トレンドマイクロでは、2015年10月29日以降、70件以上の国内Webサイトで改ざんが発生していることを確認しました。今回確認した改ざんサイトは、すべて脆弱性攻撃サイトへ誘導し、最終的に暗号化型ランサムウェアを拡散させることが目的であるものと判明しています。トレンドマイクロではすでに関係機関に通報し対処を図っておりますが、同様の改ざん被害が継続する可能性もありますので、一般に向け注意喚起いたします。
今回改ざん被害を確認した 70件以上のサイトは、中小企業、各種学校や地域の団体、個人ページなど多岐にわたっています。インターネット利用者が改ざんサイトへアクセスした場合、脆弱性攻撃サイトへ誘導されます。すべての改ざんサイトからは 1つの脆弱性攻撃サイトへの誘導が確認されており、同一の攻撃者による改ざんであるものと推測されます。
図1:改ざんサイトに設置された不正スクリプト例
トレンドマイクロのクラウド型セキュリティ対策技術基盤「SPN(Smart Protection Network)」の統計によれば、70件以上に及ぶ被害サイトの 8割は、1週間のアクセス数が 1000件未満、最大でも1万5000件と、影響力はそれほど大きくないサイトが中心であったものと思われます。しかし、それでもこの攻撃全体では国内から 2万アクセス以上が脆弱性攻撃サイトへ誘導された可能性があります。
脆弱性攻撃サイトは「Angler(アングラー)」と呼ばれる脆弱性攻撃ツール(エクスプロイトキット)で作られており、Adobe Flash、Java など複数の製品の脆弱性を攻撃します。利用者の環境で 1つでも脆弱性を含んだ古いバージョンの製品を使用していた場合、最終的にランサムウェアに感染します。ランサムウェアの活動としては感染した PC内のファイルを暗号化するとともに、アクセス可能なネットワーク共有フォルダ内のファイルも暗号化します。
トレンドマイクロでは今回の攻撃についてさらなる詳細解析を進めています。関連する追加情報があった場合は、本ブログなどを通じてお知らせします。
■被害に遭わないためには
現在、Web経由で不正プログラムを感染させる手法は、エクスプロイトキットによる脆弱性攻撃が中心となっています。ゼロデイでない既知の脆弱性を利用する攻撃は、使用するソフトウェアを脆弱性が解消された最新バージョンにアップデートしておくことにより、100% 防げるものです。特に、Adobe Flash、Java、各種インターネットブラウザなど、インターネット利用時に使用されるアプリケーションのバージョンは必ず最新にしてください。
■トレンドマイクロの対策
トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」の機能の 1つである「ファイルレピュテーション(FRS)」技術により、今回の攻撃により侵入するランサムウェアを「TROJ_RANSOM」などの検出名で順次検出に対応しております。
脆弱性攻撃サイトなど関連する不正サイトへのアクセスは「Webレピュテーション(WRS)」技術によりブロックし、実被害を防ぎます。
法人用クライアント向け対策製品「ウイルスバスター コーポレートエディション」の危険なWebサイト対策機能、個人用向けクライアント向け対策製品「ウイルスバスター クラウド」のブラウザガード機能では Web経由の脆弱性攻撃の実行を検出し防ぎます。
調査協力:中谷 吉宏(Regional Trend Labs)、東 結香(Regional Trend Labs)、Joseph C Chen(Fraud Researcher)