Internet Explorer のゼロデイ脆弱性が限定的な標的型攻撃に利用され、韓国でその影響が確認されています。「Microsoft Internet Explorer のスクリプトエンジンに存在するメモリ破損の脆弱性」(CVE-2016-0189)を突く悪用コードが Web ページにホストされていたようです。このことから、攻撃者はスピア型フィッシングメール、または水飲み場型攻撃を使ってユーザーのコンピュータに侵入したと考えられます。
Microsoft は、最新の月例パッチでこのゼロデイ脆弱性を修復済みです。
CVE-2016-0189 を狙う攻撃 攻撃者は、Microsoft からパッチが公開される前に、CVE-2016-0189 の脆弱性を利用していました。悪用コードは、スピア型フィッシングメールに記載されたリンクを通じて、あるいは正規の Web サイトを危殆化し、悪用コードのあるページにユーザーをリダイレクトするという手口で拡散されています。
この攻撃のランディングページには、アクセスしたユーザーのコンピュータを調べる JavaScript コードが仕掛けられていました。具体的には、そのコンピュータが仮想マシンかどうかを確認し、実行されている Internet Explorer、Flash、Windows のバージョンを判定します。
次にその情報は、韓国のトップレベルドメイン(TLD)「.co.kr」を含む URL の Web サイトに送信されます。
そのうえで、JavaScript は不明瞭化した VBScript ファイルとして悪用コードを配信し、それに成功すると、.co.kr の Web サイトから悪質なファイルをダウンロードします。
ダウンロードされたファイルは、0x55164975 という値でファイルを XOR 演算することによって復号されます。このファイルは、%Temp%\rund11.dll というファイル名でコンピュータに保存されます。
最終的なペイロードは、現時点ではわかっていません。
韓国での影響 Internet Explorer のゼロデイ攻撃による影響を受けたのは、Internet Explorer の使用率が高いことで知られる韓国でした。韓国では、Microsoft ActiveX を導入してトランザクションに国産の SEED 暗号方式を利用するようオンラインベンダーに義務付ける法律が、1999 年に制定されています。ActiveX は、Internet Explorer でしかサポートされていません。韓国はその後、この規制を廃止する方向に動いていますが、国内では依然として、Internet Explorer の利用率が高いままです。
この攻撃は、韓国を狙い続けている多数のゼロデイ攻撃のひとつにすぎません。たとえば昨年は、Backdoor.Duuzer という巧妙なマルウェアを使って、韓国の企業が狙われました。攻撃者は、Hangul(ハングル)という韓国製のワープロソフトに存在するゼロデイ脆弱性を悪用して Duuzer の亜種を拡散していました。
韓国の企業を狙って繰り返される攻撃の動機は、大半がスパイ活動かサボタージュです。攻撃者は、韓国の企業を標的にして、そのコンピュータにリモートアクセスし、機密データを盗み出したり、ハードディスクの内容を消去したりすることが確認されています。
シマンテックはこの攻撃の調査を現在も続けており、詳しいことがわかり次第、更新情報をお届けする予定です。
対処方法 影響を受ける Internet Explorer の脆弱性に対しては、速やかにパッチを適用してください。
また、コンピュータが感染しないように、以下のベストプラクティスに従うこともお勧めします。
保護対策 シマンテック製品をお使いのお客様は、以下の検出定義によってこの悪用コードから保護されています。
侵入防止システム
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】