Java の脆弱性を悪用する攻撃が急速に猛威 - 偽セキュリティソフトの被害が倍増も

正規 Webサイトの改ざんを端緒とした攻撃により、情報収集型の不正プログラムや偽セキュリティソフトへの感染に遭遇する被害報告が 2012年1月から急増しています。攻撃の全体像には不明なところが多いものの、多くの攻撃では Java の脆弱性を悪用していることが明らかになりました。


2010年に大きく話題になった「ガンブラー攻撃」を筆頭に、企業や団体の正規 Webサイトの一部を改ざんし、Webサイトを閲覧したユーザに不正プログラム感染を誘発する攻撃手法は「Webからの脅威」の典型例として攻撃者の常套手段になっています。

2011年後半から「ガンブラー攻撃」や「ライザムーン攻撃」のような大規模なサイト改ざんは鳴りを潜めていますが、サイト改ざんそのものがなくなったわけではありません。トレンドマイクロのサポートセンターには改ざんされたサイトの閲覧がきっかけと見られる被害報告が継続しています。

■最終的には偽セキュリティソフトや FTP の情報が漏えいするおそれ
2012年1月後半から特に急増しているのが、Java の脆弱性を悪用した不正プログラムに関連する被害報告です。攻撃の流れは下記の通りで、特に目新しい点はありません。

  1. 改ざんされた正規 Webサイトを閲覧する
  2. 埋めこまれた不正プログラムにより別の URL に転送される
  3. 転送された先で Java の脆弱性を利用した不正プログラムが実行される
  4. 他の不正プログラムと連携して最終的に偽セキュリティソフトや情報収集型の不正プログラムをダウンロードさせられる

最終的にダウンロードされる偽セキュリティソフトは、図1の「Internet Security」など複数確認されており、個人ユーザにおいては前月比約 2倍となる 201件の被害報告がありました。

図1:偽セキュリティソフト「Internet Security」
図1:偽セキュリティソフト「Internet Security」

またリージョナルトレンドラボの調査によると、この攻撃は情報収集型不正プログラムとして「TSPY_FAREIT」との関連が明らかになっています。「TSPY_FAREIT」は FTPクライアントに関する情報を窃取する特徴を持ち、2月6日に発表した「インターネット脅威マンスリーレポート – 2012年1月度」において、日本国内の感染報告数 25件、不正プログラム検出数 4,896件でいずれも圏外から 1位になっています。いずれのランキングでも 2位は偽セキュリティソフトである「TROJ_FAKEAV」ファミリが占めていることを考慮すると、本攻撃の被害が相当広範囲にわたっていることが推測されます。

■今一度コンピュータの状態を確認し、最新版へのアップデートを
セキュリティソフトによって迅速にソリューションの提供を続けていますが、被害の予防策として、Java を含むソフトウェアが最新の状態であるか再度確認しましょう。OS など Microsoft製品はもちろん、Adobe製品も攻撃に悪用される事例が増えているので、下記のサイトを参考に対応状況を確認し、最新版へアップデートください。

  • Javaを最新版にする:http://is702.jp/column/700/partner/97_t
  • Adobe Readerを最新版にする:http://is702.jp/column/678/partner/97_t/
  • Adobe Flash Playerを最新版にする:http://is702.jp/column/679/partner/97_t/
  • Windows Update:http://is702.jp/column/541/partner/97_t/
  • 企業においては、自社システムとの関連で速やかな適用が難しい場合もあるため、「仮想パッチ」技術を用いた「Trend Micro 脆弱性対策オプション」などの導入もご検討下さい。