオーバーフローの脆弱性(CVE-2014-0515)を悪用する攻撃が徐々に増加していることを確認しましたが、この傾向はまだ続いています。シマンテックの調査によると、現在この攻撃は大規模な範囲で行われており、その大部分は日本を標的としていることがわかっています。
4 月にさかのぼると、CVE-2014-0515 は当初、特定の組織や業界を狙った水飲み場型攻撃で悪用されていました。その後同じ 4 月に Adobe 社はこの脆弱性に対するパッチをリリースしましたが、シマンテックの遠隔測定によると、それから数週間が経った現在では、当初の標的ではなく幅広いインターネットユーザーを狙って悪用コードが使われていることが判明しています。
図 1. Adobe Flash Player の脆弱性を悪用する攻撃の大部分は日本を標的に 図 1 に示すように、この脆弱性を悪用する攻撃の 90% 以上は日本のユーザーを標的としています。攻撃は主にドライブバイダウンロードによって実行され、悪質なコードをホストする、侵害された正規の Web サイトが利用されています。そういった Web サイトから、攻撃者が用意した悪質なサイトにトラフィックがリダイレクトされます。
日本での攻撃を引き起こすように侵害された Web サイトは次のとおりです。
上記の Web サイトに加えて、JUGEM レンタルサービスを使用しているブログサイトも影響を受けていました。
ブラウザが悪質なサイト(IP アドレス 1.234.35.42)にリダイレクトされると、CVE-2014-0515 の悪用を試みる悪質なコードが読み込まれます。古いバージョンのソフトウェアがコンピュータにインストールされている場合、この攻撃により一連の悪質なファイルが実行され、マルウェア Infostealer.Bankeiya.B に感染してしまいます。このマルウェアがユーザーから銀行口座情報を盗み取るのです。
図 2. 日本のユーザーを狙う攻撃件数の推移
図 3. 日本のユーザーを狙う攻撃の累積件数
Infostealer.Bankeiya.B は、Google Chrome、Mozilla Firefox、および Microsoft Internet Explorer を監視し、通常オンラインバンキング取引で使われる特定のユーザーデータを収集します。
また、Infostealer.Bankeiya.B は自身を更新して、さらにほかの銀行を標的にしたり別の悪質な処理を実行するための機能を追加したりすることができます。
Adobe Flash Player に存在するバッファオーバーフローの脆弱性(CVE-2014-0515)は広範囲に悪用されているため、Adobe Flash を最新のバージョンに更新することをお勧めします。オペレーティングシステムやコンピュータにインストールされているアプリケーションだけでなく、ブラウザで使用しているプラグインにもパッチを適用することが重要です。
保護対策 シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。
ウイルス対策
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。