2013年に入って以来連日、Oracle の「Java」、Webアプリケーションフレームワーク「Ruby on Rails」、そしてMicrosoftのWebブラウザ「Internet Explorer(IE)」といった多くの人々に使用されている3種の異なる技術に存在する脆弱性において、多くの動きがあり、注目が集まりました。
本ブログを通して、問題の状況や危険性、またトレンドマイクロがどのようにユーザを保護しているかなどを理解していただく一助になればと考えています。そして、身を守るためにユーザ自身何ができるのかを知っていただくことができればと考えます。
2013年1月11日のブログ記事 [1]でも取り上げたように、Java に影響する新たなゼロデイ脆弱性が確認されました。報告時点では、修正プログラムが公開されていなかったため、Java の脆弱性における状況は非常に深刻でした。そのため、米国国土安全保障省は、修正プログラムが公開されるまで、Java を完全に無効にしておくことを推奨 [2]していました。その後、2013年1月14日、緊急の修正プログラムが公開 [3]されています。
今回実際に攻撃に使われていることが確認されている脆弱性は、「Blackhole Exploit Kit(BHEK)」や、特に不正プログラム「REVETON」という「身代金要求型不正プログラム(ランサムウェア)」の亜種を拡散させる「Cool Exploit Kit(CEK)」といった攻撃ツールにおいて悪用されています。
実際の攻撃に使われていることは確認されていないものの、Ruby on Rails の脆弱性は、こちらも深刻です。2013年1月11日、Ruby on Rails に影響する深刻な2つの脆弱性が発表されました。Java のケースとは異なり、この2つの脆弱性に対する修正プログラムはすでに公開されており、現時点では、これらを利用する広範な攻撃は行われていません。しかし、エクスプロイトコードが、フレームワーク「Metasploit」用のモジュールとして公開 [4]されており、エクスプロイトコードが入手できるということは、この脆弱性に対する攻撃の危険性が高くなるということを意味しています。
また、深刻なサーバ側の脆弱性および実際の攻撃に使われているクライアント側のゼロデイ脆弱性が、同時期に確認されたことも問題です。現時点では確認されていませんが、攻撃者が Ruby on Rails における2つの脆弱性を利用し、Webサーバへ攻撃することで、Java の脆弱性を悪用した攻撃コードを改ざんされたサーバに仕掛けることが可能です。
この攻撃は、特に「Watering Hole(たまり場という意味)」型攻撃に利用されやすいことがわかっています。Watering Hole型攻撃について、トレンドマイクロは、2013年の標的型攻撃の予測において概要を説明 [5]していますが、このような手法が、休暇シーズン中に IE の脆弱性を狙った攻撃で確認 [6]されています。Watering Hole型攻撃とは、攻撃者が正規Webサイトに「ドライブバイダウンロード(drive-by download)攻撃」を引き起こすエクスプロイトを混入することで、その Webサイトを閲覧したユーザを危険にさらすという標的型不正プログラム攻撃です。IE に対する脆弱性の修正プログラムは、2013年1月15日に Microsoft から公開 [7]されており、この修正の早期適用を推奨します。
今回の状況は極めて深刻で、ユーザは自身を守るために最善の対策を講じる必要があります。Ruby on Rails を使用しているユーザは、できるだけ早く修正プログラムをテストし、適用してください。Java におけるゼロデイ脆弱性から身を守ることは比較的容易ではありません。Java を無効にするという案もありますが、Java は企業において重要な役割を果たす技術であるため、現実的な選択肢であるとは必ずしもいえません。より現実的な選択肢として、ブラウザでの Javaコンテンツを無効にするという選択肢があります。利用しているブラウザのアドオン、プラグインの設定で Java を無効にする、あるいは最新バージョンの Java コントロールパネルの設定により、システム上では Java を有効にし、ブラウザでは無効にするという設定が可能です。そして、2013年1月14日(米国時間1月13日)、今回の攻撃によって狙われた Java の脆弱性の修正プログラムが公開されました。Java 7 の最新の修正プログラム「Update 11」は、Java の正規Webサイト [3]からダウンロードしてください。
トレンドマイクロ製品をご利用のユーザは、Java の脆弱性に対する他の選択肢があります。トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ) [8]」および「Trend Micro 脆弱性対策オプション(ウイルスバスター コーポレートエディション プラグイン製品) [9]」は、Java の脆弱性を狙った攻撃から保護するための高レベルな対応策を提供します。2013年1月11日に公開した更新「DSRU13-002」では、主に Java の脆弱性に対応する汎用的な対策を提供しています。
「ウイルスバスター クラウド [10]」、「ウイルスバスター ビジネスセキュリティ [11]」および「ウイルスバスター コーポレートエディション [12]」をご利用のユーザは、2013年1月11日のパターンファイル「OPR 9.649.00」により、Java の脆弱性を利用する攻撃から保護します。なお、このパターンファイルは、主に以下について対処します。
また、Trend Micro Deep Security 向けに提供された2013年1月11日の更新には、Ruby on Rails の脆弱性を利用する攻撃から保護するためのフィルタも含まれています。
加えて、IE の脆弱性に対しては、Trend Micro Deep Security、脆弱性対策オプションで利用できるルールの更新がすでに行われています。
また、確認されている IE の脆弱性を悪用した標的型攻撃で使われた不正プログラムにも、パターンファイルで対応済です。
トレンドマイクロは、Java および Ruby on Rails、IE の脆弱性に対する修正プログラムをテストし、適用が完了するまでの間、弊社のすべての更新版をダウンロードし、適用することをお勧めします。
トレンドマイクロ ディープセキュリティのフィルタは、以下のとおりです。
| DPI フィルタ番号 | 名前 | 脆弱性識別番号 | 脆弱性対策オプションとの互換性 |
| 1004711 | Identified Malicious Java JAR Files | CVE-2013-0422 [13] | あり |
| 1005331 | Ruby On Rails XML Processor YAML Deserialization DoS | CVE-2013-0156 [14] | なし |
| 1005328 | Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability | CVE-2013-0156 | なし |
| 1005297 | Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated | CVE-2012-4792 | あり |
| 1005301 | Identified Suspicious JavaScript Encoded Window Location Object | CVE-2012-2556 | あり |
| 1005298 | Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability Obfuscated | CVE-2012-4792 | あり |
「ウイルスバスター クラウド」、「ウイルスバスター ビジネスセキュリティ」および「ウイルスバスター コーポレートエディション」をご利用のユーザも、この脆弱性を利用する既知の攻撃から保護されています。
| 検出名 | 説明 |
| JAVA_EXPLOIT.RG [15] | エクスプロイトコード |
| HTML_EXPLOIT.RG [16] | エクスプロイトコードを読み込むサイト |
| TROJ_REVETON.RG [17] | 関連する「REVETON」の亜種 |
| TROJ_REVETON.RJ [18] | 関連する「REVETON」の亜種 |
| BKDR_DIOFOPI.A [19] | IE の脆弱性に関連 |
また、トレンドマイクロのネットワーク監視ソリューション製品「Trend Micro Deep Discovery [20]」では、フィルタID「616 TCP_REVETON_REQUEST」を介して「TROJ_REVETON」のネットワークトラフィックを検出します。
トレンドマイクロでは、このようは状況を注意深く監視し、更新を提供し続けます。
参考記事:
by Christopher Budd [22] (Threat Communications Manager)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)
【更新情報】
| 2013/01/24 | 12:00 |
トレンドマイクロのサーバ向け総合セキュリティ製品「Trend Micro Deep Security(トレンドマイクロ ディープセキュリティ)」および「Trend Micro 侵入防御ファイアウォール(ウイルスバスター コーポレートエディション プラグイン製品)」の以下のフィルタ名が更新されました。
更新前:1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated |