TrendLabs | Malware Blog
「Cyber Attacks on Google and Others – Who is Really at Risk?」より
Jan 19, 2010 Ria Rivera
Googleや米企業を襲った最近のサイバー攻撃ついては、世界的に有名な大企業が狙われこともあり、すでにメディアで大きく報じられています。ただ、ここで注目すべきは、大企業が狙われた事実もさることながら、その巧妙で洗練された手口であり、規模の大小に関わらず個人も企業もこうした攻撃のリスクにさらされる可能性があるという点でしょう。
今回の攻撃では、用意周到に特定の企業や組織が標的にされていますが、むろん、この種の攻撃では、いかなるコンピュータも被害にあう可能性があります。従って、トレンドマイクロでは、コンピュータやソフトウェアの更新することを忘れず、常に最新の状態にしておくことを強くお勧めします。特に今回の攻撃に関しては、「マイクロソフト セキュリティ アドバイザリ」を参考にしてInternet Explorer(IE)の脆弱性に対する回避策を講じることをお勧めします。
様々な侵入経路を用いた一連の攻撃ですが、始まりは不正なWebサイトへのアクセスを契機としているようです。例えばIEの特定の脆弱性が利用されましたが、この場合、無防備なユーザが、不正なJavaScriptが埋め込まれた悪意あるWebサイトを閲覧し、誤ってこの不正スクリプトをダウンロードすることにより、攻撃が始まりました。この不正JavaScriptは、トレンドマイクロの製品では「JS_DLOADER.FIS」として検出されます。IEの無効なポインター参照に存在するこの脆弱性が利用されると、オブジェクトが削除されても、攻撃者が無効なポインターにアクセスできる可能性があります。これにより、5.1以外のすべてのバージョンのIE上でリモートコードが実行される恐れがあります。
マイクロソフトは、2010年1月15日、この脆弱性に関するセキュリティアドバイザリ(979352)を公開しました。同社は、Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 5.01 Service Pack 4 は影響を受けず、Microsoft Windows 2000 Service Pack 4 上の Internet Explorer 6 Service Pack 1、Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7 および Windows Server 2008 R2 上の Internet Explorer 6、Internet Explorer 7 および Internet Explorer 8 が影響を受けることを確認しています。また、当面の回避策として、Windows XP Service Pack 3, Windows Vista Service Pack 1, Windows Vista Service Pack 2, および Windows 7のOS上で起動する Internet Explorer 8を利用するユーザは、不正なプログラムが実行されるのを防ぐためのデータ実行防止(Data Execution Prevention、DEP)機能を有効にすること、また、Windows Vista およびそれ以降の Windows のOS上で起動する IE を利用するユーザの場合、保護モード(Protected Mode)も該当する脆弱性の影響を緩和する、とアドバイスしています。
なお、上述の脆弱性が利用できない場合、この不正JavaScriptは、不正Webサイトにアクセスし、暗号化されたファイルをダウンロードします。ダウンロードされたファイルは、トレンドマイクロの製品では「TROJ_HYDRAQ.SMA」として検出され、ファイル内に記述されているファイルのパス名が由来となり、「Aurora」とも呼ばれてます。この暗号化されたファイルが復号され感染コンピュータ上にインストールされると、バックドア機能が実行されることとなります。さらに、他の不正ファイルを実行する機能や、サービスまたはプロセスを強制終了する機能を備えています。そして特に注意すべきは、個人情報の収集という不正活動も実行するという点です。収集された情報は、不正リモートユーザに送信され、他の不正活動または犯罪活動に悪用される恐れがあります。
IEの脆弱性を利用した攻撃では、“Adobe Reader” および “Adobe Acrobat” に存在する脆弱性も利用したと一部で報道されています。アドビは、今回の攻撃に同社製品が利用された証拠は見つかっていないと発表していますが、Googleと似たような攻撃を受け被害にあった企業のひとつです。トレンドマイクロの製品では、アドビ製品の脆弱性を利用する不正プログラムを「TROJ_PIDIEF.SHK」として検出します。この脆弱性利用型不正プログラムは、さらに「TROJ_DLOAD.COB」として検出される不正ファイルを感染コンピュータ上にダウンロードします。
トレンドマイクロ製品をご利用のお客様は、「Trend Micro Smart Protection Network(SPN)」により守られており、関連の攻撃に利用される不正ファイルがコンピュータにダウンロードされたり、不正Webサイトにアクセスする前にブロックされます。また「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」の製品をご利用のお客様は、最新のフィルタ(IDF1003879 および IDF1003909)に更新することで、この脆弱性関連の攻撃から守られます。
| 攻撃タイプ | ベンダ発表(発表日:2009/11/14) | 脆弱性情報 | |||
| 会社名 | 識別番号 | 情報のタイトル | CVE(JVN) | 深刻度 | |
| 受動 | マイクロソフト株式会社 | 979352 | Internet Explorer の脆弱性により、リモートでコードが実行される | CVE-2010-0249 | 9.3(危険) |
【更新情報】
| 2010/01/22 | 10:30 | 製品情報について更新しました。 |
| 2010/01/22 | 10:30 | マイクロソフトより今回の脅威に対する「定例外のセキュリティ更新プログラム(MS10-002)」が公開されました。セキュリティ対策の面からも同社の説明を参照し、自動更新を有効にしていないユーザは、ただちに更新プログラムを適用してください。詳しくはこちらをご覧ください。 |
翻訳: カストロ 麻衣子(Technical Communications Specialist, TrendLabs)
|
執筆協力者:Oscar Abendan、Carolyn Guevarra、および Elizabeth Bookman