トレンドマイクロは、「Plesk」の旧バージョンに影響を及ぼすエクスプロイトコード（脆弱性攻撃コード）を監視しています。このエクスプロイトコードは、攻撃者が脆弱性の影響を受けた Web サーバを完全に制御することを可能にするものです。Plesk とは、米「Parallels」の人気ホスティング向けコントロールパネルです。今回の脆弱性の対象となる旧バージョンは、既にサポート期限が切れており、修正プログラムが存在しないゼロデイ攻撃の状態となっています。これはつまり、問題の脆弱性によって、サポート期限が切れている Plesk の旧バージョンを使用する、すべての Web サイトが被害を受ける危険性があることを意味します。

2013年6月4日のブログでお伝えした国内で発生している正規Webサイトの改ざん被害について、詳しい攻撃手法などの解析を行った上で得られた調査結果を続報としてお伝えします。国内の正規Webサイト改ざん被害ケースは、つい先週の 5月30日のブログ、また、3月18日のブログでもお伝えしていますが、これらのケースとの類似性はあるのでしょうか。

人気のサイトを悪用することは、サイバー犯罪者の常とう手段になっていることは言うまでもありません。トレンドマイクロでは、2013年5月末以降、不正な JavaScript である「JS_BLACOLE.SMTT」の挿入による日本国内の Webサイト改ざん事例を複数確認しています。改ざんされたサイトを閲覧した PC では、端末の状態により、脆弱性を利用した攻撃の被害を実際に受ける可能性があります。トレンドマイクロによる確認の結果、少なくとも 6月3日時点で 40のドメインが改ざんの被害に遭っていることが判明しています。また、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によると、これら改ざんされた 40のドメインに 6月3日時点だけでも、約 6万ものアクセスがあったことを確認しています。

トレンドマイクロ・フォワードルッキングスレットリサーチ（FTR）では、さまざまな調査の過程で、複数の日本の Web ページが改ざん被害に遭っている事実を確認しました。これらはすべて海外のハッカーグループによる、日本を標的としたハクティビズム目的の攻撃と考えられます。攻撃者のハッカーグループは、個人レベルの小規模なものと考えられますが、グループチャットを利用した煽動も行われており、より大規模な攻撃に発展する危険性があります。

2013年5月上旬、「OpUSA」と呼ばれる攻撃が仕掛けられました。知名度の高いサイトは、ひとつもオフラインになることはなく、比較的知名度の低いサイトが改ざんおよび書き換えられるといった被害に留まりました。それでも、今回の事例は攻撃者たちがどのように攻撃を仕掛け、OpUSA のような周知された「ハッキング作戦」の結果を主張したかを如実に表しました。トレンドマイクロは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」と攻撃者が利用する「Pastebin」から得た情報を用いて、どのようにこの攻撃が発生したのか、部分的に確認することができました。それは恐らく攻撃者は、前もって改ざんされたサイトを「備蓄」することで、何の前触れもなしに大掛かりな攻撃を実行することを可能にした、ということです。

2013年5月第1週、米国労働省の Webサイトが改ざんされていたことが確認されました。また、このサイト改ざんから、Internet Explorer（IE）に存在するゼロデイ脆弱性を利用して、不正プログラムを自動的にインストールする、「ドライブバイダウンロード」攻撃への連鎖が行われることも確認しています。 今回確認されたゼロデイ脆弱性は、影響を受けるアプリケーションの範囲がやや限定されており、Microsoft のセキュリティアドバイザリ（英語情報）によると、IE8 のみが対象となります。Windows Vista および Windows 7 の場合、IE9 以上より新しいバージョンに更新することで脆弱性が回避可能です。しかし　Windows XP　の場合、IE8 が利用可能な最新バージョンとなるため、ゼロデイ脆弱性の影響を受けてしまいます。

トレンドマイクロでは、2013年第1四半期に日本および世界で確認した脅威の概要を、「2013年第1四半期セキュリティラウンドアップ：『攻撃の矛先は、「ソーシャル」、「クラウド」、「非Windows」へ』」としてまとめました。

国内外においてWebサーバ（Apache）の不正モジュールを使った改ざん被害が報告されています。これまでの改ざん手口とどのような点が異なるのでしょうか。また、改ざんサイトを入口としてはじまる「Black Hole Exploit Kit（BHEK）」による攻撃の連鎖についても注意が必要です。過去24時間でもっとも感染連鎖の入口となっている不正URL にアクセスしている地域は日本でした。そこでこの記事ではシステム管理者、利用者それぞれの立場で注意すべき点についてお伝えします。

トレンドマイクロは、2013年1月31日、「持続的標的型攻撃（Advanced Persistent Threats、APT）」で利用されるツールおよびこれらのツールをどのように識別するかについて明らかにしました。スレットリサーチャーとしての日常業務において、我々は、より安全にユーザを保護する目的で、持続的標的型攻撃を仕掛ける攻撃者、および攻撃者が活用するツールを調査・解析しています。本ブログの目的は、持続的標的型攻撃の攻撃者が利用するツール、そして攻撃者がそれらのツールをどのように活用するのかに関する調査を促進することにあります。

トレンドマイクロの CTO である Raimund Genes は、2013年に発表した「2013年におけるセキュリティ予測」のなかで、既存の不正プログラムが徐々に改善されることを予測しています。つまり不正プログラムの作成者は、新たな脅威を拡散するのではなく、ツールをさらに改良するか、またはどのようにこれらの攻撃を行うかといったことに焦点を当てます。